ハクソク

世界を動かす技術を、日本語で。

Show HN: Octelium – Teleport、Cloudflare、Tailscale、NgrokのFOSS代替品

330日前原文(github.com)

概要

  • Octelium は、オープンソースの自己ホスト型ゼロトラストリソースアクセス統合プラットフォーム
  • VPNやZTNA、APIゲートウェイ、PaaS、Kubernetes Ingress 等の多様な用途に対応
  • WireGuard/QUICトンネルやクライアントレスアクセス による柔軟な接続方式
  • シークレットレス・IDベース・L7対応の細粒度アクセス制御 を実現
  • Kubernetes上で自動スケーリング・可用性確保、クラウド・オンプレ・IoT等多様な環境に対応

Octeliumとは

  • Octelium は、ゼロトラストリソースアクセスのための 自己ホスト型統合プラットフォーム
  • OpenVPN Access Server, Twingate, Tailscale, Cloudflare Access, Teleport, Google BeyondCorp, ngrok などの モダンな代替手段 を目指す設計
  • VPN、ZTNA、APIゲートウェイ、AIゲートウェイ、MCPゲートウェイ、A2Aアーキテクチャ、PaaS、Kubernetes Ingress、Homelab 等に幅広く利用可能
  • アプリケーション層(L7)でのIDベース・シークレットレスアクセス制御 を提供
  • WireGuard/QUICトンネルによるプライベートアクセスクライアントレス(BeyondCorp型)アクセス の両方をサポート

主なユースケース

  • モダンリモートアクセスVPN
    • WireGuard/QUICトンネル によるゼロコンフィグクライアントVPN
    • IDベース・L7対応・ポリシーコード化されたアクセス制御
  • 統合ZTNA/BeyondCorpアーキテクチャ
    • Cloudflare Access, Google BeyondCorp, Teleport 等の代替
  • 自己ホスト型セキュアトンネル基盤
    • ngrok, Cloudflare Tunnel 等の代替
  • 自己ホスト型PaaS
    • Vercel, Netlify 等のような コンテナアプリの安全・匿名公開・スケール
  • APIゲートウェイ/AIゲートウェイ
    • Kong Gateway, Apigee 等の代替。 LLMプロバイダーへの安全制御付きAIアクセス
  • SaaS APIへの統合ゼロトラストアクセス
    • APIキーやトークンの配布不要な安全アクセス
  • MCPゲートウェイ・A2Aアーキテクチャ
    • OAuth2クレデンシャル・ベアラー認証・IDベースL7制御
  • Kubernetes Ingressの上位互換
    • パスプレフィックス以外にもID・ヘッダー・ボディ・時間等で動的ルーティング
  • Homelabインフラ
    • NAT越しの全デバイス安全接続・リモートテスト・安全な公開/非公開ホスティング

主な特徴

  • モダン・統合・スケーラブルなゼロトラストアーキテクチャ
    • IDベースのプロキシ(IAP)でL7アプリ層制御
    • ヒト・ワークロード両方の統合アクセス基盤
    • NAT越し・クラウド・IoT等多様なリソースに対応
    • WireGuard/QUICトンネルによるプライベートアクセス・クライアントレスBeyondCorpアクセス
    • Kubernetes基盤で自動スケーリング・高可用性
  • シークレットレス・動的L7アクセス
    • APIキー・トークン・パスワード・証明書不要
    • HTTP, SSH, Kubernetes, PostgreSQL, MySQL, mTLS等に対応
  • コンテキスト認識・IDベース・L7細粒度アクセス制御
    • ABAC(属性ベースアクセス制御)をポリシーコード(CEL/OPA)で実装
    • 管理者/特権ユーザーの概念を排除しゼロスタンディング権限を標準化
  • 動的構成・ルーティング
    • リクエストごとに異なる上流・クレデンシャル・コンテキスト対応
  • 継続的強力認証
    • OIDC/SAML2.0/各種IdP対応・ワークロードのOIDCトークン認証
    • NIST SP 800-63レベル対応・MFA/セキュリティキー強制可能
  • OpenTelemetry対応・L7監査/可視化
    • 全リクエストをリアルタイムでOTLPエクスポート可能
  • パスワードレス・サーバーレスSSHアクセス
    • root不要・IoTやSSHサーバー未導入ホストにも対応
  • コンテナアプリのPaaSライクな管理・公開
    • プライベート/パブリック/匿名アクセスを自動提供
  • 集中・宣言的・プログラマブルな管理
    • Kubernetesライクなocteliumctl applyでクラスタ状態再現
    • API中心の集中管理・GitOps/DevOps対応
    • gRPC APIで各種言語から制御可能
  • 既存インフラへの変更不要
    • 上流リソースはNAT内・localhostでもOK、ポート開放不要
  • 従来VPNのネットワーク問題を回避
    • 各リソースをIDベースプロキシ(IaP)で実装しルーティング問題を解消

