Представено е стартирането на проекта Cilium 1.4, в който с участието на Google, Facebook, Netflix и Red Hat, тя се развива система за гарантиране на мрежово взаимодействие и прилагане на политики за сигурност за изолирани контейнери и процеси.
За да правите разлика между мрежовия достъп в Cilium, eBPF се използва (Бъркли филтър за пакети) и XDP (eXpress път на данни). Кодът за компонентите на ниво потребител е написан в Go и се разпространява под лиценза Apache 2.0.
BPF скриптовете, заредени в ядрото на Linux, са достъпни под лиценза GPLv2.
За Cilium
Фондацията на Cilium е фонов процес, който работи в потребителското пространство и върши работата по генериране и компилиране на BPF програми., както и взаимодействие с времето за изпълнение, осигурено от контейнерите.
Под формата на GMP програми, внедрени са системи за осигуряване на свързаността на контейнерите, интеграция с мрежовата подсистема (физически и виртуални мрежи, VXLAN, Geneve) и балансиране на натоварването.
Фоновият процес е допълнен с административен интерфейс, хранилище на правила за достъп, система за наблюдение и интеграционни модули с поддръжка за Kubernetes, Mesos, Istio и Docker.
Ефективността на решение, базирано на Cilium, с голям брой услуги и връзки е два пъти по-напред от решенията, базирани на iptables, поради високите разходи за търсене на правилата.
Основни иновации
цилиума имате възможност за маршрутизиране и пренасочване на трафик на услуги между множество клъстери Kubernetes.
Предлага се и концепцията за глобални услуги (вариант на услугите с пълен набор услуги на Kubernetes с бекендове на множество клъстери).
също разполага с инструменти за задаване на правилата за обработка на DNS заявки и отговори заедно с групи контейнери (pods), което ви позволява да увеличите контрола върху използването на външни ресурси на контейнери.
Освен това, има поддръжка за регистриране на всички DNS заявки и отговори заедно с под. В допълнение към правилата за достъп на ниво IP адрес, сега можете да определите кои DNS заявки и DNS отговори са валидни и кои трябва да бъдат блокирани.
Например можете да блокирате достъпа до конкретни домейни или да разрешите заявки само за локалния домейн, без да е необходимо да проследявате промените в обвързването на домейни с IP.
Това включва възможността да се използва върнатият IP адрес в процеса на DNS заявка за ограничаване на последващи мрежови операции (например, можете да разрешите достъп само до IP адреси, върнати по време на DNS резолюция.
Основни нови функции на Cilium версия 1.4
В новата версия Добавена е експериментална поддръжка за прозрачно криптиране на целия трафик между услугите. Шифроването може да се използва за трафик между различни клъстери, както и в рамките на един и същ клъстер.
Той също е добавен възможност за удостоверяване на възли, позволяваща клъстера да бъде поставен в ненадеждна мрежа.
Новата функционалност позволява, в случай на бекенд откази, които осигуряват работата на услугата в клъстер, автоматично да пренасочи трафика към процесорите на тази услуга в друг клъстер.
Добавено експериментална поддръжка за IPVLAN мрежови интерфейси, позволяваща по-висока производителност и по-ниски закъснения във взаимодействието между два локални контейнера;
Добавен модул за Flannel интеграция, система за автоматизиране на конфигурацията на мрежово взаимодействие между възли в клъстер Kubernetes, която ви позволява да работите паралелно или да стартирате Cilium върху Flannel (Flannel мрежово взаимодействие, политики за балансиране и достъп на Cilium).
Осигурена е експериментална помощ за определяне на правила за достъп въз основа на метаданни на AWS (Amazon Web Services), като EC2 тагове, групи за сигурност и VPC имена.
Предложена е и възможността за стартиране на Cilium на GKE (Google Kubernetes Engine на Google Cloud) с помощта на COS (Container Optimized Operating System);
Това предоставя тестова възможност за използване на Sockmap BPF за ускоряване на комуникацията между локални процеси (например полезно за ускоряване на взаимодействието между проксито на страничната количка и локалните процеси).