Cilium 1.14 étend la mise en réseau au-delà de Kubernetes et offre des vitesses plus élevées
Articles / Actualités
Cilium, un projet open source de mise en réseau, de sécurité et d'observabilité, a publié la version 1.14 avec une gamme de mises à jour de connectivité, de sécurité et d'observabilité. La mise à jour Cilium 1.14 introduit également de nouvelles capacités de maillage, un réseau haut débit et des améliorations de sécurité.
« Cilium se développe rapidement au-delà de Kubernetes et au-delà des réseaux de conteneurs », a déclaré Thomas Graf, fondateur de Cilium et CTO d'Isovalent, à SDxCentral. « Il s’agit d’une plate-forme globale de connectivité cloud native répondant aux normes d’entreprise. »
Jusqu'à présent, Cilium a été largement utilisé parallèlement à la plate-forme d'orchestration de conteneurs Kubernetes, mais la version 1.14 le libère pour permettre des cas d'utilisation de réseau beaucoup plus larges.
Cilium est un projet open source hébergé par la Cloud Native Computing Foundation (CNCF), avec le soutien commercial de la startup Isovalent (anciennement connue sous le nom de Covalent). Au cœur de Cilium se trouve l'utilisation de l'eBPF (Extended Berkeley Packet Filter), qui est une technologie du noyau Linux qui peut être utilisée pour la sécurité et l'observabilité des réseaux. Le projet Cilium a démarré en 2015 et s'est considérablement développé au fil des années, comptant désormais parmi ses utilisateurs IKEA, le New York Times et Bloomberg.
Cilium 1.14 prend en charge une fonctionnalité de sécurité connue sous le nom de sécurité de la couche de transport mutuel (mTLS).
TLS est la norme de facto pour le chiffrement des données sur un réseau, mais il peut souvent nécessiter un certificat TLS et une autorité de certification (CA) distincte pour fonctionner efficacement. L'approche mTLS est destinée à être plus facile à déployer et à activer.
Graf a expliqué qu'avant la nouvelle version, Cilium proposait un cryptage au niveau du réseau avec IPsec et Wireguard, avec une authentification de nœud à nœud. Avec la nouvelle mise à jour, il a déclaré que Cilium dispose désormais d'une authentification au niveau du service et inclut une pile SPIFFE/SPIRE qui génère automatiquement des certificats pour tous les services et pods exécutés dans un cluster Kubernetes.
Le protocole de contrôle de transmission (TCP) est le fondement des réseaux Internet modernes et possède de nombreux attributs et extensions. Cilium 1.14 prend désormais en charge une nouvelle fonctionnalité de réseau haut débit connue sous le nom de BIG TCP. Graf a déclaré que BIG TCP permet de transmettre un débit élevé via une seule connexion TCP. Il a noté que l'utilisation de cartes réseau à 100 Gb/s avec Linux et Cilium était possible depuis un certain temps, mais seulement si plusieurs connexions TCP parallèles étaient utilisées pour atteindre le débit total.
L'unité de transmission maximale (MTU) sur le fil est souvent de 1,5 Ko ou 9 Ko. Avec BIG TCP, Graf a déclaré que la taille maximale des paquets dans le logiciel peut atteindre 185 Ko, ce qui augmente considérablement le débit d'une connexion.
"Avec BIG TCP, une seule connexion TCP peut atteindre un débit individuel bien plus élevé qu'auparavant", a déclaré Graf. "Cela est rendu possible par l'extension de la taille maximale des paquets pouvant être traités dans la pile réseau Linux et Cilium."
La dernière version de Cilium intègre également une fonctionnalité que le projet appelle la fonctionnalité de politique d'annonce L2. L2 fait référence à la couche 2, qui est la couche liaison de données dans le cadre OSI (Open Systems Interconnection) pour l'architecture réseau.
Graf a déclaré que la fonctionnalité de politique d'annonce L2 est utile lors de l'exécution de Cilium comme équilibreur de charge dans des environnements sur site. Graf a expliqué qu'avec l'annonce L2, Cilium peut « annoncer » une adresse IP de service dans un réseau L2 local en répondant aux demandes du protocole de résolution d'adresse (ARP).
Même si Cilium devient de plus en plus performant pour des utilisations en dehors des charges de travail Kubernetes, Kubernetes reste à la base de sa technologie.
"Nous sommes devenus un maillage de services et un équilibreur de charge externe et nous développons rapidement la mise en réseau pour les charges de travail non conteneurisées", a déclaré Graf. « Ce qui relie tous ces efforts, c’est l’accent continu mis sur une approche centrée sur Kubernetes et l’ingénierie des plateformes. »