มีการนำเสนอการเปิดตัวโครงการ Cilium 1.4 ซึ่งมีส่วนร่วมของ Google, Facebook, Netflix และ Red Hatมันกำลังพัฒนา ระบบรับประกันการโต้ตอบกับเครือข่ายและใช้นโยบายการรักษาความปลอดภัยสำหรับคอนเทนเนอร์และกระบวนการแยก
เพื่อแยกความแตกต่างระหว่างการเข้าถึงเครือข่ายใน Cilium ใช้ eBPF (ตัวกรอง Berkeley Packet) และ XDP (เส้นทางข้อมูล eXpress) รหัสสำหรับคอมโพเนนต์ระดับผู้ใช้เขียนใน Go และแจกจ่ายภายใต้สิทธิ์การใช้งาน Apache 2.0
สคริปต์ BPF ที่โหลดลงในเคอร์เนล Linux มีให้ใช้งานภายใต้ไลเซนส์ GPLv2
เกี่ยวกับ Cilium
รากฐานของ Cilium เป็นกระบวนการพื้นหลังที่ทำงานในพื้นที่ของผู้ใช้และทำงานในการสร้างและรวบรวมโปรแกรม BPFตลอดจนการโต้ตอบกับรันไทม์ที่จัดเตรียมโดยคอนเทนเนอร์
ในรูปแบบของโปรแกรม GMP มีการนำระบบมาใช้เพื่อให้แน่ใจว่ามีการเชื่อมต่อของคอนเทนเนอร์, การรวมเข้ากับระบบย่อยเครือข่าย (เครือข่ายฟิสิคัลและเสมือน, VXLAN, Geneve) และการทำโหลดบาลานซ์
กระบวนการเบื้องหลังคือ เสริมด้วยอินเทอร์เฟซการดูแลระบบที่เก็บกฎการเข้าถึง ระบบการตรวจสอบและโมดูลการรวมที่รองรับ Kubernetes, Mesos, Istio และ Docker
ประสิทธิภาพของโซลูชันที่ใช้ Cilium พร้อมบริการและการเชื่อมต่อจำนวนมากนั้นเหนือกว่าโซลูชันที่ใช้ iptables ถึงสองเท่าเนื่องจากค่าใช้จ่ายในการค้นหาที่สูงตามกฎ
นวัตกรรมหลัก
ซีเลีย คุณสามารถกำหนดเส้นทางและส่งต่อการรับส่งข้อมูลบริการระหว่างคลัสเตอร์ Kubernetes หลายคลัสเตอร์ได้
นอกจากนี้ยังมีการนำเสนอแนวคิดของบริการทั่วโลก (บริการแบบครบวงจรของ Kubernetes ที่มีแบ็กเอนด์แบบหลายคลัสเตอร์)
ด้วย มีเครื่องมือในการตั้งกฎสำหรับการประมวลผลคำขอ DNS และการตอบกลับพร้อมกับกลุ่มคอนเทนเนอร์ (pods) ช่วยให้คุณสามารถเพิ่มการควบคุมการใช้ทรัพยากรภายนอกของคอนเทนเนอร์ได้
นอกจากนี้ มีการสนับสนุนสำหรับการบันทึกคำขอและการตอบสนอง DNS ทั้งหมดพร้อมกับพ็อด. นอกเหนือจากกฎการเข้าถึงในระดับที่อยู่ IP แล้วตอนนี้ คุณสามารถกำหนดได้ว่าแบบสอบถาม DNS และการตอบสนองของ DNS ใดที่ถูกต้องและควรถูกบล็อก
ตัวอย่างเช่นคุณสามารถบล็อกการเข้าถึงโดเมนเฉพาะหรืออนุญาตการร้องขอสำหรับโดเมนภายในเครื่องเท่านั้นโดยไม่จำเป็นต้องติดตามการเปลี่ยนแปลงในการเชื่อมโยงโดเมนกับ IP
ซึ่งรวมถึงความสามารถในการใช้ที่อยู่ IP ที่ส่งคืนในกระบวนการขอ DNS เพื่อ จำกัด การทำงานของเครือข่ายในภายหลัง (ตัวอย่างเช่นคุณสามารถอนุญาตให้เข้าถึงเฉพาะที่อยู่ IP ที่ส่งคืนในระหว่างการแก้ปัญหา DNS
คุณสมบัติใหม่หลักของ Cilium เวอร์ชัน 1.4
ในเวอร์ชันใหม่ เพิ่มการสนับสนุนทดลองสำหรับการเข้ารหัสที่โปร่งใสของการรับส่งข้อมูลทั้งหมดระหว่างบริการ การเข้ารหัสสามารถใช้สำหรับการรับส่งข้อมูลระหว่างคลัสเตอร์ต่างๆรวมทั้งภายในคลัสเตอร์เดียวกัน
นอกจากนี้ยังได้รับการเพิ่ม ความสามารถในการตรวจสอบความถูกต้องของโหนดทำให้สามารถวางคลัสเตอร์บนเครือข่ายที่ไม่น่าเชื่อถือได้
ฟังก์ชันใหม่ช่วยให้ในกรณีที่แบ็กเอนด์ล้มเหลวซึ่งทำให้มั่นใจได้ว่าการทำงานของบริการในคลัสเตอร์จะเปลี่ยนเส้นทางทราฟฟิกไปยังโปรเซสเซอร์ของบริการนี้ในคลัสเตอร์อื่นโดยอัตโนมัติ
เพิ่มแล้ว การสนับสนุนการทดลองสำหรับอินเทอร์เฟซเครือข่าย IPVLANช่วยให้มีประสิทธิภาพที่สูงขึ้นและลดความล่าช้าในการโต้ตอบระหว่างคอนเทนเนอร์ภายในสองตู้
เพิ่มโมดูลสำหรับการรวมผ้าสักหลาด ระบบสำหรับกำหนดค่าการโต้ตอบเครือข่ายระหว่างโหนดในคลัสเตอร์ Kubernetes โดยอัตโนมัติช่วยให้คุณทำงานแบบขนานหรือเรียกใช้ Cilium ที่ด้านบนของ Flannel (การโต้ตอบเครือข่าย Flannel นโยบายการปรับสมดุล Cilium และการเข้าถึง)
มีการให้ความช่วยเหลือในการทดลองเพื่อกำหนดกฎการเข้าถึงตามข้อมูลเมตาของ AWS (Amazon Web Services) เช่นแท็ก EC2 กลุ่มความปลอดภัยและชื่อ VPC
นอกจากนี้ยังมีการเสนอโอกาสในการเปิดตัว Cilium บน GKE (Google Kubernetes Engine บน Google Cloud) โดยใช้ COS (Container Optimized Operating System)
นี่เป็นโอกาสในการทดสอบในการใช้ Sockmap BPF เพื่อเร่งความเร็วในการสื่อสารระหว่างกระบวนการในพื้นที่ (ตัวอย่างเช่นมีประโยชน์สำหรับการเร่งการโต้ตอบระหว่างพร็อกซีด้านข้างและกระบวนการในพื้นที่)