Der aspectra-Blog seit 2012

Verbesserte Netzwerk- und Sicherheitsinfrastruktur für OpenShift mit Cilium — Gastbeitrag VSHN

In den letzten 4 Jahren hat VSHN mit aspectra bei der Bereitstellung und dem Management der OpenShift-Infrastruktur zusammengearbeitet, um Sicherheit und 24/7 Verfügbarkeit für die Kundschaft zu gewährleisten. VSHN hat sich für Isovalent Enterprise for Cilium als Standard-Data-Plane für ihren Managed OpenShift Service entschieden. Dies kommt den Kunden von aspectra Managed OpenShift dank der engen Zusammenarbeit zwischen aspectra und VSHN direkt zugute.

VSHN arbeitet seit 2021 mit Isovalent zusammen und hat Isovalent Enterprise for Cilium in seiner gesamten Kubernetes-Produktlinie eingesetzt, von APPUiO Managed bis APPUiO Cloud, mit jahrelanger Erfahrung in eBPF-gestützten Produktionsnetzwerken. Dieser Artikel erläutert die Gründe für diese Entscheidung und die Vorteile für die Kunden.

Was ist Isovalent Enterprise for Cilium?

Isovalent Enterprise for Cilium ist eine getestete und gehärtete Kubernetes-Komponente für Enterprise-User. Sie bietet eBPF-basiertes Netzwerk, Observability und Sicherheit für Plattformteams, die Kubernetes-Cluster in jeglichen Umgebungen betreiben. Cilium ist die bevorzugte Data-Plane für grosse Hyperscaler wie AWSGoogle, und Alibaba und ist ein zertifizierter OpenShift-Operator, der im Red Hat Ecosystem Catalog verfügbar ist.

Isovalent Enterprise for Cilium basiert auf eBPF, dem modernen Standard zur sicheren und effizienten Erweiterung von Linux-Kernel-Funktionen. eBPF hat das Cloud Native Tooling in den Bereichen Networking, Sicherheit und Observability revolutioniert. Cilium geht weit über das hinaus, was mit herkömmlichen Linux-Netzwerktools wie iptables möglich ist, und ermöglicht eine Zero-Trust-Netzwerksicherheit über leistungsstarke Kubernetes- und DNS-fähige Netzwerkrichtlinien. Isovalent Enterprise for Cilium bietet Tools zur Vereinfachung und Automatisierung der Erstellung von Netzwerkrichtlinien, sodass Sicherheitsteams diese an das Anwendungsteam delegieren können, während sie gleichzeitig Richtlinien auf hoher Ebene darüber bereitstellen, welche Richtlinien im Hinblick auf die Compliance akzeptabel sind oder nicht.

Isovalent Enterprise for Cilium ist ein Produkt von Isovalent, einem Unternehmen mit Sitz in Mountain View, USA, und Zürich, Schweiz.

Welche Vorteile bringt Isovalent Enterprise for Cilium den Kunden von aspectra?

Der wichtigste Vorteil von Isovalent Enterprise for Cilium ist zweifelsohne die grosse Bandbreite an fortschrittlichen Kubernetes-nativen Zero-Trust-Netzwerksicherheitsfunktionen.

Durch den Einsatz von eBPF bietet Cilium den Anwendungsentwicklern Netzwerk-Transparenz, um Workloads auf OpenShift auszuführen. Darüber hinaus sammelt Cilium umfangreiche Metriken für Entwickler zur Überwachung von TCP-, UDP- und HTTP-Golden-Signals, wie HTTP-Return-Codes, Latenz, Anfragen pro Sekunde und verwendete TLS-Verschlüsselungen. Diese Daten können in Open Telemetry exportiert werden.

Cilium versteht die Cloud Native-Identität und implementiert nicht nur grundlegende Kubernetes-Netzwerkrichtlinien (z. B. Matching Labels oder CIDR), sondern unterstützt auch DNS-fähige Netzwerkrichtlinien, wodurch Zero-Trust-Richtlinien für den Zugriff auf Dienste ausserhalb von Kubernetes-Clustern erheblich vereinfacht werden.

Was die Sichtbarkeit des Datenverkehrs angeht, unterstützt Cilium L7-Richtlinien für eine feinkörnige Zugriffskontrolle auf gemeinsam genutzte API-Dienste, die gängige Cloud Native-Protokolle wie HTTP, gRPC, Kafka usw. ausführen. Cilium unterstützt auch deny-basierte Netzwerkrichtlinien, clusterweite Netzwerkrichtlinien und Firewalls auf Host-Ebene.

Cilium bietet ein beispielloses Mass an Transparenz über den Netzwerkverkehr und die Sicherheit von Kubernetes-Clustern und ermöglicht transparente Verschlüsselung, Compliance-Überwachung, Sichtbarkeit von Workloads zur Laufzeit, Sichtbarkeit von Netzwerk-Flows und automatisierte Genehmigungen von Netzwerkrichtlinien, ohne den Overhead und die Aufdringlichkeit von Sidecar- Pods oder anderen gängigen Kubernetes-Mustern.

Fazit

Mit der Einführung von Isovalent Enterprise für Cilium revolutionieren VSHN und aspectra den lokalen OpenShift-Markt mit mehr Sicherheit, höherer Verfügbarkeit, besserer Compliance und mehr Transparenz für DevSecOps-Teams. Isovalent Cilium for Enterprise ist ab sofort für neue aspectra Managed OpenShift Cluster verfügbar.