「ngrokの無料プランは制限が多い…Tailscaleも有料化が気になる。」
そう感じている方に、知っておいてほしいツールがあります。
Octeliumは、ngrok・Tailscale・VPNをまとめて置き換えられる、無料のオープンソースツールです。v0.29ではWebコンソールが追加され、ブラウザから管理・監視できるようになりました。
結論、VPS1台とドメインがあれば、月0円(VPS代のみ)でゼロトラスト環境を構築できます。
初めての方は基本編から、すでにngrokやTailscaleを使っている方は応用編からどうぞ。この記事では「Octeliumとは何か」→「セットアップ手順」→「v0.29の新機能活用法」の順に解説します。
Octeliumとは?1分で分かるゼロトラストの基本
まず「ゼロトラスト」という言葉を確認します。ゼロトラストとは、「社内ネットワークだから安全」という前提をなくし、すべての通信を都度検証するセキュリティの考え方です。Googleが社内で採用したことで注目を集め、今では多くのサービスの基盤になっています。
Octeliumは、そのゼロトラストを自前サーバーで実現するOSSプラットフォームです。ひとつで複数のツールを置き換えられるのが最大の特徴です。
- ngrok代替:ローカルサーバーを安全に外部公開するセキュアトンネル
- Tailscale代替:WireGuard/QUICベースのリモートアクセスVPN
- Cloudflare Zero Trust代替:IDベースのゼロトラストネットワークアクセス(ZTNA)
- Teleport代替:SSH・Kubernetes・DBへの鍵なしアクセス管理
- APIゲートウェイ:APIキーを共有せずにHTTPリクエストを保護
有料サービスを複数契約しているなら、Octeliumひとつに集約できます。ユーザー数・転送量の制限もありません。
ただし、自分でサーバーを管理する必要があります。「登録してすぐ使える」ではなく、初回のセットアップが必要です。逆に言えば、1回の設定で以後ずっと無料で使い続けられます。
Octeliumに必要なもの
セットアップに必要なのは2つだけです。
1. VPSまたはクラウドサーバー
Octeliumの最低スペックの目安はこちらです。
| 項目 | 最低要件 | 推奨 |
|---|---|---|
| RAM | 2GB | 4GB以上 |
| CPU | 2vCPU | 4vCPU以上 |
| ストレージ | 20GB | 40GB以上 |
| OS | Ubuntu 24.04 LTS | Debian 12以上でも可 |
OcteliumはKubernetes上で動くため、2GBだと起動時にメモリが逼迫することがあります。安定稼働を目指すなら4GB以上のプランが無難です。
国内VPSで人気なのがXServer VPSやConoHa VPSです。どちらも月額1,000〜2,000円程度で4GBプランを選べ、日本語サポートも充実しています。セルフホストの最初の1台として候補に入れておきましょう。
2. 独自ドメイン
Octeliumのクラスターはドメインで識別されます。「octelium.example.com」のようなサブドメインでも問題ありません。持っていない場合は、お名前.comから年数百円で取得できます。
【基本編】3ステップでOcteliumをセットアップする
セットアップは大きく3つのステップで完了します。順番に進めていきましょう。
ステップ1:インストールスクリプトを実行する
VPSにSSHでrootログインし、以下を順番に実行します。
curl -o install-cluster.sh https://octelium.com/install-cluster.sh
chmod +x install-cluster.sh
./install-cluster.sh --domain あなたのドメインスクリプトが自動でKubernetesを含む全コンポーネントをインストールします。完了まで5〜10分ほどかかります。終わると画面にログイン用コマンドが表示されます。
ステップ2:DNSレコードを2つ設定する
インストール後、ドメインのDNS設定が必要です。使っているDNS管理画面(お名前.comやCloudflareなど)で以下の2つを追加します。
- Aレコード:ドメイン → VPSのIPアドレス
- CNAMEレコード(ワイルドカード):*.ドメイン → ドメイン
ワイルドカードCNAME(例:*.octelium.example.com)は必須です。これを忘れると、各サービスへのサブドメインアクセスができません。詳しくはトラブル対処法のセクションで解説しています。
ステップ3:TLS証明書を適用する
DNS反映を確認してから、以下のコマンドを実行します。
octops certLet’s Encrypt経由でTLS証明書が自動取得されます。これですべてのサービスにHTTPS接続できるようになります。
💡 公式ドキュメントに沿って検証
公式の手順通りに進めたところ、DNSの設定タイミングと「ワイルドカードCNAMEの記載がない点」で注意が必要でした。
ドキュメントには書かれていないポイント:ワイルドカードCNAMEを追加しないとサービスへのサブドメイン解決が失敗します。また、DNS反映前に
octops certを実行するとエラーになります。設定後は5〜30分ほど待ってから証明書取得を実行するのが確実です。検証環境:Ubuntu 24.04 LTS / VPS(RAM 2GB・2vCPU)
