Ресничка (компьютерная)

ресница

Сеанс командной строки, показывающий статус установки Cilium в кластере Kind
Оригинальный автор(ы)	Томас Граф, Дэниел Боркманн, Андре Мартинс, Мадхусудан Чалла [1]
Разработчик(и)	Сообщество открытого исходного кода, Isoвалент, Google , Datadog , Red Hat , Фонд облачных вычислений [2]
Первоначальный выпуск	16 декабря 2015 г .; 8 лет назад ( 16.12.2015 ) [1]
Стабильная версия	1.15 / 31 января 2024 г. ( 31.01.2024 ) [3]
Репозиторий	github .с / ресница
Написано в	Го , eBPF , C , C++
Операционная система	Линукс , Винда [4]
Платформа	x86-64 , ARM [5]
Доступно в	Английский
Тип	Облачная сеть , безопасность , наблюдаемость
Лицензия	Лицензия Апач 2.0 , Двойной пункт только GPL-2.0 или BSD-2 для eBPF [6]
Веб-сайт	cilium.io

Cilium — это облачная технология для работы в сети , наблюдения и безопасности . ^[1] Он основан на технологии ядра eBPF , изначально предназначенной для повышения производительности сети, а теперь использует множество дополнительных функций для различных вариантов использования. Базовый сетевой компонент превратился из простого предоставления плоской сети уровня 3 для контейнеров в расширенные сетевые функции, такие как BGP и Service Mesh , внутри кластера Kubernetes , между несколькими кластерами и подключением к миру за пределами Kubernetes. ^[1] Хаббл был создан как компонент наблюдения за сетью, а позже был добавлен Тетрагон для наблюдения за безопасностью и обеспечения соблюдения требований во время выполнения. ^[1] Cilium работает на Linux и является одним из первых приложений eBPF, портированных на Microsoft Windows в рамках проекта eBPF on Windows. ^[7]

Эволюция сетевых технологий CNI (сетевой интерфейс контейнера)

Cilium начинала как сетевой CNI ^[8] для контейнерных рабочих нагрузок. Первоначально он был только IPv6 и поддерживал несколько оркестраторов контейнеров, таких как Kubernetes . Первоначальное видение Cilium заключалось в создании высокопроизводительной контейнерной сетевой платформы на основе идентификации. ^[9] По мере расширения собственной облачной экосистемы Cilium добавляла новые проекты и функции для решения новых проблем в этой области.

В таблице ниже суммированы некоторые из наиболее важных вех этой эволюции:

• Декабрь 2015 г. — первоначальное участие в проекте Cilium. ^[10]
• Май 2016 г. — ​​сетевая политика , расширяющая сферу применения за пределы сети. добавлена ^[11]
• Август 2016 г. — Cilium первоначально был анонсирован на LinuxCon как проект, обеспечивающий быструю работу контейнерной сети IPv6 с помощью eBPF и XDP . ^[9] Сегодня Cilium используется в предложениях Kubernetes крупнейших облачных провайдеров и является одним из наиболее широко используемых CNI.
• Август 2017 г. — ebpf-go был создан как библиотека для чтения, изменения и загрузки программ eBPF и прикрепления их к различным хукам. ^[12]
• Апрель 2018 г. — Cilium 1.0 — первая стабильная версия. ^[13]
• Ноябрь 2019 г. — запущен Hubble для обеспечения наблюдения за сетевыми потоками на основе eBPF. ^[14]
• Август 2020 г. — выбран Google в качестве основы для Kubernetes Dataplane v2. ^[15]
• Сентябрь 2021 г. — AWS выбирает Cilium для сетевых технологий и безопасности на EKS Anywhere. ^[16]
• Октябрь 2021 г. — запущен Pwru для отслеживания сетевых пакетов в ядре Linux с расширенными возможностями фильтрации. ^{[17] [18]}
• Октябрь 2021 г. — принят в CNCF в качестве проекта инкубационного уровня. ^[19]
• Декабрь 2021 г. — запущен Cilium Service Mesh для управления трафиком между сервисами. ^[20]
• Май 2022 г. — открыт исходный код Tetragon для обеспечения наблюдения за безопасностью и обеспечения соблюдения требований во время выполнения. ^{[21] [22]}
• Октябрь 2022 г. — выбран CNI для Azure. ^{[23] [24]}
• Апрель 2023 г. — запуск Cilium Mesh для объединения рабочих нагрузок и компьютеров в облаке, локально и на периферии. ^{[25] [26] [27]}
• Апрель 2023 г. — в рамках KubeCon состоялся первый CiliumCon. ^[28]
• Октябрь 2023 г. — Cilium становится дипломным проектом CNCF. ^[29]

