2026-01-14 の一覧へ戻るホーム
**HNに質問:** 「WireGuard上でVxLANを使うか、VxLAN上でWireGuardを使うか?」

2026/01/14 4:53

**HNに質問:** 「WireGuard上でVxLANを使うか、VxLAN上でWireGuardを使うか?」

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

著者は、趣味のホームラボ(Hetznerから自宅への~20 ms RTT)でWireGuard上にVXLANを重ねる実験を行っています。動作はしますが、この構成はMTU断片化とパケットサイズ制限によりNATホールパンチングが必要になるため、本番環境には適していません。その結果、WireGuard内のVXLANや逆にVXLAN内のWireGuardなど、ネストされたVPNは、別々のリージョン間トラフィックが必要でない限り過剰になります。

議論では代替発見方法についても触れられており、WireGuardによる自動ピア検出は不確実です。BGP‑EVPNはVXLANエンドポイント発見の潜在的な置き換え手段として挙げられています。Google の社内ネットワークでは GRE/GENEVE に似たカプセル化とジャムフレーム(> 9000 B)を使用していますが、L3 セマンティクスは維持されています。

著者は、ルート WireGuard トンネルを完全に排除し純粋な VXLAN/Flannel に切り替える試みも失敗したと指摘しており、ホールパンチングがまだ必要だったためです。再帰的ネスティング(WireGuard→VXLAN→WireGuard)は一般的には推奨されませんが、文脈によっては例外があります。

公開ネットワーク上で分離された L2 ドメインを必要とするユーザー(例えば複数のハイパーバイザー)に対しては、WireGuard 上の VXLAN は実用的なアプローチとなり得ますが、より広範な本番環境では、L2 を WAN に拡張するよりもルーティングを採用することを推奨しています。

最後に、著者は BGP を WireGuard 上で実行し探索的な週末プロジェクトとして発見性を向上させる試験を提案しており、EoIP over WG や単純 IP/VXLAN といった他の Layer‑2 相当プロトコルも検討していますが、結局はほとんどの場合でルーティングソリューションを優先する方針です。

本文

私は趣味用のセットアップでWireGuard上にVXLANを乗せています――本番環境では推奨されないかもしれません。主な理由は、私のホームラボがHetznerから自宅へと構成されており(約20 msの往復遅延)、それが影響しているためです。rootレベルのWireGuardを落としてFlannelだけでVXLANを使うことも検討しましたが、NATホールパンチングが必要なのでWireGuard層は残しています。WireGuardをVXLAN(Flannel)内にネストすると、異なるリージョン間のノード間トラフィックをネットワーク上の他のピアから分離したい場合以外では過剰になるでしょう。そのようなケースがどこで有用かは不明です。ピアをブロックする方が「root」レベルのWireGuardで簡単です。

ネストされたWireGuardネットワークにはMTUの問題が発生し得ます。L3ではなくL2で動作するWireGuard相当のものはありますか?これはホームラボ環境で仮想メッシュネットワークを構築するために必要です。現在の設定はTalos LinuxのKubeSpanを使って、WireGuardトンネル上にVXLANまたはGENEVEを走らせていますが、L2アクセスを持つとロードバランシングが簡素化されると思います。

ディスカバリーメカニズム:
WGで自動ピア管理ができるものは何か不明です。VXLANエンドポイントのディスカバリにBGP‑EVPNを使うなら、WG over VXLANの方が管理しやすいでしょう。VXLAN IDでL2ドメインを分離したい場合――例えばパブリックネットワーク上で異なるVMグループを実行しているハイパーバイザーを区別するなど――ならばWireGuard上にVXLANを乗せる方が適切です。

結論:
WAN上でL2を伸ばす理由はほとんどないので、VXLANは捨てましょう。単にトラフィックを経路転送するだけで十分です。

「WireGuard inside VXLAN inside WireGuard(再帰的)になるのは悪いアイデアだ」と合意しましょう――しかし、状況によっては必ずしもそうとは限りません。パブリックネットワークを横断していても同様です。

