世界を動かす技術を、日本語で。

Show HN: Octelium – Teleport、Cloudflare、Tailscale、NgrokのFOSS代替品

2025年6月29日原文(github.com)

概要

  • Octelium は、オープンソースの自己ホスト型ゼロトラストリソースアクセス統合プラットフォーム
  • VPNやZTNA、APIゲートウェイ、PaaS、Kubernetes Ingress 等の多様な用途に対応
  • WireGuard/QUICトンネルやクライアントレスアクセス による柔軟な接続方式
  • シークレットレス・IDベース・L7対応の細粒度アクセス制御 を実現
  • Kubernetes上で自動スケーリング・可用性確保、クラウド・オンプレ・IoT等多様な環境に対応

Octeliumとは

  • Octelium は、ゼロトラストリソースアクセスのための 自己ホスト型統合プラットフォーム
  • OpenVPN Access Server, Twingate, Tailscale, Cloudflare Access, Teleport, Google BeyondCorp, ngrok などの モダンな代替手段 を目指す設計
  • VPN、ZTNA、APIゲートウェイ、AIゲートウェイ、MCPゲートウェイ、A2Aアーキテクチャ、PaaS、Kubernetes Ingress、Homelab 等に幅広く利用可能
  • アプリケーション層(L7)でのIDベース・シークレットレスアクセス制御 を提供
  • WireGuard/QUICトンネルによるプライベートアクセスクライアントレス(BeyondCorp型)アクセス の両方をサポート

主なユースケース

  • モダンリモートアクセスVPN
    • WireGuard/QUICトンネル によるゼロコンフィグクライアントVPN
    • IDベース・L7対応・ポリシーコード化されたアクセス制御
  • 統合ZTNA/BeyondCorpアーキテクチャ
    • Cloudflare Access, Google BeyondCorp, Teleport 等の代替
  • 自己ホスト型セキュアトンネル基盤
    • ngrok, Cloudflare Tunnel 等の代替
  • 自己ホスト型PaaS
    • Vercel, Netlify 等のような コンテナアプリの安全・匿名公開・スケール
  • APIゲートウェイ/AIゲートウェイ
    • Kong Gateway, Apigee 等の代替。 LLMプロバイダーへの安全制御付きAIアクセス
  • SaaS APIへの統合ゼロトラストアクセス
    • APIキーやトークンの配布不要な安全アクセス
  • MCPゲートウェイ・A2Aアーキテクチャ
    • OAuth2クレデンシャル・ベアラー認証・IDベースL7制御
  • Kubernetes Ingressの上位互換
    • パスプレフィックス以外にもID・ヘッダー・ボディ・時間等で動的ルーティング
  • Homelabインフラ
    • NAT越しの全デバイス安全接続・リモートテスト・安全な公開/非公開ホスティング

主な特徴

  • モダン・統合・スケーラブルなゼロトラストアーキテクチャ
    • IDベースのプロキシ(IAP)でL7アプリ層制御
    • ヒト・ワークロード両方の統合アクセス基盤
    • NAT越し・クラウド・IoT等多様なリソースに対応
    • WireGuard/QUICトンネルによるプライベートアクセス・クライアントレスBeyondCorpアクセス
    • Kubernetes基盤で自動スケーリング・高可用性
  • シークレットレス・動的L7アクセス
    • APIキー・トークン・パスワード・証明書不要
    • HTTP, SSH, Kubernetes, PostgreSQL, MySQL, mTLS等に対応
  • コンテキスト認識・IDベース・L7細粒度アクセス制御
    • ABAC(属性ベースアクセス制御)をポリシーコード(CEL/OPA)で実装
    • 管理者/特権ユーザーの概念を排除しゼロスタンディング権限を標準化
  • 動的構成・ルーティング
    • リクエストごとに異なる上流・クレデンシャル・コンテキスト対応
  • 継続的強力認証
    • OIDC/SAML2.0/各種IdP対応・ワークロードのOIDCトークン認証
    • NIST SP 800-63レベル対応・MFA/セキュリティキー強制可能
  • OpenTelemetry対応・L7監査/可視化
    • 全リクエストをリアルタイムでOTLPエクスポート可能
  • パスワードレス・サーバーレスSSHアクセス
    • root不要・IoTやSSHサーバー未導入ホストにも対応
  • コンテナアプリのPaaSライクな管理・公開
    • プライベート/パブリック/匿名アクセスを自動提供
  • 集中・宣言的・プログラマブルな管理
    • Kubernetesライクなocteliumctl applyでクラスタ状態再現
    • API中心の集中管理・GitOps/DevOps対応
    • gRPC APIで各種言語から制御可能
  • 既存インフラへの変更不要
    • 上流リソースはNAT内・localhostでもOK、ポート開放不要
  • 従来VPNのネットワーク問題を回避
    • 各リソースをIDベースプロキシ(IaP)で実装しルーティング問題を解消