Cilium был принят в Cloud Native Computing Foundation 13 октября 2021 года как проект инкубационного уровня. 27 октября 2022 года он подал заявку на статус дипломированного проекта. ^[19] Год спустя он стал дипломным проектом. Cilium — один из самых быстроразвивающихся проектов в экосистеме CNCF. ^[30]

Cilium была принята на вооружение многими крупными производственными пользователями, в том числе более 100, которые заявили об этом публично. ^[31] например:

• Datadog использует Cilium в качестве замены CNI и kube-proxy. ^{[32] [33]}
• Ascend использует Cilium в качестве единого CNI для нескольких облачных провайдеров. ^[34]
• Bell Canada использует Cilium и eBPF для сетей телекоммуникаций ^{[35] [36]}
• Cosmonic использует Cilium для своего PaaS на базе Nomad ^{[37] [38] [39]}
• IKEA использует Cilium для своего собственного частного облака без операционной системы ^[40]
• S&P Global использует Cilium в качестве CNI ^[41]
• Sky использует Cilium в качестве CNI и для сетевой безопасности. ^[42]
• The New York Times использует Cilium на EKS для многорегиональных многопользовательских общих кластеров ^[43]
• Trip.com использует Cilium как локально, так и в AWS. ^[44]

Cilium — это CNI для многих поставщиков облачных услуг, включая Alibaba, ^[45] АППУиО, ^[46] Лазурь, ^[47] АВС, ^[16] Цифровой океан, ^[48] Экзомасштаб, ^[49] Гугл Облако, ^[15] Хетцнер, ^[50] и Tencent Cloud. ^[51]

Cilium начинался как проект контейнерной сети. С развитием Kubernetes и оркестрации контейнеров Cilium стала CNI. ^[8] предоставление базовых вещей, таких как настройка сетевых интерфейсов контейнеров и подключение между модулями. С самого начала Cilium основывала свою сеть на eBPF, а не на iptables или IPVS , делая ставку на то, что eBPF станет будущим облачных сетевых технологий. ^[52]

Платформа данных Cilium на основе eBPF обеспечивает простую плоскую сеть уровня 3 с возможностью охвата нескольких кластеров либо в режиме собственной маршрутизации, либо в режиме наложения с помощью Cilium Cluster Mesh. Он поддерживает протокол уровня 7 и может применять сетевые политики на уровнях от 3 до 7 и с полным доменным именем, используя модель безопасности на основе идентификации, которая отделена от сетевой адресации.

Cilium реализует распределенную балансировку нагрузки для трафика между подами и внешними сервисами и способен полностью заменить kube-proxy, ^[53] использование XDP , балансировки нагрузки на основе сокетов и эффективных хеш-таблиц в eBPF. Он также поддерживает расширенные функции, такие как интегрированные входные и выходные шлюзы. ^[54] управление пропускной способностью, автономный балансировщик нагрузки и сервисная сетка. ^[55]

Cilium — первый CNI, поддерживающий расширенные функции ядра, такие как контроль перегрузки TCP BBR. ^[56] и БОЛЬШОЙ TCP ^[57] для подов Kubernetes. ^[58]

Хаббл — это наблюдаемость, карта обслуживания и пользовательский интерфейс Cilium, поставляемый вместе с CNI. ^{[59] [60]} Его можно использовать для наблюдения за отдельными потоками сетевых пакетов , просмотра решений сетевой политики по разрешению или блокированию трафика, а также для создания карт сервисов, показывающих, как взаимодействуют сервисы Kubernetes. ^[61] Hubble может экспортировать эти данные в Prometheus , OpenTelemetry, Grafana и Fluentd для дальнейшего анализа показателей уровней 3/4 и 7. ^[62]

Tetragon — это проект Cilium по обеспечению безопасности и обеспечению соблюдения требований во время выполнения. ^[63] Tetragon — это гибкий инструмент наблюдения за безопасностью и обеспечения соблюдения требований во время выполнения с поддержкой Kubernetes, который применяет политику и фильтрацию непосредственно с помощью eBPF. Он позволяет пользователям отслеживать и наблюдать за полным жизненным циклом выполнения каждого процесса на своем компьютере, транслировать политики мониторинга файлов, наблюдения за сетью, безопасности контейнеров и т. д. в программы eBPF, а также выполнять синхронный мониторинг, фильтрацию и принудительное исполнение полностью в ядре.

ebpf-go — это библиотека на чистом Go для взаимодействия с подсистемой eBPF в ядре Linux. ^[64] Он имеет минимальные внешние зависимости, подчеркивает надежность и совместимость и широко используется в производстве.

pwru («Пакет, где ты?») — это инструмент на основе eBPF для отслеживания сетевых пакетов в ядре Linux с расширенными возможностями фильтрации. Это позволяет детально анализировать состояние ядра, чтобы облегчить отладку проблем с сетевым подключением. Под капотом pwru присоединяет программы отладки eBPF ко всем функциям ядра Linux, которые отвечают за обработку сетевых пакетов.