私は長らくWireGuardを使っていますが、BGP over it を考えたことはありませんでした。週末のプロジェクトとして試す価値はあるかもしれません。MTUが減ると余分なヘッダーやオーバーヘッドで最大パケットサイズが切り捨てられます――Googleは内部ルーティングをこのように行っています。IPSec相当、VXLAN相当、IPSec相当:脆弱層がトラフィックの詳細を知ることを防ぎます。

あなたがそのアイデアを思いついた背景は何ですか?Google内部では「脆弱性防止」のためではなく、メタデータ(トレース、遅延予算、請求IDなど)を運ぶためにGRE/GENEVEのような仕組みを使っています。カプセル化は単なる輸送手段――本質的にはL3セマンティクスが下位まで継続しています。L2は大規模では扱いづらく、ブロードキャスト/マルチキャストが機能しないためです。そのためGoogleは独自のソリューションとカスタムプロトコルを用いていますが、依然としてL3セマンティクスに基づいています。

さらに学びたい方へ:

データセンター間の内部リンクはジャムフレーム(MTU > 9000)を使用します。WireGuardはL3トランスポート、VXLANはL3上に乗るL2ライクなトランスポートです。EoIP over WireGuardで好きなVLANを使ったり、VXLAN over plain IP, EoIP, WireGuard, IPSec などの構成も可能です。ただし暗号化が必要ならWireGuardと非NULLセキュリティ付きIPSecのみが転送中に暗号化を提供します――そして必須のX/Y問題は依然として適用されます。

同じ日のほかのニュース

一覧に戻る →

2026/01/14 5:45

**ゲームズ・ワークショップ、スタッフのAI使用を全面禁止 経営陣はテクノロジーに興味津々でない** - 同社は従業員が業務上人工知能ツールを利用することを一律で禁じる方針を採用しました。 - 経営層は知的財産の安全性や創造的コントロールへの影響を懸念していると述べています。 - 業界内では注目が集まっても、上級経営者はAIがデザイン・生産フローに与えるメリットに対し慎重な姿勢を保ち続けています。

## Japanese Translation: **改善された概要** Games Workshop は、コンテンツ制作と設計プロセスにおける生成型 AI ツールの使用を正式に禁止しました。この方針では、厳格な監視下で数名の上級マネージャーのみが AI を実験できるようになっていますが、その可能性についてはまだ誰も興奮していません。外部コンペティションへの参加を含む不正使用は禁止されており、企業はデータ準拠・セキュリティ・ガバナンスを監視し、AI/ML エンジンがデバイスに自動インストールされるのを防止する必要があります。 GW の禁止措置は知的財産権を保護し、人間クリエイターを尊重するとともに、上級スタッフによる限定的な調査を許可しています。この決定は、より広い文脈の中で行われました。GW は *Warhammer 40,000* や *Age of Sigmar* などのフラッグシップテーブルトップタイトルを所有し、高品質のコデックス本・ミニチュア・アニメーションを販売しており、最近は新規採用で Warhammer Studio を拡大しました。Displate の作品に関する最近の紛争―Displate がそのアートワークが AI によって生成されたと否定し、「赤旗」を人為的なミスに帰せたケース―は、ファンが生成型 AI アートに対して反発していることを示しています。特に Warhammer の美学に大きな影響力を持つアーティスト John Blanche の存在がその背景にあります。 今後も GW はデータ準拠とセキュリティの監視を継続します。上級マネージャーは AI の可能性を探るかもしれませんが、内部方針の変更や外部圧力が変わらない限り、広範な採用は見込めません。この禁止措置により GW は Genvid、EA、Square Enix など AI を積極的に導入している競合他社に比べて遅れを取ることになり、ゲーム開発の競争ダイナミクスが変わる可能性があります。これは生成型 AI の統合に対する業界全体の慎重な姿勢を反映しています。