結果:インストール開始から約20分でクラスターが起動。Webコンソールにブラウザからアクセスでき、GUIで基本設定がひととおり完了しました。
【応用編】v0.29の新機能を活用する
v0.29では管理・セキュリティ・運用面を強化する機能が複数追加されました。それぞれ見ていきましょう。
Webコンソールでリアルタイム管理・監視
v0.29最大のアップデートがWebコンソールの追加です。これまでCLIで行っていた設定の多くをブラウザのGUIから操作できるようになりました。
コンソールでできること:
- ユーザー・グループの作成・管理
- サービスへのアクセスポリシー設定
- リアルタイムのアクセスログ確認
- 接続セッションの一覧表示と強制切断
- クラスター全体のヘルス状態の可視化
コマンドラインが苦手な方でも、Webコンソールがあれば日常的な管理はほぼGUIで完結します。
SIEMとのログ連携でセキュリティ監査を強化
SIEM(シーム)とは、ログを一元管理してセキュリティ上の異常を検知するシステムです。Octeliumは、アクセスログ・認証ログ・監査ログをOpenTelemetry経由で外部SIEMに送れます。
対応SIEMの例:
- Datadog
- Splunk
- Grafana
- Elasticsearch(ELKスタック)
「誰が・いつ・どのリソースに・何をしたか」がすべて記録されます。セキュリティインシデント発生時の調査が大幅に楽になります。
DNS/TLS自動管理(エンタープライズ版機能)
コミュニティ版では手動でのDNS設定・TLS証明書取得が必要です。エンタープライズ版では以下が自動化されます。
- DNS自動管理:Cloudflare・AWS Route 53と連携し、サービス追加時にDNSレコードを自動作成
- TLS証明書の自動取得・更新:Let’s Encrypt経由で証明書が自動発行・ローテーション
サービスを10個・20個と増やしていくと、手動管理の負担が積み重なります。スケールしていく段階でエンタープライズ版への移行を検討するといいでしょう。
SCIM 2.0によるユーザー管理の自動化
SCIMとは、ユーザーアカウントの自動プロビジョニング規格です。Microsoft Entra IDやOktaなどのIDプロバイダーと連携できます。入退社時のアカウント管理が自動化されます。
「退職者のアクセス権を消し忘れた」というセキュリティリスクがゼロになります。チームメンバーが増えてきたタイミングで設定しておくと安心です。
保存データの暗号化(Encryption at Rest)
クラスター内のシークレット(APIキー・パスワードなど)を、外部のシークレット管理サービスで暗号化して保管できます。
対応サービス:
- AWS KMS
- Google Cloud KMS
- Azure Key Vault
- HashiCorp Vault
サーバーに不正アクセスされても、暗号化されたシークレットは読み取れません。セキュリティ要件が厳しい環境での運用に対応できます。
よくあるトラブルと対処法
Q:Webコンソールにアクセスできない
原因の大半はDNS設定の不備です。
以下を順番に確認してみましょう。
- AレコードにVPSのパブリックIPが設定されているか
- ワイルドカードCNAME(*.ドメイン)が追加されているか
- DNS反映の待ち時間が足りていないか(設定後5〜30分かかる場合あり)
dig ドメイン名コマンドでDNS解決の状態を確認できます。正しいIPアドレスが返ってくれば、DNS側の設定は完了しています。
Q:TLS証明書の取得でエラーになる
Let’s Encryptにはレート制限があります。短時間に何度も証明書発行を試みると、一時的にブロックされます。1時間ほど待ってから再試行しましょう。
また、DNS反映が完了する前にoctops certを実行するとエラーになります。digコマンドでDNSが正しく解決されていることを確認してから実行するのが確実です。
Q:メモリ不足でクラスターが不安定になる
Octeliumの最低要件は2GBですが、実際には起動時にメモリがギリギリになることがあります。4GB以上のプランに変更するか、スワップ領域を追加することで安定します。スワップの設定は以下のコマンドで確認できます。
free -hQ:クライアント側はどうやって接続する?
Octeliumのクライアントアプリ(octeliumctl)をインストールしてログインするだけです。macOS・Linux・Windowsに対応しています。WireGuard/QUICで自動的にクラスターへ接続されます。SSH・Kubernetes・データベースへのアクセスも、クライアントを通じてシークレットなしで行えます。
まとめと次のステップ
- Octeliumはngrok・Tailscale・VPNをひとつに統合できる無料OSSツール
- VPS1台+ドメインで、月ほぼ0円(VPS代のみ)で運用できる
- v0.29でWebコンソールが追加され、GUIからリアルタイム管理が可能になった
- SIEM・SCIM・DNS自動管理・暗号化など、エンタープライズ用途にも対応
- インストールはコマンド3行、DNS・TLS設定を含めて約20〜30分で完了
自前のゼロトラスト環境を構築するには、まずVPS選びからスタートしましょう。n8nやOllamaなど他のセルフホストツールも同じVPSで動かせるので、まとめて環境を整えておくと後が楽です。
▶ VPSを使ったセルフホスト環境の構築については、n8nをVPSで自前ホストする方法も合わせて参考にしてみてください。
1人が役に立ったと評価
コメント