Linkerd 2.16: IPv6-Unterstützung und neuer Audit-Modus für mehr Sicherheit
Das Update des Service-Mesh bietet mit IPv6-Unterstützung, neuem Audit-Modus für Sicherheitsrichtlinien und verbesserten Routenmetriken viele Neuerungen.
(Bild: Jackie Niam/Shutterstock.com)
Das von der Cloud Native Computing Foundation (CNCF) verwaltete Service-Mesh Linkerd liegt ab sofort in Version 2.16 vor. Die Liste der Neuerungen ist lang, doch zu den wohl wichtigsten gehören die Unterstützung des Internet-Protokolls IPv6 in IPv6-only- und Dual-Stack-Clustern, die sich durch eine einfache Konfiguration aktivieren lässt, sowie ein neuer Audit-Modus für Sicherheitsrichtlinien.
Neuer Audit-Modus für mehr Sicherheit
Ein bedeutender Punkt auf der Feature-Liste ist der neue Audit-Modus für Sicherheitsrichtlinien, der es ermöglicht, Richtlinienverletzungen zu protokollieren, ohne sie sofort durchzusetzen. Das soll ein risikoärmeres Einführen neuer Richtlinien ermöglichen.
Linkerds "Zero Trust"-Autorisierungsrichtlinien bieten laut Ankündigungsbeitrag eine starke Kontrolle des Netzwerkverkehrs und unterstützen diverse Sicherheitsansätze wie Mikrosegmentierung und "Deny by Default". Der Audit-Modus lässt sich clusterweit, pro Namespace oder für spezifische Server-Ressourcen aktivieren, indem das accessPolicy-Feld auf audit gesetzt wird. Das Beispiel aus dem Blogbeitrag soll die Neuerung veranschaulichen:
apiVersion: policy.linkerd.io/v1beta3
kind: Server
metadata:
namespace: emojivoto
name: web-http
spec:
accessPolicy: audit
podSelector:
matchLabels:
app: web-svc
port: http
proxyProtocol: HTTP/1Implementierung von Wiederholungen und Zeitlimits
Zudem bietet Linkerd 2.16 eine neue Implementierung von Retry- und Timeout-Konfigurationen für HTTPRoute- und GRPCRoute-Ressourcen des Gateway-API. Diese Funktionsweisen lassen sich mit Circuit Breaking kombinieren und sollen auf diese Weise eine zukunftssichere Option für die Service-Mesh-Konfiguration bieten. Circuit Breaking (Sicherung) ist ein Verhaltensmuster in der Softwareentwicklung, das die Stabilität und Fehlertoleranz von verteilten Systemen verbessert, indem es den Zugriff auf fehlerhafte oder überlastete Dienste automatisch unterbricht.
Linkerd erfasst nun auch detaillierte Metriken wie Erfolgsraten, Latenzen und Anfragemengen für diese Routen, ohne dass Änderungen am Anwendungscode erforderlich sind.
Verlorene Verbindungen wiedererkennen
Weitere Änderungen umfassen die standardmäßige Aktivierung von HTTP/2-Keep-Alive-Nachrichten für alle vernetzten Verbindungen zur proaktiven Erkennung verlorener Verbindungen sowie die Unterstützung der JSON-Ausgabe für alle Linkerd-CLI-Befehle, die Kubernetes-Ressourcen ausgeben.
Darüber hinaus deaktiviert Linkerd 2.16 den /shutdown-Endpunkt, um Sicherheitsrisiken zu minimieren. HTTP-Header werden ab sofort standardmäßig nicht mehr in Debug- oder Trace-Ausgaben protokolliert, um sensible Informationen zu schützen.
Ein Blick in die Zukunft
Für die Zukunft plant das Service-Mesh für Kubernetes, in der nächsten Version 2.17 Egress-Funktionalitäten hinzuzufügen, die sowohl die Sichtbarkeit als auch die Kontrolle über ausgehenden Traffic verbessern sollen. Sie bieten Administratoren die Möglichkeit, festzulegen, welche Pods oder Dienste ausgehenden Verkehr initiieren dürfen und welche externen Ziele es zu erreichen gilt, um die Sicherheit und Compliance zu gewährleisten.
Weitere spannende Multi-Cluster-Funktionen sind ebenfalls in Arbeit. Linkerd bleibt laut Blogbeitrag dem offenen Governance-Ansatz verpflichtet und lädt die Community ein, sich auf GitHub, Slack, X (ehemals Twitter) und den Mailinglisten zu beteiligen. Nähere Informationen zu Linkerd 2.16 bietet der Blogbeitrag zum Release.
(mdo)