eBPFでスクリプト可能なゼロ設定型Webサーバー「zeroserve」が登場:NginxやCaddyの代替を狙う
本記事は、新しいHTTPSウェブサーバー「zeroserve」について詳細に解説しています。これは、最小限の設定(zero-config)で動作する高速なウェブサーバーであり、単一のtarballファイルからウェブサイト全体を提供します。最大の特徴は、eBPFプログラムをtarball内に組み込むことで、リクエストごとにサンドボックス化されたミドルウェアとして実行できる点です。
zeroserveは、従来のNginxやCaddyのような宣言的な設定言語(location blocks, rewrite rulesなど)に依存せず、eBPFプログラム自体がルーティング、認証、レート制限、プロキシ処理といった「すべての設定」を担います。これにより、機能が複数のレイヤーに分散する問題を解消し、「一つのプログラムでリクエストパス全体を読める」構造を実現しています。
技術的な側面では、以下の点が強調されています:
1. **高速性**: 単一コアでのベンチマークにおいて、小規模静的ファイル(174 B)の処理速度はNginxより約17%速く、大きな静的ファイルでも高いスループットを維持しています。
2. **効率的なスクリプティング**: eBPFプログラムはJITコンパイルされユーザー空間でサンドボックス化されます。これにより、すべてのメモリアクセスが制限され、単一イベントループ上で実行されるため、安定性が高いです。
3. **運用性**: ウェブサイト全体を単一のtarballにパッケージし、SIGHUPシグナルを送るだけでアトミックなホットリロードが可能であり、接続の中断を防ぎます。また、すべてのネットワークおよびディスクI/Oは`io_uring`を通じて処理されます。
さらに高度な機能として、TLS 1.3のネイティブサポート(Encrypted Client Helloなど)、JA4フィンガープリンティング、そしてOAuthやAWS SigV4署名といった複雑なロジックをeBPFスクリプト内で実現できる点が紹介されています。ベンチマークでは、特にヘッダー注入のようなミドルウェア処理において、適切なチューニングを行うことでNginx Luaと比較しても高い性能を示す可能性が示唆されています。
背景
従来のウェブサーバー(NginxやCaddyなど)は、設定ファイルという宣言的な言語で動作を定義し、複雑なロジックが必要な場合はLuaなどのスクリプティングランタイムを「後付け」する構造でした。この分離された設計が、機能の管理や理解を難しくしていました。
重要用語解説
- eBPF: Extended Berkeley Packet Filterの略。カーネルレベルで動作する軽量な仮想マシンであり、ネットワークパケット処理やシステムコール実行など、高い効率性を持つカスタムロジックを安全に実装できます。
- io_uring: Linuxカーネルが提供する非同期I/Oインターフェース。複数のディスクおよびネットワーク操作をバッチ処理し、従来のAPIよりも大幅に高いスループットと低レイテンシを実現します。
- tarball: 複数のファイルやディレクトリをまとめて圧縮したアーカイブファイル(.tar形式)。本記事では、ウェブサイト全体がこの単一のファイル内に格納され、デプロイメントに使用されます。
今後の影響
zeroserveは、Webサーバーの設定・ロジック層を「宣言的設定」から「プログラムによる実行」へと根本的に移行させます。これにより、より複雑で動的な機能(認証、レート制限など)を単一のコードベースで管理可能となり、開発効率とセキュリティが向上します。今後のウェブインフラストラクチャにおいて、サーバーサイドロジックの記述方法に大きな変革をもたらす可能性があります。