参考リンク・サポート・ライセンス

  • 公式ドキュメント: https://octelium.com/docs
  • GitHubリポジトリ: READMEに詳細な機能説明・導入方法・リンクを掲載
  • サポート・FAQ・ライセンス・法的事項: ドキュメント内に記載

開発者からのメッセージ

  • Octeliumは数年かけて開発し、2025年5月にオープンソース化
  • コーポレートVPNやリモートアクセスツールのモダンな代替を目指す
  • ZTNA/BeyondCorp、API/AIゲートウェイ、ngrok、Homelab、Kubernetes Ingress等幅広い用途に対応
  • Kubernetesライクなスケーラブル構成・ゼロトラスト安全性を両立
  • 詳細はREADMEや公式ドキュメント参照

Octelium は、現代の多様なリモートアクセス・セキュア通信・サービス公開ニーズに応える 統合ゼロトラストプラットフォーム です。導入や運用の柔軟性とセキュリティを両立し、あらゆる規模・用途の開発・運用チームに推奨されます。

Hackerたちの意見

Tailscaleの一番のポイントは、簡単にP2P接続ができることだと思うんだけど、これってそれができないみたいで、中央集権的なルーターを使ってるのかな?

Octeliumはゼロトラストアーキテクチャであって、P2P VPNじゃないけど、WireGuardやQUICを使ったリモートアクセスVPNとしてスムーズに動作することもできる。アーキテクチャはCloudflare AccessやTeleportに近くて、動的なL7対応のアクセス制御や、シークレットなしのアクセス(APIキーやアクセストークン、データベースのパスワード、SSHの秘密鍵、mTLSの秘密鍵などをユーザーに配布せずに注入すること)を提供してる。さらに、動的な設定や上流へのルーティングも行うし、単にレイヤー3のVPNとして機能するだけじゃなくて、OpenTelemetryネイティブの可視化や監査もリアルタイムで提供してる。ZTNAやBeyondCorpのような真のゼロトラストアーキテクチャは、サービスメッシュ(例えばKubernetesのサービスメッシュ)を除けば、P2P VPNとして実装するのは難しい。アクセス制御や可視化をアプリケーションレイヤーでリクエストごとに行うには、L7対応のアイデンティティプロキシが必要なんだ。

簡単なP2P接続 >中央集権的ルーター Tailscaleを使うと、パケットは中央集権的なルーターを通ることがあるから、参考までに。

たくさんのバズワードを使ってるものには、すぐに不信感を抱いちゃう。これがGitHubのページなんだけど、具体的に何をするものなのか全然わからない。

そのバズワードのリストを教えてもらえると、READMEを改善するのに助かるんだけど。

「AI」ってキーワードを追加するのはSEO目的だってわかるけど、記事のタイトルに「Reddit」を入れるのと同じように、なんか嫌な感じがするよね。メインの内容が素晴らしくても、後味が悪い。APIとAIゲートウェイの図もほぼ同じだしね。

APIとAIゲートウェイの間には共通の機能がたくさんあるよ。ドキュメントの例をチェックする方がずっと簡単だと思うよ。AIゲートウェイについてはここを見てね: https://octelium.com/docs/octelium/latest/management/guide/s... APIゲートウェイについてはここ: https://octelium.com/docs/octelium/latest/management/guide/s... それに加えて、提供されているもの以外にもHTTPリクエストやボディの内容を変更するプロセスを拡張する作業もしてるよ(詳しくはここを見てね: https://octelium.com/docs/octelium/latest/management/core/se...)。今のところ、Envoyのext_procサポートが来る予定で、興味があればproxy-wasmのサポートにも取り組むかもしれない。

Octeliumが何をするのか理解するのが難しい人には、このページが一番わかりやすいと思う: https://octelium.com/docs/octelium/latest/overview/how-octel... いきなりOcteliumでできることの膨大なリストから始まるんじゃなくて、Octeliumの基盤となるコアプリミティブを説明してから進んでいくから、わかりやすい。実際、かなりクールで役に立ちそうだよ!私が見た感じでは、コア機能は以下の通り: - HTTPやPostgreSQLのような高レベルのプロトコルを理解し、その内容を使って細かいセキュリティ判断ができるVPNライクなゲートウェイ - Kubernetesの上にあるクラスター構成レイヤー この2つが組み合わさって、基本的にはパーソナルクラウドを作るんだ。だから、大手クラウドプラットフォームと同じように、いろんなことができて、最初はどれが必要かわかりにくいかもしれない。でも、ホームラボや、クラウドコストを抑えたい小さな会社、カスタムPaaSとしてクラウド機能を提供するのに使えるシステムのように思える。いいね!

