Containerisierung: Google Kubernetes Engine bekommt eine neue Dataplane

Die GKE Dataplane V2 setzt auf eBPF und Cilium, um möglichst performant Richtlinien umzusetzen und Logs zu schreiben.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Containerisierung: Google Kubernetes Engine bekommt eine neue Dataplane

(Bild: Travel mania/Shutterstock.com)

Von
  • Rainald Menge-Sonnentag

Google hat für seine Kubernetes Engine (GKE) die Dataplane V2 angekündigt, die auf den (extended) Berkeley Packet Filter (eBPF) und das Netzwerktool Cilium setzt. Die Kombination soll eine bessere Steuerung für Kubernetes direkt im Linux-Kernel ermöglichen. Außerdem führt die neue Dataplane eine Logging-Funktion für Kubernetes-Richtlinien ein.

Das Open-Source-Tool Cilium, das aktuell in Version 1.8 verfügbar ist, bietet abgesicherte Netzwerkverbindungen zwischen containerisierten Anwendungen. Es ist kompatibel zum Container Networking Interface (CNI) und bietet zahlreiche zusätzliche Funktionen unter anderem zum Umsetzen von Policies sowie für Services- und Load Balancing.

Cilium setzt wiederum auf eBPF auf, das Programme in einer Sandbox direkt im Linux Kernel ausführt und so unter anderem einen effizienten, direkten Zugriff auf die Netzwerkschicht bietet. Cilium übernimmt beispielsweise das Routing in Kubernetes-Clustern um und kümmert sich um das Einhalten der Security-Richtlinien.

Cilium setzt im Kernel auf eBPF und erweitert das CNI um zusätzliche Funktionen.

(Bild: Cilium.io)

Google bezeichnet im Blogbeitrag zur neuen Dataplane V2 Cilium als die am weitesten ausgereifte eBPF-Implementierung für Kubernetes. Der Internetriese beteiligt sich aktiv an der Weiterentwicklung des Open-Source-Projekts. Der Cilium-Blog berichtet von einem Pull Request im Dezember 2019, der den Startschuss von Googles Beteiligung markiert.

Eine Anwendung zur neuen Dataplane V2, die den extended Berkeley Packet Filter für Kubernetes auf GKE nutzt, dient dem Umsetzen und Logging von Netzwerkrichtlinien für Kubernetes. Durch eBPF können die Programme direkt im Linux Kernel die Richtlinien umsetzen und dabei auf Metadaten von und für Kubernetes wie Netzwerk-Policies zugreifen.

Anwendungen können über eBPF Richtlinien umsetzen und die Informationen an Applikationen im User Space übergeben.

(Bild: Google)

Nach dem Umsetzen der Vorgaben können sie zudem Anwendungen im User Space informieren, die unter anderem Logs mit Kubernetes-spezifischen Informationen schreiben. So können sie beispielsweise protokollieren, welcher Pod eine Verbindung zu welchem Ziel-Pod versucht hat und aufgrund welcher Policy die Verbindung erfolgt ist oder abgelehnt wurde.

Die Dataplane V2 ist ebenso wie das Logging als Beta gekennzeichnet. Sie lässt sich zumindest derzeit nur für neue GKE-Cluster nutzen und funktioniert nicht für Windows-Knoten. Details dazu lassen sich der Übersichtsseite zum Network Policy Logging entnehmen.

(rme)