Containerisierung: Netzwerk-Tool Cilium liegt in einer stabilen Version vor
Cilium ist eine Software, die auf dem Berkeley Packet Filter basiert und das Netzwerkmanagement in Container-Umgebungen stark vereinfachen soll.
(Bild: Pixabay, Pexels)
- Björn Bohn
Cilium, eine Software zum Sichern der Netzwerkkonnektivität zwischen auf Containermanagment-Plattformen ausgerollten Anwendungen, liegt jetzt in der ersten stabilen Version 1.0 vor. Laut den Machern soll Cilium als Alternative zum bisherigen Linux-Standard IPtables dienen und besser für verteilte, auf Microservices und Containern basierende Entwicklungsszenarien geeignet sein.
Was ist Cilium?
Bei Cilium handelt es sich um eine quelloffene Software, die auf einer Linux-Kernel-Technologie namens Berkeley Packet Filter (BPF) basiert. Dabei handelt es sich um einen Bytecode-Übersetzer, der die Weitergabe von Netzwerkpaketen steuert. Da BPF im Linux-Kernel selbst läuft, können mit Cilium erstellte Sicherheitsregeln ohne Änderungen an der Container-Konfiguration oder am Code der Applikation durchgeführt werden. Für Interessierte hat das Cilium-Team eine ausführliche Erklärung zum Thema BPF ausgearbeitet.
Mit BPF als Grundlage bietet Cilium einen Netzwerk-Layer, der auf API-getriebene Plattformen wie Kubernetes optimiert sein soll. Dadurch soll Cilium Entwicklern dabei helfen, Applikationsprotokolle wie REST/HTTP und gRPC und die Zusammenarbeit mit Apache Kafka zu sichern.
Die Macher erklären, dass traditionelle Firewalls auf den Layern 3 und 4 agieren, einem Protokoll an einem Port also entweder vertrauen oder es komplett blocken. Mit Cilium soll man nun benutzerdefiniert nach den Anforderungen des Protokolls filtern können. So wäre es beispielsweise möglich, alle HTTP-Anfragen mit der Methode GET und dem Pfad /public/.* zu erlauben und alle anderen zu blockieren.
Außerdem soll Cilium dank BPF hohe Performance-Verbesserungen für häufige Anwendungsfälle wie Load-Balancing in Kubernetes bieten. Cilium ist vollständig mit dem Container Networking Interface (CNI) und Dockers libnetwork kompatibel.
Wer sich für das Projekt interessiert, sei auf die ausführliche Dokumentation verwiesen. Das Projekt ist ebenfalls auf GitHub einsehbar. Die Roadmap für Version 1.1 liegt ebenfalls vor. (bbo)