参考リンク・サポート・ライセンス

  • 公式ドキュメント: https://octelium.com/docs
  • GitHubリポジトリ: READMEに詳細な機能説明・導入方法・リンクを掲載
  • サポート・FAQ・ライセンス・法的事項: ドキュメント内に記載

開発者からのメッセージ

  • Octeliumは数年かけて開発し、2025年5月にオープンソース化
  • コーポレートVPNやリモートアクセスツールのモダンな代替を目指す
  • ZTNA/BeyondCorp、API/AIゲートウェイ、ngrok、Homelab、Kubernetes Ingress等幅広い用途に対応
  • Kubernetesライクなスケーラブル構成・ゼロトラスト安全性を両立
  • 詳細はREADMEや公式ドキュメント参照

Octelium は、現代の多様なリモートアクセス・セキュア通信・サービス公開ニーズに応える 統合ゼロトラストプラットフォーム です。導入や運用の柔軟性とセキュリティを両立し、あらゆる規模・用途の開発・運用チームに推奨されます。

Hackerたちの意見

Tailscaleの一番のポイントは、簡単にP2P接続ができることだと思うんだけど、これってそれができないみたいで、中央集権的なルーターを使ってるのかな?

Octeliumはゼロトラストアーキテクチャであって、P2P VPNじゃないけど、WireGuardやQUICを使ったリモートアクセスVPNとしてスムーズに動作することもできる。アーキテクチャはCloudflare AccessやTeleportに近くて、動的なL7対応のアクセス制御や、シークレットなしのアクセス(APIキーやアクセストークン、データベースのパスワード、SSHの秘密鍵、mTLSの秘密鍵などをユーザーに配布せずに注入すること)を提供してる。さらに、動的な設定や上流へのルーティングも行うし、単にレイヤー3のVPNとして機能するだけじゃなくて、OpenTelemetryネイティブの可視化や監査もリアルタイムで提供してる。ZTNAやBeyondCorpのような真のゼロトラストアーキテクチャは、サービスメッシュ(例えばKubernetesのサービスメッシュ)を除けば、P2P VPNとして実装するのは難しい。アクセス制御や可視化をアプリケーションレイヤーでリクエストごとに行うには、L7対応のアイデンティティプロキシが必要なんだ。

簡単なP2P接続 >中央集権的ルーター Tailscaleを使うと、パケットは中央集権的なルーターを通ることがあるから、参考までに。

たくさんのバズワードを使ってるものには、すぐに不信感を抱いちゃう。これがGitHubのページなんだけど、具体的に何をするものなのか全然わからない。

そのバズワードのリストを教えてもらえると、READMEを改善するのに助かるんだけど。

「AI」ってキーワードを追加するのはSEO目的だってわかるけど、記事のタイトルに「Reddit」を入れるのと同じように、なんか嫌な感じがするよね。メインの内容が素晴らしくても、後味が悪い。APIとAIゲートウェイの図もほぼ同じだしね。

