מוצגת השקת הפרויקט Cilium 1.4, בו, בהשתתפות גוגל, פייסבוק, נטפליקס ורד האט, זה מתפתח מערכת להבטיח אינטראקציה ברשת ולהחיל מדיניות אבטחה עבור מכולות ותהליכים מבודדים.
כדי להבחין בין גישה לרשת ב- Cilium, נעשה שימוש ב- eBPF (מסנן מנות של ברקלי) ו- XDP (נתיב נתונים eXpress). הקוד עבור הרכיבים ברמת המשתמש כתוב ב- Go ומופץ ברישיון Apache 2.0.
סקריפטים של BPF שטעונים בליבת הלינוקס זמינים ברישיון GPLv2.
על Cilium
היסוד של Cilium הוא תהליך רקע שעובד במרחב המשתמשים ועושה את העבודה לייצר ולהרכיב תוכניות BPF.וכן אינטראקציה עם זמן הריצה שמספק המכולות.
בצורה של תוכניות GMP, מערכות מיושמות כדי להבטיח קישוריות של המכולות, אינטגרציה עם תת המערכת של הרשת (רשתות פיזיות ווירטואליות, VXLAN, Geneve) ואיזון עומסים.
תהליך הרקע הוא משלים ממשק ניהול, מאגר של כללי גישה, מערכת ניטור ומודולי אינטגרציה עם תמיכה ב- Kubernetes, Mesos, Istio ו- Docker.
הביצועים של פתרון מבוסס Cilium עם מספר רב של שירותים וחיבורים מקדימים פעמיים פתרונות מבוססי iptables בשל תקופת החיפוש הגבוהה של הכללים.
חידושים עיקריים
סיליום יש לך את היכולת לנתב ולהעביר תעבורת שירות בין אשכולות Kubernetes מרובים.
הרעיון של שירותים גלובליים (גרסה של שירותי שירות מלא של Kubernetes עם backends במספר אשכולות) מוצע גם כן.
גם יש כלים להגדרת הכללים לעיבוד בקשות ותגובות DNS יחד עם קבוצות מכולות (תרמילים), המאפשר לך להגביר את השליטה על שימוש במשאבים חיצוניים במכולות.
בנוסף, יש תמיכה ברישום כל בקשות ה- DNS והתגובות יחד עם תרמילים. בנוסף לכללי גישה ברמת כתובת ה- IP, עכשיו תוכל לקבוע אילו שאילתות DNS ותגובות DNS תקפות ואילו יש לחסום.
לדוגמא, תוכלו לחסום גישה לדומיינים ספציפיים או לאפשר בקשות לדומיין המקומי בלבד, ללא צורך במעקב אחר שינויים בכריכת הדומיינים ל- IP.
זה כולל את היכולת להשתמש בכתובת ה- IP שהוחזרה בתהליך בקשת DNS להגבלת פעולות הרשת הבאות (לדוגמא, באפשרותך לאפשר גישה רק לכתובות IP שהוחזרו במהלך רזולוציית DNS.
התכונות החדשות העיקריות של גרסת 1.4 של Cilium
בגרסה החדשה נוספה תמיכה ניסיונית להצפנה שקופה של כל התעבורה בין השירותים. ניתן להשתמש בהצפנה לתנועה בין אשכולות שונים, כמו גם בתוך אותו אשכול.
זה נוסף גם היכולת לאמת צמתים, המאפשרים למקם את האשכול ברשת לא מהימנה.
הפונקציונליות החדשה מאפשרת, במקרה של תקלות אחוריות המבטיחות את הפעלת השירות באשכול, להפנות אוטומטית את התעבורה למעבדי שירות זה באשכול אחר.
נוסף תמיכה ניסיונית בממשקי רשת IPVLAN, המאפשר ביצועים גבוהים יותר ועיכובים נמוכים יותר באינטראקציה בין שני מכולות מקומיות;
הוסיף מודול לשילוב פלנל, מערכת לאוטומציה של תצורת אינטראקציה ברשת בין צמתים באשכול Kubernetes, ומאפשרת לך לעבוד במקביל או להפעיל Cilium על גבי Flannel (מדיניות אינטראקציה של רשת Flannel, איזון Cilium וגישה).
ניתן סיוע ניסיוני להגדרת כללי גישה המבוססים על מטא נתונים של AWS (שירותי אינטרנט של אמזון), כגון תגי EC2, קבוצות אבטחה ושמות VPC.
הוצעה גם ההזדמנות להשיק את Cilium ב- GKE (Google Kubernetes Engine ב- Google Cloud) באמצעות COS (מערכת הפעלה מותאמת למכולות);
זה מספק הזדמנות בדיקה להשתמש ב- Sockmap BPF כדי להאיץ את התקשורת בין תהליכים מקומיים (למשל, שימושי לזירוז האינטראקציה בין ה- proxy של מכונית הצד לתהליכים מקומיים).