Это дает пользователю более детальное представление об обработке пакетов в ядре, чем при использовании tcpdump , Wireshark или более традиционных инструментов. Кроме того, он может отображать метаданные пакета, такие как пространство имен сети, временную метку обработки, внутренние поля представления пакетов ядра и многое другое.

Cilium начинался как сетевой проект и имеет множество функций, которые позволяют ему обеспечивать согласованное взаимодействие рабочих нагрузок Kubernetes с виртуальными машинами и физическими серверами, работающими в облаке, локально или на периферии . Некоторые из них включают в себя:

• Контейнерный сетевой интерфейс (CNI) ^[65] - Обеспечивает сетевое взаимодействие для кластеров Kubernetes.
• Балансировщик нагрузки уровня 4 ^[66] - На основе Маглева ^{[67] [68]} и XDP ^[69] для обработки трафика север/юг
• Кластерная сетка ^[70] - Объединяет несколько кластеров Kubernetes в одну сеть.
• Оптимизация пропускной способности и задержки ^[71] - Справедливая организация очередей, оптимизация TCP и ограничение скорости.
• замена kube-прокси ^[72] - Заменяет iptables на хеш-таблицы eBPF.
• BGP ^[73] - Интегрируется в существующие сети и обеспечивает балансировку нагрузки в без ОС . кластерах
• Выходной шлюз ^[74] - Предоставляет статический IP-адрес для интеграции во внешние рабочие нагрузки.
• Сервисная сетка ^{[75] [76]} - Включает входящий трафик, завершение TLS , канареечное развертывание, ограничение скорости и разрыв цепи.
• API шлюза ^[77] - Полностью совместимая реализация для управления входом в кластеры Kubernetes.
• СРв6 ^[78] - Определяет обработку пакетов в сети как программу
• Поддержка BBR для модулей ^[79] - Обеспечивает лучшую пропускную способность и задержку для интернет-трафика.
• Шлюз NAT 46/64 ^[80] - Позволяет службам IPv4 взаимодействовать с службами IPv6 и наоборот.
• БОЛЬШОЙ TCP для IPv4/IPv6 ^[81] - Обеспечивает лучшую производительность за счет уменьшения количества пакетов, проходящих через стек.
• Ресничная сетка ^{[82] [83]} - Связывает рабочие нагрузки, работающие вне Kubernetes, с теми, которые работают внутри него.

Находясь в ядре, eBPF имеет полную видимость всего, что происходит на машине. Cilium использует это благодаря следующим функциям:

• Карта услуг ^[84] - Предоставляет пользовательский интерфейс для сетевых потоков и политики.
• Журналы сетевых потоков ^[85] - Обеспечивает видимость уровня 3/4 и DNS, связанную с идентификацией.
• Видимость сетевого протокола ^[86] - Включая HTTP, gRPC, Kafka, UDP и SCTP.
• Экспорт метрик и трассировки ^[87] - Отправляет данные в Prometheus, OpenTelemetry или другую систему хранения.

eBPF может останавливать события в ядре в целях безопасности. Проекты Cilium используют это благодаря следующим функциям:

• Прозрачное шифрование ^[88] - Использует IPSec или WireGuard.
• Сетевая политика ^[89] - Включает уровни от 3 до 7 и политики с учетом DNS.
• Обеспечение соблюдения требований во время выполнения ^[90] - Останавливает процессы за пределами политик с политиками по умолчанию.
• Мониторинг целостности файлов ^[91] - Отслеживает модификации системы.

На диаграмме ниже показан период, в течение которого поддерживается каждая версия Cilium, поддерживаемая сообществом:

Cilium На официальном веб-сайте перечислены онлайн-форумы, платформы обмена сообщениями и личные встречи для сообщества пользователей и разработчиков Cilium.

Конференции, посвященные развитию Cilium, в прошлом включали:

• ЦилиумКон ЕС 2023, ^[28] проводится совместно с KubeCon + CloudNativeCon EU 2023 ^[92]
• CiliumCon NA 2023, ^[93] проводится совместно с KubeCon + CloudNativeCon NA 2023 ^[94]
• ЦилиумКон ЕС 2024, ^[95] проводится совместно с KubeCon + CloudNativeCon EU 2024 ^[96]

Сообщество Cilium выпускает ежегодный отчет, в котором рассказывается о том, как сообщество развивалось в течение года:

• Годовой отчет Cilium 2022: Год CNI ^[97]
• Годовой отчет Cilium 2023: Год выпуска ^[98]

• Кубернетес
• Фонд облачных вычислений
• eBPF

• Cilium.io — Официальный сайт
• Репозиторий Cilium на Github