Строим безопасные сети Kubernetes c eBPF и Cilium (Александр Костриков, Brain4Net) / @Kubernetes

«Безопасные сети Kubernetes c eBPF и Cilium. Как глубоко работать с сетью на уровне ядра» Александр Костриков, DevOps-инженер, Brain4Net Как SDN-компания, мы стремимся к программируемости не только сетевого оборудования, но и всего сетевого стека. Kubernetes тоже можно запрограммировать гибче, чем просто правила iptables. Это позволяет сделать такой инструмент, как Cilium. Рассмотрим, как Cilium использует eBPF для работы с кодом ядра и userspace, а также для для сетевого взаимодействия, безопасности, мониторинга и балансировки нагрузки. 1. eBPF и BCC — как работает eBPF, основа в ядре для Cilium и других инструментов — Трассировка внутри ядра — iptables/ipset vs eBPF — Безопасность 2. Эволюция дизайна приложений и введение в Cilium — Что было раньше и зачем Cilium — Введение в Cilium: Component Overview, Address Management, Multi Host Networking, Security, Datapath, Failure Behavior, Architecture — Cilium Design Decisions. Какие избыточные части пропадают из-за того, что мы работаем в ядре? — Kernel TLS и бонусы, с ним связанные — Рассматриваем исходный код Cilium — Аналоги, использующие eBPF 3. Как тестируется: как самим поднять окружение и проверить/законтрибьютить