Cilium 1.14 espande il networking oltre Kubernetes e offre velocità più elevate

Articoli / Notizie

Cilium, un progetto open source di networking, sicurezza e osservabilità, ha rilasciato la versione 1.14 con una serie di aggiornamenti di connettività, sicurezza e osservabilità. L'aggiornamento Cilium 1.14 introduce inoltre nuove funzionalità mesh, reti ad alta velocità e miglioramenti della sicurezza.

“Cilium sta rapidamente crescendo oltre Kubernetes e oltre la rete di contenitori”, ha dichiarato a SDxCentral Thomas Graf, fondatore di Cilium e CTO di Isovalent. "Sta diventando una piattaforma di connettività cloud-native complessiva che soddisfa gli standard di livello aziendale."

Fino ad oggi, Cilium è stato ampiamente utilizzato insieme alla piattaforma di orchestrazione dei contenitori Kubernetes, ma la versione 1.14 lo sblocca per consentire casi d'uso di rete molto più ampi.

Cilium è un progetto open source ospitato dalla Cloud Native Computing Foundation (CNCF), con il supporto commerciale della startup Isovalent (precedentemente nota come Covalent). Al centro di Cilium c'è l'uso di eBPF (extended Berkeley Packet Filter), che è una tecnologia del kernel Linux che può essere utilizzata per la sicurezza e l'osservabilità della rete. Il progetto Cilium è iniziato nel 2015 ed è cresciuto notevolmente nel corso degli anni, annoverando tra i suoi utenti IKEA, il New York Times e Bloomberg.

Cilium 1.14 fornisce il supporto per una funzionalità di sicurezza nota come mutua sicurezza del livello di trasporto (mTLS).

TLS è lo standard de facto per la crittografia dei dati su una rete, ma spesso può richiedere un certificato TLS e un'autorità di certificazione (CA) separata per funzionare in modo efficace. L'approccio mTLS è pensato per essere più facile da implementare e abilitare.

Graf ha spiegato che prima della nuova versione, Cilium offriva la crittografia a livello di rete con IPsec e Wireguard, con autenticazione da nodo a nodo. Con il nuovo aggiornamento ha affermato che Cilium ora dispone dell'autenticazione a livello di servizio e include uno stack SPIFFE/SPIRE che genera automaticamente certificati per tutti i servizi e i pod in esecuzione in un cluster Kubernetes.

Il protocollo di controllo della trasmissione (TCP) è il fondamento delle moderne reti basate su Internet e presenta numerosi attributi ed estensioni. Cilium 1.14 fornisce ora il supporto per una nuova funzionalità di rete ad alta velocità nota come BIG TCP. Graf ha affermato che BIG TCP sblocca la capacità di trasmettere un throughput elevato attraverso una singola connessione TCP. Ha notato che l'utilizzo di schede di rete da 100 Gb/s con Linux e Cilium è possibile da un po', ma solo se vengono utilizzate più connessioni TCP parallele per ottenere il throughput totale.

L'unità di trasmissione massima (MTU) sul cavo è spesso 1,5 KB o 9 KB. Con BIG TCP, Graf ha affermato che la dimensione massima del pacchetto nel software può arrivare fino a 185 KB e ciò aumenta notevolmente il throughput di una connessione.

"Con BIG TCP, una singola connessione TCP può raggiungere un throughput individuale molto più elevato rispetto a prima", ha affermato Graf. "Ciò è reso possibile estendendo la dimensione massima dei pacchetti che possono essere elaborati nello stack di rete Linux e Cilium."

La versione più recente di Cilium integra anche una funzionalità a cui il progetto fa riferimento come funzionalità della politica di annuncio L2. L2 è un riferimento al livello 2, che è il livello di collegamento dati nel framework OSI (Open Systems Interconnection) per l'architettura di rete.

Graf ha affermato che la funzionalità L2 Announcement Policy è utile quando si esegue Cilium come bilanciatore del carico in ambienti locali. Graf ha spiegato che con l'annuncio L2, Cilium può “pubblicizzare” un indirizzo IP di servizio in una rete L2 locale rispondendo alle richieste ARP (Address Risoluzione Protocol).

Anche se Cilium sta diventando sempre più capace di usi al di fuori dei carichi di lavoro Kubernetes, Kubernetes è ancora alla base della sua tecnologia.

"Siamo diventati un service mesh e un sistema di bilanciamento del carico esterno e ci stiamo rapidamente espandendo nel networking per carichi di lavoro non-container", ha affermato Graf. “Ciò che unisce tutti questi sforzi è la continua attenzione a un approccio incentrato su Kubernetes e sull’ingegneria della piattaforma”.