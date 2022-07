Die Cloud Native Computing Foundation (CNCF) kündigt die Freigabe von Cilium 1.12 an. Das auf abgesicherte Netzwerkverbindungen zwischen containerisierten Anwendungen zugeschnittene Open-Source-Tool enthält nun ein eigenes Service-Mesh, das ohne Sidecar auskommt und sich daher als Alternative zur Istio-Integration anbietet. Neu im Release 1.12 ist auch ein vollständig zu Kubernetes konformer Ingress Controller, der wie Cilium selbst ebenfalls auf Envoy und eBPF aufbaut.

Mit oder ohne Sidecar

Das Cilium Service Mesh gilt mit Veröffentlichung der neuen Version offiziell als stabil und für den produktiven Einsatz freigegeben. Anwenderinnen und Anwender sollen damit neben Istio eine weitere Service-Mesh-Alternative erhalten, die sich ohne Sidecar nutzen lässt und zudem eine Reihe von Controlplane-Optionen zulässt, wie Isovalent-CTO und Cilium-Entwickler Thomas Graf im Blogbeitrag zur Ankündigung von Cilium 1.12 betont. Wie die ClusterMesh-Funktion zum Verwalten Cluster-übergreifender Dienste nutzt auch das Cilium Service Mesh die nativen Ressourcen von Kubernetes und setzt auf der bewährten Dataplane aus Envoy Proxy und der Kernel-Sandboxing-Technologie eBPF auf.

Mit CiliumEnvoyConfig (CEC) steht darüber hinaus eine neue Low-Level-Abstraktion zur Verfügung, die direktes Programmieren von Envoy-Proxys auch für komplexere L7-Anwendungsszenarien über Custom Resource Definitions (CRDs) in Kubernetes erlaubt. In künftigen Releases will das Cilium-Team weitere Controlplane-Optionen wie die Kubernetes Gateway API ergänzen, um auch erweiterte Kompatibilität mit Service-Meshes wie Istio sicherzustellen, die den Weg in Richtung Gateway API bereits eingeschlagen haben.

Das Cilium Service Mesh kommt ohne Sidecar aus. (Bild: Cilium)

Der bisher nur als Beta verfügbare Egress Gateway hat in Cilium 1.12 nun ebenfalls den Status stabil erreicht. Über dedizierte Gateway-Knoten lassen sich dadurch auch Verbindungen zu externen Legacy-Workloads weiterleiten. Um dabei die Integration mit Firewalls sicherzustellen, die statische IP-Adressen voraussetzen, lassen sich die IP-Adressen entsprechend maskieren. In Kombination mit ClusterMesh lassen sich somit auch externe Workload-Anfragen verarbeiten, die auf anderen Clustern im Mesh eintreffen.

Die Sicherheit im Blick behalten

Unter den weiteren Neuerungen in Cilium 1.12 findet sich unter anderem die Komponente Tetragon, die auf Basis von eBPF umfangreichere Security Observability bereitstellen soll, um beispielsweise gezielt auf sicherheitsrelevante Ereignisse reagieren zu können. Mehr Details dazu sowie ein kompletter Überblick aller Änderungen im neuen Cilium-Release finden sich im Blogbeitrag der CNCF sowie auf der Website des Projekts.