TailScaleは素晴らしいけど、競争が必要だね。IPOが近いと思うし、そのフェーズに入ったら、誰かが彼らの足元を狙っていない限り、嫌な価格上昇が続くのは確実だよ。

Tailscaleのオープンソースの代替には絶対興味があるけど、READMEが長すぎるよ。プロジェクトの概要を一目でわかるように説明して、詳細はドキュメントへのリンクを貼るべきだと思う。

headscaleはtailscaleのオープンソースの代替品だよ。

ちょっとしたフィードバックなんだけど、個人的に気になる問題点を共有したいと思う。まず、開発の歴史がなくて、最初のコミットが不明な出所から来ていること、公開情報が全然ないこと、会社が(公に)存在しないように見えること、そして、あらゆるニーズを解決できると謳っている製品が、バズワードで固められていて、セキュリティの証拠がほとんどないことが気になる。こういう状況に直面したら、次に考えるべきは、どれだけがオリジナルで、どれだけが信頼できる基盤技術に基づいているのか、ということ。情報が不足しているからね。ビジネスを立ち上げるなら、ちゃんとした会社に見えるようにした方がいいよ。もしペットプロジェクトなら、大きなビジネスのように見せかけて、実際には存在感がないと「偽」や「詐欺」っぽい印象を与えちゃう。もしソロ開発者なら、偽のビジネスっぽいことはやめて、バズワードや「なんでもできる」っていうマーケティングを排除して、オープンソースプロジェクトとして得意なことに集中した方がいい。人々は、ソロ開発者や無名の会社が大手企業に匹敵する製品を突然出すことに対して懐疑的になるのは当然だよ。大きなショートカットを取ったか、セキュリティに問題がある可能性が高いから、VPNや他の機能に関してはそれは避けたいことだよね。もし既存の安全な技術に基づいているなら、それを強調すべきだよ。セキュリティの歴史がある有名な名前の方が、無名の製品よりも信頼を築きやすいから。もしソフトウェアの目的を普通の人に一文で説明するのが難しいなら、かなり苦戦することになるよ。機能を増やすだけじゃ解決にならないし、どれだけ正確に説明しようとしてもね。「これはVPNだ!PaaSだ!ZTNAだ!APIゲートウェイだ!AIだ!」って叫んでるだけで、「問題を解決するためにここにいる」って感じが全然しないから、試してみようとも思わないよ。プロジェクトが目指していることとは真逆だね。批判するつもりじゃなくて、むしろあなたの努力を損なう可能性のある点を指摘したいだけなんだ。

insightfulなフィードバックありがとう。批判の内容はよくわかるよ。Octeliumは意識的に同時にいろんなことをできるようにデザインされてるからね。他の返信でも言われてるけど、Octeliumは統一されたゼロトラストアクセスプラットフォームで、人とワークロード、ワークロード同士の多くのユースケースに適応できるんだ(ドキュメントには詳細な例がいろいろ載ってる)。だから、新しい人にはちょっと混乱するかもしれないね。最初のコミットは突然出てきたけど、実は2020年初めからこのプロジェクトに取り組んでいて、1ヶ月前にコードを公開する際にクリーンな公開リポジトリから始めることにしたんだ。過去5年間で9000回近く手動でコミットしてきたからね。初期のコミットではプライベート情報が漏れる可能性があったかもしれないから、確認できなかったんだ。そして、プロジェクト自体は、シンプルなリモートアクセスのWireGuard VPNから、今のアーキテクチャや機能、複雑さに至るまで、ほぼ完全に変わったんだ。

オープンソースの開発者に少し休みをあげようよ。OPのバックグラウンドや動機はわからないし、もしかしたら楽しみでこのプロジェクトに取り組んでいるかもしれない。彼は何も正当化する必要はないんだ。これはオープンソースでフリーソフトウェアだから、そのまま受け入れればいい。 >もしソフトウェアの目的を普通の人に一文で説明するのが難しいなら、かなり苦戦することになるよ。 それはそうだね。TailscaleやCloudflare Access、ngrokを使えば、製品はかなりうまく説明できるよ。もし使ってないなら、たぶんこの製品は必要ないんじゃないかな。

これ、すごく印象的だけど、Readmeの内容が多すぎる気がする。アイデアはわかったと思うけど、確信が持てない。それが問題なんだよね。

これがインフラの後に追加するものじゃなくて、最初に始めるチェックポイントだったらどうなるかな。今はVMやDBを立ち上げて、その周りにVPNやファイアウォールを巻くけど、最初にアクセスルールを書くことを想像してみて。「チームMLはサービスXにアクセスできる」とか「ウェブアプリはこのバックエンドにアクセスできる」とかね。そうすると、システムがそのルールに基づいてインフラを組むようになる。インフラはアクセスの意図の副産物になる。アクセスは常に守れるものじゃない(物事は早く動くし、壊れやすいから)、それを設計の種にすることができるかもしれない。

