Cilium 1.2: DNS/FQDN-basierende Sicherheitsrichtlinien inklusive
Version 1.2 des Tools Cilium kann nun bei der Absicherung der Kommunikation zwischen Services auf Sicherheitsrichtlinien setzen, die auf DNS-Namen basieren.
(Bild: Pixabay, Pexels)
- Frank-Michael Schlede
Die Macher hinter dem Open-Source-Werkzeug Cilium, das unter anderem die Netzwerk- und API-Konnektivität zwischen den Anwendungen auf Container-Managment-Plattformen absichern kann, treiben die Entwicklung der Software schnell voran. Stellten sie erst im Juni die Version 1.1 von Cilium vor, so legen sie bereits jetzt mit dem neuen Release 1.2 nach. Und wenn der Sprung zwischen den Version auch nicht groß erscheint, so haben sie doch eine ganze Anzahl an Neuerungen und Verbesserungen zu bieten.
Sicherheitsrichtlinien basierend auf DNS/FQDN
In einem Blogeintrag auf der Cllium-Webseite stellen die Entwickler des Projekts die Neuheiten detailliert dar. Dabei betonen sie, dass eine ganze Reihe der neuen Features den Weg in das neue Release aufgrund von Nachfragen der Cilium-Nutzer und -Community gefunden haben. Sie bezeichnen in diesem Zusammenhang die Einführung von Sicherheitsrichtlinien, die auf DNS-Namen beruhen, als eines der wichtigen neuen Merkmale der Software. Durch sie soll nun der sichere Zugriff auf externe Dienste außerhalb des Clusters möglich sein. Als Beispiele dafür führen sie SaaS-Dienste wie S3, RDS, DynamoDB oder auch API-basierende Dienste wie Google Maps, Salesforce APIs oder Twilio auf. Die aktuelle Implementierung dieses Features unterstützt den grundlegenden Einsatz von White Lists für externe Dienste auf Basis ihrer vollqualifizierten Domänen-Namen (FQDN)
Netzwerksicherheit über mehrere Kubernetes Cluster hinweg
Ein weiteres sehr interessantes Feature der Version 1.2 von Cilium betrifft die Konnektivität zwischen verschiedenen Clustern.
Die Macher hinter der Open-Source-Software heben hervor, dass es aktuell immer populärer wird, multiple Kubernetes-Cluster einzusetzen. Wichtige Fragen bei dieser Art des Einsatzes bestehen darin, wie die Dienste miteinander verbunden werden und wie die East-West Network Security für die Verbindungen über die Cluster hinweg gewährleistet werden kann. Mit dieser Version von Cilium steht nun die Möglichkeit zur Verfügung, Pods in unterschiedlichen Clustern zu verbinden. Dabei ist es nicht notwendig, dass ein Ingress-Controller oder ein Loadbalancer vorhanden ist. Da die Pods dazu in der Lage sind, direkt miteinander zu interagieren, kann Cilium ihre Identität erhalten und eine komplette L3/L4- und L7-Netzwerkkontrolle des East-West-Traffics erzwingen.
Weitere Neuerungen betreffen unter anderem die Unterstützung von Istio 1.0 sowie die BGP-Unterstützung von Kubernetes-Router. Der Blogeintrag auf der Cilium-Seite bietet weiterführende Links und detaillierte Erläuterungen zu den Neuerungen. Ein Upgrade-Guide und ein Container-Image stehen für die interessierten Entwickler ebenfalls bereit. (fms)
