Cilium 1.14 расширяет возможности сети за пределы Kubernetes и предлагает более высокие скорости
Статьи / Новости
Cilium, проект сетей, безопасности и наблюдения с открытым исходным кодом, выпустил версию 1.14 с множеством обновлений подключения, безопасности и наблюдения. Обновление Cilium 1.14 также представляет новые возможности ячеистой сети, высокоскоростную сеть и улучшения безопасности.
«Cilium быстро выходит за рамки Kubernetes и контейнерных сетей», — сказал SDxCentral Томас Граф, основатель Cilium и технический директор Isoвалентна. «Это становится общей облачной платформой подключения, соответствующей стандартам корпоративного уровня».
На сегодняшний день Cilium в основном используется вместе с платформой оркестрации контейнеров Kubernetes, но выпуск 1.14 снимает с нее ограничения и открывает гораздо более широкие возможности использования в сети.
Cilium — это проект с открытым исходным кодом, организованный Cloud Native Computing Foundation (CNCF) при коммерческой поддержке стартапа Isoвалентного (ранее известного как Coвалентный). В основе Cilium лежит использование eBPF (расширенный фильтр пакетов Беркли), который представляет собой технологию ядра Linux, которую можно использовать для сетевой безопасности и наблюдения. Проект Cilium стартовал в 2015 году и за прошедшие годы значительно разросся, теперь среди его пользователей есть IKEA, New York Times и Bloomberg.
Cilium 1.14 обеспечивает поддержку функции безопасности, известной как взаимная безопасность транспортного уровня (mTLS).
TLS является фактическим стандартом шифрования данных в сети, но для его эффективной работы часто может потребоваться сертификат TLS и отдельный центр сертификации (CA). Подход mTLS призван упростить развертывание и использование.
Граф пояснил, что до выхода новой версии Cilium предлагала шифрование на уровне сети с помощью IPsec и Wireguard, обеспечивающее межузловую аутентификацию. В новом обновлении он сообщил, что Cilium теперь имеет аутентификацию на уровне обслуживания и включает в себя стек SPIFFE/SPIRE, который автоматически генерирует сертификаты для всех сервисов и модулей, работающих в кластере Kubernetes.
Протокол управления передачей (TCP) является основой современных интернет-сетей и имеет множество атрибутов и расширений. Cilium 1.14 теперь обеспечивает поддержку новой возможности высокоскоростной сети, известной как BIG TCP. Граф отметил, что BIG TCP открывает возможность передачи данных с высокой пропускной способностью через одно TCP-соединение. Он отметил, что использование сетевых карт со скоростью 100 Гбит/с с Linux и Cilium какое-то время было возможным, но только в том случае, если для достижения общей пропускной способности использовалось несколько параллельных TCP-соединений.
Максимальная единица передачи (MTU) по проводу часто составляет 1,5 КБ или 9 КБ. По словам Графа, при использовании BIG TCP максимальный размер пакета в программном обеспечении может достигать 185 КБ, и это значительно увеличивает пропускную способность соединения.
«Благодаря BIG TCP одно TCP-соединение может обеспечить гораздо более высокую индивидуальную пропускную способность, чем раньше», — сказал Граф. «Это стало возможным благодаря увеличению максимального размера пакета, который может быть обработан в сетевом стеке Linux и Cilium».
В новейшей версии Cilium также реализована возможность, которую проект называет функцией L2 Announcement Policy. L2 — это ссылка на уровень 2, который является уровнем канала передачи данных в структуре взаимодействия открытых систем (OSI) для сетевой архитектуры.
Граф отметил, что функция L2 Announcement Policy полезна при использовании Cilium в качестве балансировщика нагрузки в локальных средах. Граф пояснил, что благодаря объявлению L2 Cilium может «рекламировать» IP-адрес службы в локальной сети L2, отвечая на запросы протокола разрешения адресов (ARP).
Несмотря на то, что Cilium становится все более пригодным для использования за пределами рабочих нагрузок Kubernetes, Kubernetes все еще находится в основе своей технологии.
«Мы превратились в сервисную сеть и внешний балансировщик нагрузки и быстро расширяем сеть для неконтейнерных рабочих нагрузок», — сказал Граф. «Все эти усилия объединяет постоянное внимание к Kubernetes и подходу, ориентированному на разработку платформ».