eBPF es famoso por su transparencia, alto rendimiento y baja sobrecarga. Por esta razón la comunidad de nube nativa ha estado explorando su uso para malla de servicios sin sidecar. Cilium es un proyecto de código abierto que provee interconexión de redes, seguridad y observabilidad para entornos de nube nativa como clusters de Kubernetes y otras plataformas de orquestación de contenedores. Proporciona una red simple de capa 3 para enrutamiento o superposición y admite el protocolo L7. Desacoplando la seguridad del direccionamiento, Cilium puede jugar un rol significativo como una nueva capa de protección. Hemos visto la adopción de Cilium en algunos proveedores de computación en la nube y también ha sido utilizado en proyectos en Thoughtworks. La comunidad todavía está debatiendo si eBPF puede reemplazar el uso del patrón sidecar, pero parece haber consenso en que algunas características de las mallas de servicios no pueden o no deben ser ejecutadas en el kernel. Además, aplicar Cilium también requiere experiencia previa relacionada con eBPF. Basándonos en los resultados positivos en nuestro proyecto, te recomendamos utilizar esta tecnología.
Traditional Linux network security approaches, such as iptables, filter on IP address and TCP/UDP ports. However, these IP addresses frequently churn in dynamic microservices environments. By leveraging Linux eBPF, Cilium provides API-aware networking and security by transparently inserting security in a way that is based on service, pod or container identity in contrast to IP address identification. By decoupling security from addressing, Cilium could play a significant role as a new network protection layer and we recommend you to check it out.
