使用 Cilium 增强 Kubernetes 网络安全

最新推荐文章于 2024-11-03 23:13:41 发布
最新推荐文章于 2024-11-03 23:13:41 发布
阅读量906 收藏 21
点赞数 29
文章标签: kubernetes web安全 容器 安全 计算机网络 开发语言 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_83699724/article/details/137113576
版权

​​​​TL;DR

在本篇,我们分别使用了 Kubernetes 原生的网络策略和 Cilium 的网络策略实现了 Pod 网络层面的隔离。不同的是,前者只提供了基于 L3/4 的网络策略;后者支持 L3/4、L7 的网络策略。

通过网络策略来提升网络安全,可以极大降低了实现和维护的成本,同时对系统几乎没有影响。

尤其是基于 eBPF 技术的 Cilium,解决了内核扩展性不足的问题,从内核层面为工作负载提供安全可靠、可观测的网络连接。

背景

为什么说 Kubernetes 网络存在安全隐患?集群中的 Pod 默认是未隔离的,也就是 Pod 之间的网络是互通的,可以互相通信的。

这里就会有问题,比如由于数据敏感服务 B 只允许特定的服务 A 才能访问,而服务 C 无法访问 B。要禁止服务 C 对服务 B 的访问,可以有几种方案:

  • 在 SDK 中提供通用的解决方案,实现白名单的功能。首先请求要带有来源的标识,然后服务端可以接收规则设置放行特定标识的请求,拒绝其他的请求。
  • 云原生的解决方案,使用服务网格的 RBAC、mTLS 功能。RBAC 实现原理与应用层的 SDK 方案类似,但是属于基础设施层的抽象通用方案;mTLS 则会更加复杂一些,在连接握手阶段进行身份验证,涉及证书的签发、验证等操作。

以上两种方案各有利弊:

  • SDK 的方案实现简单,但是规模较大的系统会面临升级推广困难、多语言支持成本高等问题。
  • 服务网格的方案是基础设施层的通用方案,天生支持多语言。但是对于未落地网格的用户来说,架构变化大,成本高。如果单纯为了解决安全问题,使用网格方案性价比又很低,且不说现有网格实现等落地难度大及后期的使用维护成本高。

继续向基础设施下层找方案,从网络层入手。Kubernetes 提供了的网络策略 NetworkPolicy,则可以实现“网络层面的隔离”。

示例应用

在进一步演示 NetworkPolicy 的方案之前,先介绍用于演示的示例应用。我们使用 Cilium 在互动教程 Cilium getting started 中使用的“星球大战”场景。

这里有三个应用,星战迷估计不会陌生:

  • 死星 deathstar:在 80 端口提供 web 服务,有 2 个 副本,通过 Kubernetes Service 的负载均衡为帝国战机对外提供”登陆“服务。
  • 钛战机 tiefighter:执行登陆请求。
  • X翼战机 xwing:执行登陆请求。