APIとAIゲートウェイの間には共通の機能がたくさんあるよ。ドキュメントの例をチェックする方がずっと簡単だと思うよ。AIゲートウェイについてはここを見てね: https://octelium.com/docs/octelium/latest/management/guide/s... APIゲートウェイについてはここ: https://octelium.com/docs/octelium/latest/management/guide/s... それに加えて、提供されているもの以外にもHTTPリクエストやボディの内容を変更するプロセスを拡張する作業もしてるよ(詳しくはここを見てね: https://octelium.com/docs/octelium/latest/management/core/se...)。今のところ、Envoyのext_procサポートが来る予定で、興味があればproxy-wasmのサポートにも取り組むかもしれない。

Octeliumが何をするのか理解するのが難しい人には、このページが一番わかりやすいと思う: https://octelium.com/docs/octelium/latest/overview/how-octel... いきなりOcteliumでできることの膨大なリストから始まるんじゃなくて、Octeliumの基盤となるコアプリミティブを説明してから進んでいくから、わかりやすい。実際、かなりクールで役に立ちそうだよ!私が見た感じでは、コア機能は以下の通り: - HTTPやPostgreSQLのような高レベルのプロトコルを理解し、その内容を使って細かいセキュリティ判断ができるVPNライクなゲートウェイ - Kubernetesの上にあるクラスター構成レイヤー この2つが組み合わさって、基本的にはパーソナルクラウドを作るんだ。だから、大手クラウドプラットフォームと同じように、いろんなことができて、最初はどれが必要かわかりにくいかもしれない。でも、ホームラボや、クラウドコストを抑えたい小さな会社、カスタムPaaSとしてクラウド機能を提供するのに使えるシステムのように思える。いいね!

TailScaleは素晴らしいけど、競争が必要だね。IPOが近いと思うし、そのフェーズに入ったら、誰かが彼らの足元を狙っていない限り、嫌な価格上昇が続くのは確実だよ。

Tailscaleのオープンソースの代替には絶対興味があるけど、READMEが長すぎるよ。プロジェクトの概要を一目でわかるように説明して、詳細はドキュメントへのリンクを貼るべきだと思う。

headscaleはtailscaleのオープンソースの代替品だよ。

ちょっとしたフィードバックなんだけど、個人的に気になる問題点を共有したいと思う。まず、開発の歴史がなくて、最初のコミットが不明な出所から来ていること、公開情報が全然ないこと、会社が(公に)存在しないように見えること、そして、あらゆるニーズを解決できると謳っている製品が、バズワードで固められていて、セキュリティの証拠がほとんどないことが気になる。こういう状況に直面したら、次に考えるべきは、どれだけがオリジナルで、どれだけが信頼できる基盤技術に基づいているのか、ということ。情報が不足しているからね。ビジネスを立ち上げるなら、ちゃんとした会社に見えるようにした方がいいよ。もしペットプロジェクトなら、大きなビジネスのように見せかけて、実際には存在感がないと「偽」や「詐欺」っぽい印象を与えちゃう。もしソロ開発者なら、偽のビジネスっぽいことはやめて、バズワードや「なんでもできる」っていうマーケティングを排除して、オープンソースプロジェクトとして得意なことに集中した方がいい。人々は、ソロ開発者や無名の会社が大手企業に匹敵する製品を突然出すことに対して懐疑的になるのは当然だよ。大きなショートカットを取ったか、セキュリティに問題がある可能性が高いから、VPNや他の機能に関してはそれは避けたいことだよね。もし既存の安全な技術に基づいているなら、それを強調すべきだよ。セキュリティの歴史がある有名な名前の方が、無名の製品よりも信頼を築きやすいから。もしソフトウェアの目的を普通の人に一文で説明するのが難しいなら、かなり苦戦することになるよ。機能を増やすだけじゃ解決にならないし、どれだけ正確に説明しようとしてもね。「これはVPNだ!PaaSだ!ZTNAだ!APIゲートウェイだ!AIだ!」って叫んでるだけで、「問題を解決するためにここにいる」って感じが全然しないから、試してみようとも思わないよ。プロジェクトが目指していることとは真逆だね。批判するつもりじゃなくて、むしろあなたの努力を損なう可能性のある点を指摘したいだけなんだ。

Hacker Newsで議論の続きを見る