Projenin lansmanı sunuldu Google, Facebook, Netflix ve Red Hat'in katılımıyla gerçekleşen Cilium 1.4gelişiyor ağ etkileşimini garanti eden ve yalıtılmış kaplar ve süreçler için güvenlik politikaları uygulayan bir sistem.
Cilium'da ağ erişimini ayırt etmek için, eBPF kullanılır (Berkeley Paket Filtresi) ve XDP (eXpress Veri Yolu). Kullanıcı düzeyindeki bileşenlerin kodu Go'da yazılır ve Apache 2.0 lisansı altında dağıtılır.
Linux çekirdeğine yüklenen BPF betikleri GPLv2 lisansı altında mevcuttur.
Cilium hakkında
Cilium'un temeli, kullanıcı alanında çalışan ve BPF programları oluşturma ve derleme işini yapan bir arka plan sürecidir.kapsayıcılar tarafından sağlanan çalışma zamanıyla etkileşimde bulunmanın yanı sıra.
GMP programları şeklinde, konteynerlerin bağlanabilirliğini sağlamak için sistemler uygulanmaktadır, ağ alt sistemi (fiziksel ve sanal ağlar, VXLAN, Geneve) ile entegrasyon ve yük dengeleme.
Arka plan süreci bir yönetim arayüzü, erişim kuralları deposu ile tamamlanır, Kubernetes, Mesos, Istio ve Docker destekli bir izleme sistemi ve entegrasyon modülleri.
Çok sayıda hizmet ve bağlantıya sahip Cilium tabanlı bir çözümün performansı, kuralların yüksek arama yükü nedeniyle iptables tabanlı çözümlerden iki kat daha önde.
Ana yenilikler
kirpik birden çok Kubernetes kümesi arasında hizmet trafiğini yönlendirme ve iletme olanağına sahipsiniz.
Küresel hizmetler kavramı (çoklu kümeli arka uçlara sahip Kubernetes tam hizmet hizmetlerinin bir çeşidi) da önerilmektedir.
ayrıca kapsayıcı gruplarıyla birlikte DNS isteklerini ve yanıtlarını işlemek için kuralları belirleyen araçlara sahiptir (bölmeler), kapsayıcıların harici kaynak kullanımı üzerindeki kontrolü artırmanıza olanak tanır.
Buna ek olarak, Tüm DNS isteklerini ve yanıtlarını bölmelerle birlikte günlüğe kaydetme desteği var. IP adresi seviyesindeki erişim kurallarına ek olarak, şimdi hangi DNS sorgularının ve DNS yanıtlarının geçerli olduğunu ve hangilerinin engellenmesi gerektiğini belirleyebilirsiniz.
Örneğin, belirli etki alanlarına erişimi engelleyebilir veya etki alanlarının IP'ye bağlanmasındaki değişiklikleri izlemenize gerek kalmadan yalnızca yerel etki alanı için isteklere izin verebilirsiniz.
Bu, sonraki ağ işlemlerini kısıtlamak için bir DNS isteği sürecinde döndürülen IP adresini kullanma yeteneğini içerir (örneğin, yalnızca DNS çözümlemesi sırasında döndürülen IP adreslerine erişime izin verebilirsiniz.
Cilium sürüm 1.4'ün ana yeni özellikleri
Yeni versiyonda Hizmetler arasındaki tüm trafiğin şeffaf şifrelenmesi için deneysel destek eklendi. Şifreleme, farklı kümeler arasındaki ve aynı küme içindeki trafik için kullanılabilir.
Ayrıca eklendi düğümlerin kimlik doğrulaması yeteneği, kümenin güvenilmeyen bir ağa yerleştirilmesine izin verir.
Yeni işlevsellik, hizmetin bir kümede çalışmasını sağlayan arka uç arızaları durumunda, trafiği otomatik olarak başka bir kümedeki bu hizmetin işlemcilerine yeniden yönlendirmeye izin verir.
Katma IPVLAN ağ arayüzleri için deneysel destek, iki yerel konteyner arasındaki etkileşimde daha yüksek performans ve daha düşük gecikmelere izin vermek;
Flannel entegrasyonu için bir modül eklendi, Bir Kubernetes kümesindeki düğümler arasındaki ağ etkileşiminin yapılandırmasını otomatikleştiren bir sistem, paralel olarak çalışmanıza veya Flannel üzerinde Cilium'u çalıştırmanıza olanak tanır (Flannel ağ etkileşimi, Cilium dengeleme ve erişim politikaları).
AWS meta verilerine dayalı erişim kurallarını tanımlamak için deneysel yardım sağlandı EC2 etiketleri, güvenlik grupları ve VPC adları gibi (Amazon Web Hizmetleri).
Ayrıca, COS (Container Optimized Operating System) kullanarak GKE'de (Google Kubernetes Engine on Google Kubernetes Engine) Cilium'u başlatma fırsatı da önerildi;
Bu, yerel süreçler arasındaki iletişimi hızlandırmak için Sockmap BPF'yi kullanmak için bir test fırsatı sağlar (örneğin, yardımcı vekil ile yerel işlemler arasındaki etkileşimi hızlandırmak için yararlıdır).