Es presenta el llançament de el projecte Cilium 1.4, en el qual, amb la participació de Google, Facebook, Netflix i Red Hat, S'està desenvolupant un sistema per garantir la interacció de la xarxa i aplicar polítiques de seguretat per a contenidors i processos aïllats.
Per distingir entre l'accés a la xarxa en Cilium, s'utilitzen eBPF (Berkeley Packet Filter) i XDP (EXpress Data Path). El codi per als components de nivell d'usuari s'escriu en Go i es distribueix sota la llicència Apache 2.0.
Els scripts BPF carregats en el nucli de Linux estan disponibles sota la llicència GPLv2.
sobre Cilium
La base de Cilium és un procés en segon pla que funciona en l'espai de l'usuari i realitza el treball de generar i compilar programes BPF, Així com interactuar amb el temps d'execució que proporciona els contenidors.
En la forma de programes BPF, s'implementen sistemes per assegurar la connectivitat dels contenidors, La integració amb el subsistema de xarxa (xarxes físiques i virtuals, VXLAN, Geneve) i l'equilibri de càrrega.
El procés en segon pla es complementa amb una interfície d'administració, un repositori de regles d'accés, un sistema de monitorització i mòduls d'integració amb suport per a Kubernetes, Mesos, Istio i Docker.
El rendiment d'una solució basada en Cilium amb una gran quantitat de serveis i connexions està dues vegades per davant de les solucions basades en iptables causa de la gran sobrecàrrega de recerca de les regles.
principals innovacions
Cili compta amb la capacitat de d'utilitzar i tornar a enviar el trànsit de servei entre diversos clústers Kubernetes.
També es proposa el concepte de serveis globals (una variant dels serveis de servei complet de Kubernetes amb backends en diversos clústers).
També compta amb eines per establir les regles per processar sol·licituds i respostes de DNS juntament amb grups de contenidors (Pods), el que li permet augmentar el control sobre l'ús de recursos externs dels contenidors.
A més, hi ha suport per a registrar totes les sol·licituds i respostes de DNS juntament amb els pods. A més de les regles d'accés al nivell de l'adreça IP, ara pot determinar quines consultes de DNS i respostes de DNS són vàlides i quines haurien d'estar bloquejades.
Per exemple, pot bloquejar l'accés a dominis específics o permetre sol·licituds només per al domini local, sense la necessitat de fer un seguiment dels canvis en l'enllaç dels dominis a la IP.
Això inclou la possibilitat d'utilitzar l'adreça IP retornada en el procés d'una sol·licitud de DNS per restringir les operacions de xarxa posteriors (per exemple, només pot permetre l'accés a les adreces IP que es van retornar durant la resolució de DNS.
Principals novetats de la versió 1.4 de Cilium
En la nova versió es va agregar suport experimental per al xifrat transparent de tot el trànsit entre serveis. El xifrat es pot utilitzar per al trànsit entre diferents clústers, així com dins de la mateixa clúster.
També s'ha afegit la capacitat d'autenticar nodes, el que permet que el clúster es col·loqui en una xarxa no fiable.
La nova funcionalitat permet, en cas de falles de backends que assegurin el funcionament de l'servei en un clúster, redirigir automàticament el trànsit als processadors d'aquest servei en un altre clúster.
es va agregar suport experimental per a les interfícies de xarxa IPVLAN, Permetent un major rendiment i menors retards en la interacció entre dos contenidors locals;
Es va agregar un mòdul per a la integració amb Flannel, un sistema per automatitzar la configuració de la interacció de xarxa entre nodes en un clúster Kubernetes, que li permet treballar en paral·lel o executar Cilium sobre Flannel (interacció de xarxa de Flannel, polítiques d'accés i balanceig de Cilium).
S'ha proporcionat assistència experimental per definir regles d'accés basades en metadades de AWS (Amazon Web Services), com etiquetes EC2, grups de seguretat i noms de VPC.
També s'ha proposat l'oportunitat de llançar Cilium a GKE (Google Kubernetes Cerca a Google Cloud) utilitzant COS (sistema operatiu optimitzat per a contenidors);
Amb la qual cosa es proporciona una oportunitat de prova per utilitzar Sockmap BPF per accelerar la comunicació entre processos locals (per exemple, útil per accelerar la interacció entre el proxy de sidecar i els processos locals).