Predstavljeno je pokretanje projekta Cilium 1.4, u kojem su, uz sudjelovanje Googlea, Facebooka, Netflixa i Red Hat-a, razvija se sustav koji jamči mrežnu interakciju i primjenjuje sigurnosne politike za izolirane spremnike i procese.
Da biste razlikovali mrežni pristup u Ciliumu, koristi se eBPF (Berkeley paketni filtar) i XDP (eXpress put podataka). Kôd za komponente na razini korisnika napisan je u programu Go i distribuira se pod licencom Apache 2.0.
BPF skripte učitane u Linux kernel dostupne su pod licencom GPLv2.
O Ciliumu
Osnova Ciliuma je pozadinski proces koji radi u korisničkom prostoru i generira i kompilira BPF programe., kao i interakcija s vremenom izvođenja koje pružaju spremnici.
U obliku GMP programa, implementirani su sustavi koji osiguravaju povezanost spremnika, integracija s mrežnim podsustavom (fizičke i virtualne mreže, VXLAN, Geneve) i uravnoteženje opterećenja.
Pozadinski postupak je nadopunjeno administracijskim sučeljem, spremištem pravila pristupa, sustav praćenja i integracijski moduli s podrškom za Kubernetes, Mesos, Istio i Docker.
Izvedba rješenja temeljenog na Ciliumu s velikim brojem usluga i veza dvostruko je ispred rješenja temeljenih na iptables zbog velikog opterećenja pravila pri pretraživanju.
Glavne inovacije
Trepetljika imate mogućnost usmjeravanja i prosljeđivanja uslužnog prometa između više Kubernetes klastera.
Predlaže se i koncept globalnih usluga (varijanta Kubernetesovih usluga s cjelovitim uslugama s višeklasternim pozadinskim mrežama).
također ima alate za postavljanje pravila za obradu DNS zahtjeva i odgovora zajedno s skupinama spremnika (mahune), omogućujući vam da povećate kontrolu nad korištenjem spremnika s vanjskim resursima.
Osim toga, postoji podrška za bilježenje svih DNS zahtjeva i odgovora zajedno s pods. Uz pravila pristupa na razini IP adrese, sada možete utvrditi koji su DNS upiti i DNS odgovori valjani, a koje treba blokirati.
Na primjer, možete blokirati pristup određenim domenama ili dopustiti zahtjeve samo za lokalnu domenu, bez potrebe za praćenjem promjena u vezivanju domena na IP.
To uključuje mogućnost upotrebe vraćene IP adrese u procesu DNS zahtjeva za ograničavanje naknadnih mrežnih operacija (na primjer, možete dopustiti pristup samo IP adresama koje su vraćene tijekom DNS rezolucije.
Glavne nove značajke verzije 1.4 Ciliuma
U novoj verziji Dodana je eksperimentalna podrška za transparentno šifriranje cjelokupnog prometa između usluga. Šifriranje se može koristiti za promet između različitih klastera, kao i unutar istog klastera.
Također je dodano mogućnost autentifikacije čvorova, omogućujući postavljanje klastera na nepouzdanu mrežu.
Nova funkcionalnost omogućuje, u slučaju kvara pozadine koji osiguravaju rad usluge u klasteru, automatski preusmjeravanje prometa na procesore ove usluge u drugom klasteru.
Dodano eksperimentalna podrška za IPVLAN mrežna sučelja, omogućujući veće performanse i manja kašnjenja u interakciji između dva lokalna spremnika;
Dodan modul za Flannel integraciju, sustav za automatizaciju konfiguracije mrežne interakcije između čvorova u Kubernetesovom klasteru, omogućujući vam paralelni rad ili pokretanje Ciliuma na vrhu Flannela (Flannelova mrežna interakcija, politike uravnoteženja i pristupa Cilium-u).
Pružena je eksperimentalna pomoć za definiranje pravila pristupa na temelju AWS metapodataka (Amazon Web Services), poput EC2 oznaka, sigurnosnih grupa i VPC imena.
Predložena je i prilika za pokretanje Ciliuma na GKE (Google Kubernetes Engine na Google Cloudu) pomoću COS-a (Container Optimized Operating System);
To pruža testnu priliku za upotrebu Sockmap BPF-a za ubrzanje komunikacije između lokalnih procesa (na primjer, korisno za ubrzavanje interakcije između proxyja bočne prikolice i lokalnih procesa).