Cilium 1.14 erweitert die Vernetzung über Kubernetes hinaus und bietet höhere Geschwindigkeiten
Artikel / Nachrichten
Cilium, ein Open-Source-Netzwerk-, Sicherheits- und Observability-Projekt, hat Version 1.14 mit einer Reihe von Konnektivitäts-, Sicherheits- und Observability-Updates veröffentlicht. Das Cilium 1.14-Update führt außerdem neue Mesh-Funktionen, Hochgeschwindigkeitsnetzwerke und Sicherheitsverbesserungen ein.
„Cilium wächst schnell über Kubernetes und Container-Netzwerke hinaus“, sagte Thomas Graf, Gründer von Cilium und CTO von Isovalent, gegenüber SDxCentral. „Es entwickelt sich zu einer umfassenden Cloud-nativen Konnektivitätsplattform, die den Standards der Enterprise-Klasse entspricht.“
Bisher wurde Cilium größtenteils zusammen mit der Container-Orchestrierungsplattform Kubernetes verwendet, aber mit der Version 1.14 wird es entfesselt, um viel umfassendere Netzwerkanwendungsfälle zu ermöglichen.
Cilium ist ein Open-Source-Projekt, das von der Cloud Native Computing Foundation (CNCF) gehostet wird und kommerzielle Unterstützung vom Startup Isovalent (früher bekannt als Covalent) erhält. Das Herzstück von Cilium ist die Verwendung des eBPF (Extended Berkeley Packet Filter), einer Linux-Kernel-Technologie, die für Netzwerksicherheit und Beobachtbarkeit verwendet werden kann. Das Cilium-Projekt wurde 2015 gestartet und ist im Laufe der Jahre erheblich gewachsen. Zu seinen Nutzern zählen mittlerweile IKEA, die New York Times und Bloomberg.
Cilium 1.14 bietet Unterstützung für eine Sicherheitsfunktion namens Mutual Transport Layer Security (mTLS).
TLS ist der De-facto-Standard für die Verschlüsselung von Daten über ein Netzwerk, erfordert jedoch oft ein TLS-Zertifikat und eine separate Zertifizierungsstelle (CA), um effektiv zu funktionieren. Der mTLS-Ansatz soll einfacher bereitzustellen und zu aktivieren sein.
Graf erklärte, dass Cilium vor der neuen Version eine Verschlüsselung auf Netzwerkebene mit IPsec und Wireguard sowie eine Knoten-zu-Knoten-Authentifizierung anbot. Mit dem neuen Update verfüge Cilium nun über eine Service-Level-Authentifizierung und einen SPIFFE/SPIRE-Stack, der automatisch Zertifikate für alle Dienste und Pods generiert, die in einem Kubernetes-Cluster ausgeführt werden.
Das Transmission Control Protocol (TCP) ist die Grundlage moderner internetbasierter Netzwerke und verfügt über viele Attribute und Erweiterungen. Cilium 1.14 bietet jetzt Unterstützung für eine neue Hochgeschwindigkeits-Netzwerkfunktion namens BIG TCP. Laut Graf erschließt BIG TCP die Möglichkeit, hohen Durchsatz über eine einzige TCP-Verbindung zu übertragen. Er wies darauf hin, dass die Verwendung von 100-Gbit/s-Netzwerkkarten mit Linux und Cilium schon seit einiger Zeit möglich sei, allerdings nur, wenn mehrere parallele TCP-Verbindungen verwendet würden, um den Gesamtdurchsatz zu erreichen.
Die maximale Übertragungseinheit (MTU) auf der Leitung beträgt häufig 1,5 KB oder 9 KB. Bei BIG TCP kann laut Graf die maximale Paketgröße in der Software bis zu 185 KB betragen, was den Durchsatz einer Verbindung erheblich erhöht.
„Mit BIG TCP kann eine einzelne TCP-Verbindung einen viel höheren individuellen Durchsatz als zuvor erreichen“, sagte Graf. „Möglich wird dies durch die Erweiterung der maximalen Paketgröße, die im Netzwerk-Stack von Linux und Cilium verarbeitet werden kann.“
Die neueste Version von Cilium integriert auch eine Funktion, die das Projekt als L2 Announcement Policy-Funktion bezeichnet. L2 ist ein Verweis auf Schicht 2, die Datenverbindungsschicht im Open Systems Interconnection (OSI)-Framework für die Netzwerkarchitektur.
Laut Graf ist die Funktion „L2 Announcement Policy“ nützlich, wenn Cilium als Load-Balancer in lokalen Umgebungen ausgeführt wird. Graf erklärte, dass Cilium mit der L2-Ankündigung eine Dienst-IP-Adresse in einem lokalen L2-Netzwerk „ankündigen“ kann, indem es auf ARP-Anfragen (Address Resolution Protocol) antwortet.
Auch wenn Cilium zunehmend für Anwendungen außerhalb von Kubernetes-Workloads geeignet ist, bildet Kubernetes immer noch die Grundlage seiner Technologie.
„Wir haben uns zu einem Service-Mesh und externen Load-Balancer entwickelt und expandieren schnell im Netzwerkbereich für Nicht-Container-Workloads“, sagte Graf. „Was all diese Bemühungen miteinander verbindet, ist die kontinuierliche Fokussierung auf einen Kubernetes- und Plattform-Engineering-zentrierten Ansatz.“