Cilium 可以在 Kubernetes 之外作为控制平面吗
Cilium 联结开创人 Thomas Graf 讨论了基于 eBPF 的工具如何融入更宽泛的网络环境。
西雅图 -Cilium的创立者之一Thomas Graf以为,随着容器在 AI API 中的宽泛驳回以及微分段的新方法,云原生安保市场正在出现变动。
Cilium 是Cloud Native Computing Foundation的毕业名目,基于eBPF(裁减的伯克利数据包过滤器)。Graf 还协助在VMware收买的 Nicira 开发了NSX和 Open vSwitch。NSX 的外围是软件定义网络,它将配件交流机转变为软件。
Cilium 十分受欢迎,如今的疑问是:随着 AI 的日益遍及,它将取得多少成功?它是一个未来主义的处置打算,还是一把寻觅钉子的锤子?
我在西雅图的CloudNative SecurityCon与Isovalent的 CTO 和联结开创人Graf坐上去,讨论了 Cilium 如何融入更宽泛的网络环境。咱们讨论了围绕 AI 和外部要素的旋风般的疑问,例如如何治理容器的干流驳回、无处不在的 API 和数据中的 AI 带来的微分段的更深档次的复杂性。
往年 1 月,Torsten Volk在The New Stack上撰文称,Cillium 将 eBPF 裁减到传输层和运行层,提供了对网络和安保更细粒度和灵敏的控制,这在云原生环境中尤其无利。
2022 年,Isovalent 开源了Tetragon,一个 Kubernetes 原生工具,它应用eBPF 启动深度可观察性,同时对性能的影响最小。Tetragon 跟踪各种优惠,包括进程口头、权限优化和网络优惠。它经常使用 eBPF 强迫口头的内核运转时战略,提供了弱小的安保姿态,可以抵御未经授权的操作和审核时攻打竞态条件攻打。
Kubernetes 网络和 AI
Isovalent 如今与经常使用Kubernetes集群构建大型言语模型的公司协作,这些集群具备复杂的网络需求,关键是由于 AI 上班负载的数据量十分大,Graf 说。
他说,很难构想构建言语模型须要多少数据;当高薪的钻研工程师构建这些言语模型时,这些模型必需隐秘。同时,须要不时地提取数据来构建模型。
但是,与此同时,包全一直容易遭到横向攻打的上班负载的复杂性正在参与。生成式 AI 或许很弱小,但假设它污染了数据湖会出现什么?
在这种背景下,须要更好的可观察性和控制平面,这些平面可以高低文地治理激流。
当咱们议论 AI 原生时,咱们指的是下一代机器学习或基于自顺应学习的战略治理。你不再宿愿手动创立一切战略。你须要智能化来缓解要挟。假设出现 CVE,你须要缓解它。你识别出要挟,你须要经过智能化智能拒绝它。因此,AI 只是更好的智能化。
但是 Cilium 在下一代智能化中将表演什么角色?
Graf 说,Cilium 将成为一个通用的数据平面。Cilium 在云原生环球中的位置曾经确立,Cilium 将实用于 Kubernetes 之外,成为更宽泛行业的散布式数据平面。思科将能够在DPU和智能网卡上的交流机上运转。并且随着博通最近收买 VMware,人们对交流 NSX 的兴味很大。他以为 Cilium 是一项基础技术,可以推进 NSX 的代替产品的开发。
eBPF 是答案吗?
eBPF 方法可以成为云网络的基石吗?这是一个大疑问。eBPF 就像一根数据软管,或许对很多事件都很有用,但关于第 7 层数据呢?它并不适宜监控逾越互联网的数据。它可以处置在 Kubernetes 平台上运转的内核服务,但这只是软件工程师如今在如此宽广的攻打面中所须要的局部。
但正如 Volk 指出,Cilium(雷同建设在 eBPF 之上)为传输层(第 4 层)和运行层(第 7 层)提供了可编程控制,准许“经过 TCP、UDP、ATP 和 MTCP 等协定口头网络战略,这些协定为运行程序提供端到端通信服务”。
并非一切人都置信 eBPF 可以处置一切网络疑问。Wesley Hales,LeakSignal的首席口头官,将 eBPF 看作一把锤子,任何网络疑问都是一颗钉子。特意是,Hales 提到了传输中的敏感数据分类。但让咱们把这个话题留到下次讨论。
云原生安保:点 vs. 平台
往年早些时刻,Cisco收买了 Isovalent。在 Cilium 中表现了 eBPF 方法,我问 Graf 他如何看待云原生安保畛域、服务网格的作用、微隔离以及 Isovalent 对 Cisco 的意义。
Alex Williams:Tom,云原生安保的完整处置打算是什么样的?客户须要什么?
