Containerisierung: Cilium 1.1 bietet erweiterte Istio-Integration

Das mit CNI und Dockers libnetwork kompatible Netzwerk-Tool Cilium unterstützt nun Mutual TLS über den Istio Sidecar Proxy.

 –  2 Kommentare
Container

(Bild: Pixabay, Pexels)

Im April hatten die Macher hinter Cilium die erste Vollversion des mit dem Container Networking Interface (CNI) und Dockers libnetwork kompatiblen Netzwerk-Tools vorgelegt. Nun folgt das erste Update Cilium 1.1, das insbesondere eine engere Integration mit Istio sowie verbesserte Netzwerksicherheit für Kubernetes verspricht. Die quelloffene Software soll vor allem in Microservices- und Containerumgebungen als Alternative zum Linux-Standard IPtables zum Einsatz kommen. Dazu baut Cilium auf eBPF, eine aus der Linux-Kernel-Technologie Berkeley Packet Filter hervorgegangene Virtual Machine, die es erlaubt, mit dem Netzwerk-Tool erstellte Sicherheitsregeln ohne Änderungen an der Containerkonfiguration oder am Code der Applikation durchzuführen.

Das auf die Steuerung und Absicherung der Kommunikation zwischen Services ausgelegte Open-Source-Projekt Istio haben die Cilium-Entwickler nun noch stärker integriert – Cilium arbeitet dazu jetzt als CNI Plug-in. Ziel dabei ist es, die Richtliniendurchsetzung auf Applikationsebene zu ermöglichen, wenn die Authentifizierung per Mutual TLS erfolgt. Ab Cilium 1.1 steht daher alternativ die Option parat, Security Policies direkt über den via via Pilot verwalteten Istio Sidecar Proxy durchzusetzen. Darüber hinaus steht ein neuer, auf Basis von Istio 0.8.0 erstellter, Getting-Started-Guide zur Verfügung, der unter anderem auch auf das Deployment von Istio mittels Helm Charts eingeht.

Die in Kubernetes 1.11 eingeführte Kombination von podSelector und namespaceSelector in der NetworkPolicy kann nun ebenfalls in Cilium genutzt werden. Um außerdem leichter erkennbar zu machen, welche Policy auf welchen Node angewendet wird, erscheinen die Anmerkungen der CiliumNetworkPolicy ab sofort auch in den Statusfeldern der Nodes.

Einen vollständigen Überblick aller Neuerungen und Details zu den Verbesserungen in Cilium 1.1 bieten die Release Notes. Das Projekt ist außerdem auf GitHub vertreten. Cilium 1.1 steht als Container-Image docker.io/cilium/cilium:v1.1.0 zur Verfügung. (map)