前言
随着 Cilium 1.12 新版本发布,Cilium 引入了 Cilium Service Mesh,它是服务网格类型中的新类型,它使企业能够灵活地在 sidecar 模型或无 sidecar 模型中运行服务网格,并可以选择不同控制平面。此外,该版本还引入了完全兼容 Kubernetes Ingress 控制器,直接集成到 Cilium 中控制器。
带有 Sidecar 选项的 Kubernetes-Native 服务网格
Cilium Service Mesh 的愿景是使用原生 Kubernetes 资源构建服务网格,就像 Cilium 的 ClusterMesh 使用 Kubernetes Services 和 NetworkPolicy 来执行多集群连接一样。今天,我们推出令人兴奋的新功能 Cilium Service Mesh,该功能可将 Cilium 作为服务网格模式运行,完全无需 sidecar,同时支持各种不同的控制平面。
为此,我们的目标是通过为用户引入选择项来降低服务网格层的复杂性和开销。用户可以根据自己的特有需求,根据最能满足其平台需求和要求,决定是否运行带有或不带有 sidecar 的服务网格。
Cilium 创建者、Isovalent 首席技术官兼联合创始人 Thomas Graf 说道:“Cilium Service Mesh 的关键在于选择”。企业希望能够选择 sidecar 或无 sidecar,并且他们想要一个由 eBPF 和 Envoy 提供支持的高性能数据平面,以便他们能够为自己的场景用例选择最佳的控制平面。通过将经过充分验证的 Envoy 代理与内核级 eBPF 技术相结合,Cilium Service Mesh 为企业提供了最佳的服务网格性能,同时还允许他们在 sidecar 或无 sidecar 模型之间进行选择。
随着 Cilium 1.12 版本的发布,Cilium Service Mesh 还引入了 CiliumEnvoyConfig (CEC) CRD,该 CRD 用于直接使用新的 Kubernetes 自定义资源 (CRD) 对高级 L7 策略进行 Envoy 代理配置,从而使所有用户都可以使用 Envoy 功能。在下一个版本中,Cilium Service Mesh 将增加对其他服务网格控制平面的支持,比如 Gateway API 及其兼容现有服务网格的 GAMMA。这将使 Cilium Service Mesh 数据平面与已迁移到 Gateway API 的 Istio 等服务网格兼容。
Cilium 1.12 其他新功能
除了 Cilium Service Mesh 之外,Cilium 1.12 还提供了许多新功能和增强功能,如下所示:
完全兼容的 Ingress Controller – 除了支持新的无 sidecar Service Mesh 选项外,Cilium 1.12 还提供直接嵌入到 Cilium 中的完全兼容 Kubernetes Ingress Controller 的选项。它由 Envoy 提供支持,并使用 eBPF 来保护它并提供其可见性。
ClusterMesh 增强功能,如 service affinity — 在 Cilium 1.12 中,ClusterMesh 可以将多个集群上运行的服务视为单个全局服务,并考虑关联性。通过 service affinity,如果多个集群中的 endpoints 可用,则可以将服务配置为首选本地或远程集群中的 endpoints。
Egress Gateway 和支持外部工作负载 - Egress Gateway 由 beta 版本升级为 stable。Cilium 通过特定网关节点将连接转发到外部旧的工作负载,并使用可预测的 IP 地址伪装它们,以允许与需要静态 IP 地址的旧式防火墙集成。Egress Gateway 与 ClusterMesh 结合使用时,外部工作负载可以支持传入网格中其他集群的请求。
发布 Cilium Tetragon — Cilium 的新 Tetragon 组件可实现强大的实时、基于 eBPF 的安全可观察性和运行时执行。Tetragon 检测能够对安全重要事件做出反应,例如流程执行事件、系统调用活动和 I/O 活动(包括网络和文件访问)。观看有关Security Observability with eBPF and Tetragon视频,了解更多信息。
其他 Cilium 增强与优化功能 — 额外的网络可见性控制、将 Cilium 作为非特权容器运行的能力、pod CIDR 的动态分配、IPv4/IPv6 NAT、AWS ENI 前缀委派等等。