eBPF é famoso por ser uma aplicação transparente, de alto desempenho e baixa sobrecarga. Por isso, a comunidade tem explorado seu uso para malha de serviço sem sidecar. Cilium é um projeto de código aberto que fornece rede, segurança e observabilidade para ambientes nativos de nuvem, como clusters Kubernetes e outras plataformas de orquestração de contêineres. Ele fornece uma rede Layer 3 plana simples para roteamento ou sobreposição e é compatível com o protocolo L7. Ao desacoplar a segurança do endereçamento, Cilium pode desempenhar um papel significativo como uma nova camada de proteção de rede. Vimos a adoção do Cilium por alguns provedores de nuvem e também o usamos em projetos da Thoughtworks. A comunidade ainda está discutindo se o eBPF pode substituir o sidecar, mas parece haver consenso de que alguns recursos da malha (mesh) não podem ou não devem ser executados no kernel. Além disso, a aplicação do Cilium também requer experiência relacionada ao eBPF. Com base nos resultados positivos em nosso projeto, recomendamos que você experimente essa tecnologia.
Abordagens tradicionais de segurança de rede Linux, como iptables, filtram endereços de IP e portas TCP/UDP. Contudo, esses endereços de IP se transformam frequentemente em ambientes dinâmicos de microsserviços. Aproveitando o eBPG do Linux, Cilium fornece rede e segurança reconhecidas por API ao inserir a segurança de maneira transparente, baseada em serviço, pod ou contêiner, em contraste com a identificação de endereço de IP. Ao desacoplar a segurança do endereço, o Cilium pode ter um papel significativo como uma nova camada de proteção de rede, e recomendamos que você avalie.