Thomas Graf: 是的。从运行程序的源头开局,您须要一个处置打算来扫描您的源代码并找出其中的破绽。
现实状况下,代码图会通知您哪些破绽在您的代码中是可访问的。而后,您须要处置打算来包全您的依赖项的供应链:破绽治理。假设您经常使用带有 [经常出现破绽和披露] 的库,您须要能够跟踪和修复它们。而后,您须要为您的基础设备启动云态势治理。假设您的 [虚构公用云] 是齐全放开的,那么您没有经常使用安保组。
最好有一个云态势治理处置打算。而后,当您开局运转运行程序时,您须要运转时安保——针对您的云上班负载的 Kubernetes 的要挟缓解。当然,您还须要一切这些的可观察性。比如,您在运转什么?您泄露了什么?您的危险是什么?
您须要优先思索这些危险,由于关于大少数客户来说,会有少量的发现,您须要弄分明首先要考查什么。如今人们能否要求更片面的处置打算?他们不时在选用点处置打算,并看到了集成这些处置打算所需的复杂性。
大少数人首先从一个宽泛的处置打算开局,而后发现它们不够完整。而后他们转向点处置打算,很快它就变得十分难以治理,关键是由于 [云原生运行程序包全平台] 空间没有开源规范化。
因此,客户试图退一步说,好吧,咱们是想回到一个宽泛的处置打算,还是想压服供应商变得更宽泛,将多个点处置打算结合起来?这将是未来几年内须要启动的关键讨论。咱们如何才干取得一个足够好、也足够宽泛的处置打算,以便于治理?
服务网格的疑问
Williams:服务网格怎样样?服务网格仿佛是 Kubernetes 的一个很好的后续,它经过 API 中心环境提供了代理配置,而您在 Kubernetes 中就有这种环境。因此,它仿佛是一团体造的选用,也是公司思索其全体安保态势的中央。这是准确的吗?
是的,我以为这是准确的。我以为服务网格是顶层的一个很好的小层,从概念上讲,它相对要求您须要一个逻辑衔接层,该层引入身份,即引入丰盛的安保机制来成功零信赖准则。到目前为止,服务网格的成功方式相对没有让客户满意。
我以为该畛域的每个供应商都必需做得更好,找到一个不太显眼的处置打算,就像基础设备的一局部,而不是您须要被动治理的物品。此外,运转服务网格的开支和累赘必需大幅降落。
微隔离和 NSX
Williams:那么为什么安保处置打算是 NSX 的答案?
嗯,NSX 从基本过去说是散布式防火墙的外围。就像,假设你看一下Cilium,为什么Cilium 如此吸引人?是的,它在做很多网络上班,但它被用来做防火墙微分段和加密。NSX 也是一样的。
移动数据包简直就像一个成功细节。真正关键的是安保地做到这一点。所以当你购置产品时,你购置的是网络安保运行程序,即使它显然也只在做衔接。这简直就像一个蕴含的细节。
这几年来,这能否不时是 NSX 的关键卖点?相对是的。微分段是 NSX 的关键卖点。那么如今,当天的关键卖点是什么?关于 Cilium 来说,它齐全一样。很多 NSX 客户会说,Cilium 就是 NSX,但关于容器和 Kubernetes 来说,云原生容器是基于身份的。
所以 Cilium 比上一代更先进,对吧?它不只仅是为容器裁减;它了解身份是原生集成到云提供商中的。它不只仅是针对 [虚构机] 或虚构化,但关键实用的用例是一样的。
思科和 Isovalent
Williams: Thomas,咱们谈到了客户寻求的这些更片面的处置打算。思科 Isovalent 与此关系的背景是什么?
所以想想。Isovalent 在云原生和 Kubernetes 畛域十分成功。与思科协作,咱们如今将咱们构建的云原生方法带到更宽泛的市场,进入数据中心、边缘和私有云。
因此,咱们构建了 Cillium 用于网络安保、分段和云原生网络,以及 Tetragon 运转时安保,使其在数据中心可用,在主机上运转 Tetragon,在DHs[数据处置单元] 和交流机上运转 Cillium,并基本上构建了一个安保结构,可以包全不只 Kubernetes 局部,还可以包全您的全体基础设备。
因此,安保结构适宜客户购置的一切这些点处置打算……而后,我以为从思科的角度来看,显然带来了 CNAPP 配置,例如提供一个不只宽泛而且足够深化的全体丰盛平台。思科在过去几年中启动了少量收买,以购置每个点的处置打算。如今正在构建一个平台来一致它们,为您提供一个具备弱小垂直点处置打算的平台的体验。