あなたの言いたいことが分かっていれば、Octeliumは実際にあなたが見たいことを、ある程度はマネージドコンテナを通じて実現しようとしているよ。例えば、Octeliumはコンテナ化されたアプリケーション(ウェブアプリ、API、データベース、さらにはPiHole DNSサーバーなど)をデプロイ、スケール、管理できて、それをOcteliumサービスとして自動的に提供・保護してくれるんだ。サービスが終わったら、マネージドコンテナのインフラは自動でクリーンアップされるよ。ドキュメントからいくつかの例が見られるよ: https://octelium.com/docs/octelium/latest/management/guide/s...

もうすでにたくさんあるよね… - Tinc(P2P VPNの元祖) - Hamachi(オープンじゃないけど) - ZeroTier - Nebula(Slackから) - Tailscale - Netbird なんでみんなもっと作り続けるんだろう?それぞれに独自の特徴や得意なことがあるのは分かるけど、実際の違いはかなり小さいと思う。個人的には、ゼロトラストの「ライトハウス」が欲しいな。今のZerotierやTailscaleだと、彼らが好きな時にアカウントにノードを追加できるから、本当に信頼しなきゃいけない。そんなのは嫌だ、完全に自己ホスト型で、ライトハウスはただ調整するだけでネットワークの一部にはなってほしくない。どれがベストか調べないと。

もっとたくさんあるよ: https://github.com/anderspitman/awesome-tunneling

敬意を表して言うけど、Octeliumがあなたが言った製品を置き換えられるかどうかに関わらず、その関心の範囲はもっと広くて、単なるVPNやリモートアクセスツールではなく、ゼロトラストに焦点を当てているんだ。まずはドキュメントを読んで、Octeliumの機能やアーキテクチャ、目的を理解してもらえると嬉しいな。最近はどの製品も「ゼロトラスト」を謳っているけど、NISTが定義する実際のゼロトラストアーキテクチャ(L7対応のアイデンティティ認識プロキシ、ポリシー決定ポイント、リクエストごとのアクセス制御などに基づくアーキテクチャ)を持っている商業製品もたくさんあるよ(Cloudflare Access、Teleport、Google BeyondCorp、StrongDM、Zscalerなど)。ただ、この用語は企業によって乱用されていて、現実を歪めたり、彼らの製品がゼロトラストのために作られていないことを隠したりしている。これらの偽「ゼロトラスト」ベンダーが目指しているのは、「みんながゼロトラストでなければ、ゼロトラストは実際には存在しないか、何も意味しない、ただのバズワードだ」ということ。

ドキュメントを読み進めているけど、ここに価値を見出せていない人が多い気がする。もし実際にドキュメント通りのことができれば、これは原石になるかもしれない。企業が求めているのは、境界ベースのセキュリティモデルから、GoogleのüberProxy/BeyondCorpが何年も前に提唱した約束に移行することなんだ。それがバズワードの海に埋もれてしまっている。とてもシンプルだよ。1. プロダクション、コーポレート、パブリックインターネットの間にクリーンな分離があること。そして、従業員がそれらの間を移動する際のUXはできるだけ透明であること。(ネットワークセグメンテーションは、エンジニアにとって追加の痛みを伴うことが多い。)2. 1つのパイプで観察し、これらの境界間のトラフィックやメッセージの流れに応じて権限を明確に調整すること。3. すべてのクライアントに対して強力なアイデンティティの証明が必要。問題は、Googleの外ではプロトコルエコシステムが非常に多様だということ。これがベンダーとしてこれらの3つの約束を実現するのを非常に難しくしている。(多くを評価してきた)プロトコルを意識したプロキシを構築することは、問題の半分しか解決しない。粗い決定を下すことができて、良いログのストーリーが得られるだけだ。リクエストレイヤーで型推論を行うことができるプロキシを構築することで、よりリッチな認可のストーリーが可能になる。ビジネスが自社のアプリよりもプロキシで認可レイヤーを構築できるようになるんだ。(リクエストのすべての条件をポリシーエンジンに渡すのはすごく便利だと分かった。)ドキュメントは少し冗長かもしれないし、マーケティングもあまり良くないかもしれない。でも、これは本質的に複雑な問題なんだ。誰も完全には解決していない。TeleportはこれらのアイデアをOSS化して商業化する最初の企業だった。StrongDMもこの分野で本当に興味深い仕事をしている。Hashicorpがもっとこの分野に投資していればよかったのに。免責事項:私の意見は私自身のものです。

自分は、WireGuardのメッシュオーバーレイネットワークの設定を自動化するツールを使ってるだけだよ。それ以上難しくなる必要はないと思う。