desc

如图所示,我们使用了 Label 对三个应用进行了标识:org 和 class。在执行网络策略时,我们会使用这两个标签识别负载。

# app.yaml
---
apiVersion: v1
kind: Service
metadata:
  name: deathstar
  labels:
    app.kubernetes.io/name: deathstar
spec:
  type: ClusterIP
  ports:
  - port: 80
  selector:
    org: empire
    class: deathstar
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: deathstar
  labels:
    app.kuber
最低0.47元/天 解锁文章
【K8S系列】深入解析k8s网络插件—Cilium
颜淡慕潇
09-02 3万+
总结起来,Cilium是一个强大的Kubernetes网络插件,通过eBPF技术提供高性能和高级的网络功能。 尽管它可能具有一定的学习曲线和复杂性,但对于需要高性能和安全性的组织来说,它是一个有价值的选择。 通过了解其概念、优缺点、实现原理、使用场景、使用方法以及解决常见问题的方法,可以更好地利用Cilium来管理和保护Kubernetes集群中的网络通信。
详细介绍Calium-基于k8s的网络协议插件
远方雪的专栏
09-24 525
Cilium 是一个使用 eBPF 技术的网络和安全插件,旨在为容器和微服务提供高性能的网络连接和安全策略控制。eBPF 允许在 Linux 内核中动态插入代码,从而实现高效的数据包处理和监控。
【理解 Cilium 系列文章】(一) 初识 Cilium
云原生Serverless的专栏
08-28 4277
Knative 定期发布 Knative 最新资讯,汇集 云原生 & Serverless 技术最全内容,用户最佳落地实践。关注 Knative 趋势,更关注你落地实践中的遇到的困惑和问题。 ...
Cilium CNI深度指南
残星说梦话
02-08 2724
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。然而,这样的限制增加了复杂性和处理成本。我们的长期目标包括为pod提供一种机制来选择对等身份验证,支持可插拔的证书管理系统(如SPIFFE、Vault、SMI、Istio、cert-manager等),提供可配置的证书粒度,以及利用现有的对数据平面的加密协议支持。
cilium系列之一:安装并配置cilium
热门推荐
李炜伦的博客
09-16 1万+
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
Cilium & Hubble
喝醉酒的小白
07-17 2038
Cilium在第3/4层运行,以提供传统的网络和安全服务,还在第7层运行,以保护现代应用协议(如HTTP,gRPC和Kafka)的使用。Hubble是建立在Cilium和eBPF之上,以一种完全透明的方式,提供网络基础设施通信以及应用行为的深度可视化,是一个应用于云原生工作负载,完全分布式的网络和安全可观察性平台。Cilium是一个用于容器网络领域的开源项目,主要是面向容器使用,用于提供并透明地保护应用程序工作负载(如应用程序容器或进程)之间的网络连接和负载均衡。.........
体验新时代的CNI--cilium
qq_40406649的博客
01-21 1423
本文将介绍笔者体验cilium的过程Cilium 的基础是一种新的 Linux 内核技术,称为 eBPF,它支持将强大的安全性、可见性和网络控制逻辑动态插入到 Linux 内核中。eBPF 用于提供高性能网络、多集群和多云能力、高级负载均衡、透明加密、广泛的网络安全功能、透明的可观测性等等。
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
然而,随着云原生应用的发展,对网络性能、安全性和可观测性的需求日益增强,这催生了Cilium网络插件的出现。Cilium是基于eBPF技术的一种开源网络解决方案,它旨在替代kube-proxy,提供更高效、安全且可扩展的网络...
最 Cool 的 Kubernetes 网络方案 Cilium 入门教程
hebiwen95的博客
08-04 877
以下基于 Cilium官网文档翻译整理。
使用 Containerlab + Kind 快速部署 Cilium BGP 环境
cr7258的博客
08-28 2518
1 前置知识 1.1 Cilium 介绍 Cilium 是一款基于 eBPF 技术的 Kubernetes CNI 插件,Cilium 在其官网上对产品的定位为 “eBPF-based Networking, Observability, Security”,致力于为容器工作负载提供基于 eBPF 的网络、可观察性和安全性的一系列解决方案。Cilium 通过使用 eBPF 技术在 Linux 内部动态插入一些控制逻辑,可以在不修改应用程序代码或容器配置的情况下进行应用和更新,从而实现网络、可观察性和安全性相
Calico 与 Cilium:为您的 Kubernetes 集群选择最佳 CNI
最新发布
学习学习再学习
11-03 1107