2026/01/14 2:10

**チューリップ・クリエイティブ・コンピュータ** - 芸術と技術のユニークな融合 - 革新的なビジュアル体験を設計 - 鮮やかなカラーパレットと最先端ハードウェアを組み合わせる

## 日本語訳: **Tulip CC** は低電力で手頃な価格のセルフコンテインドポータブルコンピュータで、オープンソースの音楽ワークステーションとしても機能します。ESP32‑S3マイクロコントローラを中心に構築され、MicroPython を実行し、AMY ステレオ 120 ボイスシンセサイザーエンジン(加法/減法/F‑M 合成、サンプラー、Karplus–Strong、アナログフィルタ、シーケンサー、ドラムマシン、パッチエディタ)とキャパシティブ・マルチタッチ対応のタッチスクリーンディスプレイを備えています。 デバイスは 8.5 MB の RAM(MicroPython 用 2 MB、OS 用 1.5 MB、残りがグラフィックスフレームバッファ)と 32 MB のフラッシュ(うち 24 MB が使用可能)、Wi‑Fi、USB キーボード/マウス/MIDI、I²C/Grove/Mabee コネクタをセンサーや周辺機器用に搭載し、組み込みの pico/nano スタイルエディタ(構文ハイライトと REPL)も備えています。グラフィックスは LVGL によって処理されます:テキストフレームバッファ 128 × 50(ANSI 256 色)、スキャンラインあたり最大 32 スプライト(32 KB ビットマップメモリ)、1024 × 600 の背景フレームバッファでスクロール、PNG ローディング、デフォルト 30 FPS、解像度調整可能、256 色。 電力消費は 5 V で 575 mA(中程度の輝度)で、LiPo、18650、または USB バッテリーパックに対応しています。追加ソフトウェア機能として、ネイティブチャット/ファイル共有 BBS「TULIP ~ WORLD」、MIDI 入出力コールバック、およびクリエーションの共有用 Web バージョンがあります。 Tulip CC は市販ユニット、DIY ハードウェアキット、フル機能の Web アプリ、またはネイティブデスクトップアプリ(Mac/Linux/WSL)として入手可能です。開発リソース—完全な API ドキュメント、チュートリアル、Discord コミュニティ、およびオープンソース GitHub リポジトリ—が提供されており、埋め込みデバイスとデスクトップ環境の両方で動作するために貢献が必要です。将来のファームウェア更新では、合成モジュールの拡張、LVGL を介したグラフィックス解像度の向上、および電力効率の改善がコミュニティの入力を受けて行われる可能性があります。

2026/01/14 1:22

「二つの頭(=複数の視点)が一つより優れているのでしょうか?」

## Japanese Translation: ## 要約 コイントスの結果を時折だけ報告する人々がいる場合、報告者数が奇数であると予測精度が向上し、さらに1人追加して偶数にすると追加効果は得られないという点が主旨です。 シミュレーションと解析的な検証から次のように示されています:正直な友人(80 % 正解率)を1人だけ持つ場合、2人目を加えても精度は80 %のままであり、合意しても不一致が相殺されるため利益がありません。3人目が参加すると精度は90 %に上昇し、4人目が加わると再び90 %に戻ります。このパターンは奇数回報者ごとに繰り返されます。 この発見はコンドルセートの陪審理論を反映しており、偶数規模のグループでは多数決が引き分けになる可能性があるため、新たな情報を提供しないことを説明しています。著者は、創造的執筆プロジェクトを開催するプログラミングリトリート「Recurse Center」でベッティングシミュレーションを実行している際にこの現象に気付きました。 今後の研究では、この傾向がより複雑な投票設定や大規模グループでも維持されるかどうかを検証することが期待されます。グループサイズと偶奇性が意思決定品質に与える影響を理解することで、クラウドソーシングサイト、陪審制度、または人間の判断を集約するあらゆるプラットフォームの設計者が、不必要な偶数参加者を追加しないよう助けることができます。

**HNに質問:** 「WireGuard上でVxLANを使うか、VxLAN上でWireGuardを使うか?」 | そっか~ニュース