探讨 Calico 和 Cilium 之间的主要区别,以帮助您确定哪个是您的 Kubernetes 集群的最佳选择。
如何使用 Containerlab 和 Kind 快速部署 Cilium BGP 实验环境
easylife206的专栏
10-28 717
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !1 前置知识1.1 Cilium 介绍Cilium 是一款基于 eBPF 技术的 Kubernetes CNI 插件,Cilium 在其官网上对产品的定位为“eBPF-based Networking, Observability, Security”,致力于为容器工作负载提供基于 eBPF 的网络、可观察性和安全...
kubernetes/k8s概念】Cilium架构与概念
zhonglinzhang
07-14 9527
Cilium着重强调了其在网络安全上的优势,可以透明的对Kubernetes容器管理平台上的应用程序服务之间的网络连接进行安全防护。 Cilium在设计和实现上,基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全性、可见性和网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。 1. Cilium 架构 ...
Cilium——具备API感知的网络和安全性管理软件
GJ_ia的博客
01-09 397
能够保护现代应用程序协议,如REST/HTTP、gRPC和Kafka。传统防火墙在第3层和第4层运行,在特定端口上运行的协议要么完全受信任,要么完全被阻止。允许所有带有方法GET和路径/public/.*的HTTP请求。拒绝所有其他请求。* 允许service1在Kafka topic上生成topic1service2消费topic1。拒绝所有其他Kafka消息。* 要求HTTP标头出现在所有REST调用中。详情请参考7层协议。
Kubernetes 之7大CNI 网络插件用法和对比
日拱一卒无有尽,功不唐捐终入海
05-23 2920
CNI(容器网络接口)是一个云原生计算基金会项目,它包含了一些规范和库,用于编写在 Linux 容器中配置网络接口的一系列插件。CNI 只关注容器的网络连接,并在容器被删除时移除所分配的资源。Kubernetes 使用 CNI 作为网络提供商和 Kubernetes Pod 网络之间的接口。CNI Logo有关更多信息,请访问CNI GitHub 项目。此网络模型提供了一个逻辑二层(L2)网络,该网络封装在跨 Kubernetes 集群节点的现有三层(L3)网络拓扑上。
Cilium系列-14-Cilium NetworkPolicy 简介
east4ming的博客
08-06 527
今天我们进入 Cilium 安全相关主题, 介绍 Kubernetes 网络策略以及 CiliumNetworkPolicies 额外支持的内容。今天我们进入 Cilium 安全相关主题, 介绍 Kubernetes 网络策略以及 CiliumNetworkPolicies 额外支持的内容。介绍了一款好用的可视化 NetworkPolicy 编辑器: <networkpolicy.io>. 同时通过一个实用的"租户隔离"网络策略需求来进行演示.三人行, 必有我师;知识共享, 天下为公.
Cilium 开源 Tetragon – 基于 eBPF 的安全可观测性 & 运行时增强
云原生实验室
05-18 1384
❝原文链接????:https://isovalent.com/blog/post/2022-05-16-tetragon译文原文链接????:https://icloudnative.io/posts/tetragon/ 请复制到浏览器打开译者:米开朗基杨、范彬Isovalent Cilium 企业版[1] 包含一个基于 eBPF 的实时安全可观测性和运行时增强(runtime e...
Cilium 1.11:服务网格的未来已来
猫头虎技术团队:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作+:Libin9iOak ,万粉变现+:优快云WF,猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务!全网搜:猫头虎技术团队,点击文章底部名片或直接私信我一切皆可谈,快找虎哥!
09-19 358
Cilium 1.11测试版(Beta)为你带来了一系列引人注目的功能和增强功能,包括OpenTelemetry支持、感知拓扑的负载均衡、Kubernetes APIServer策略匹配,以及更多功能。本文将为您详细介绍这个令人振奋的版本,以及它为现代应用程序网络安全和性能带来的突破。Cilium 是一个开源软件,为基于 Kubernetes 的 Linux 容器管理平台上部署的服务,透明地提供服务间的网络和 API 连接及安全
林帆深入讲解Kubernetes网络原理与应用
Calico是一个灵活的网络和网络安全解决方案,它使用BGP(边界网关协议)来实现容器之间的网络连接,提供IP路由、策略路由、网络策略、IP地址管理等功能。Calico适合于大规模网络和复杂的网络策略需求。 Flannel是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值