Cisco obtém Cilium: o que isso significa para os desenvolvedores

No final de 2023, a Cisco anunciou sua intenção de adquirir a Isovalent, empresa por trás do projeto de código aberto Cilium. Cilium, que aproveita eBPF (Extended Berkeley Packet Filter) para rede e segurança em nível de kernel, é um dos empreendimentos significativos no espaço nativo da nuvem em 2023.

Cilium usa eBPF para fornecer controles avançados de rede e segurança. eBPF é uma tecnologia de kernel Linux que permite a inserção dinâmica de poderosa segurança, visibilidade e lógica de controle de rede. Essa tecnologia é usada no Cilium para fornecer rede de alto desempenho, recursos multicluster e multicloud e balanceamento de carga avançado. A Isovalent é apoiada por um número ilustre de investidores, como Google, Andreessen Horowitz, Microsoft, Grafana e a própria Cisco. Mas por que a Cisco realmente fez essa aquisição e o que isso significa para desenvolvedores de aplicativos e profissionais de DevOps?

Vamos começar no início

Dan Wendlandt, CEO, e Thomas Graf (CTO) fizeram parte do nascimento do Open vSwitch e da Network Virtualization Platform (NVP) da Nicira, a última das quais mais tarde se tornou um dos produtos mais importantes da VMware: a plataforma NSX para redes definidas por software (SDN). SDN tem tudo a ver com transformar switches de rede em software. Isso permitiu que os desenvolvedores de aplicativos iterassem e implantassem rapidamente configurações de rede, como microssegmentação, em sincronia com os ciclos de desenvolvimento de aplicativos. A equipe de DevOps poderia automatizar e agilizar os processos de provisionamento e gerenciamento de rede, alinhando-os com o pipeline de CI/CD. E os profissionais de segurança podem aplicar políticas de segurança refinadas e isolar o tráfego de rede de forma programática, melhorando a postura geral de segurança. Tudo isso parece ótimo, então por que precisamos do Cilium e do eBPF?

SDN e Cilium com eBPF

SDN fornece controle sobre configuração e gerenciamento de rede nas camadas 1, 2 e 3 por meio de interfaces programáveis. Por outro lado, o Cilium, aproveitando o eBPF, estende esse controle programável para a camada de transporte (Camada 4) e a camada de aplicação (Camada 7). Isso permite a aplicação de políticas de rede por meio de protocolos como TCP, UDP, ATP e MTCP, que fornecem serviços de comunicação ponta a ponta para aplicativos.

eBPF, uma tecnologia revolucionária originada do kernel Linux, permite que programas em sandbox sejam executados no sistema operacional, fornecendo controle mais granular e flexível sobre rede e segurança em ambientes nativos da nuvem. Essa rede em nível de kernel consome menos recursos e opera mais rapidamente do que a rede de espaço de usuário tradicional, principalmente devido à comunicação reduzida entre o kernel do Linux e o espaço de usuário e ao acesso direto aos recursos do sistema. Cilium, implantado como um conjunto de daemons em cada nó de um cluster Kubernetes, aplica políticas de rede definidas pelo usuário e traduz essas definições em programas eBPF. Essa abordagem permite que o Cilium forneça uma rede simples e plana de Camada 3 com a capacidade de impor políticas de rede nas camadas 3, 4 e 7 (nível de aplicativo) para protocolos como HTTP, gRPC ou Kafka.

Em resumo, enquanto o SDN oferece controle programável sobre a configuração e o gerenciamento da rede nas camadas inferiores, o Cilium com eBPF estende esse controle às camadas de transporte e aplicação. Isso proporciona um controle mais granular e flexível sobre a rede e a segurança, o que é particularmente benéfico em ambientes nativos da nuvem.

Vantagens para desenvolvedores de aplicativos

A integração do SDN com o eBPF, principalmente por meio de ferramentas como o Cilium, apresenta inúmeras vantagens para desenvolvedores de aplicações, principalmente em ambientes nativos de nuvem. Aqui está uma análise detalhada dessas vantagens:

Programação e adaptabilidade aprimoradas: A natureza programável do eBPF permite que os desenvolvedores se adaptem rapidamente às mudanças no cenário nativo da nuvem. Esta flexibilidade é crucial num domínio caracterizado pela evolução constante e pela necessidade de iterações rápidas.

Processo de desenvolvimento simplificado: Cilium abstrai a complexidade do eBPF, permitindo que os desenvolvedores aproveitem seus recursos sem se aprofundar nas complexidades da escrita do código eBPF. Essa abstração reduz a curva de aprendizado e o tempo de desenvolvimento, tornando-a mais acessível para uma gama mais ampla de desenvolvedores.

Eficiência de aplicação aprimorada: Ao permitir redes mais inteligentes e controles de segurança no nível do kernel, os aplicativos podem se tornar mais eficientes na utilização de recursos. Essa eficiência é particularmente significativa em um ambiente de nuvem onde os recursos são frequentemente alocados de forma dinâmica e otimizados em termos de custo e desempenho.

Segurança melhorada: eBPF e Cilium facilitam a implementação de medidas de segurança avançadas diretamente no nível do kernel. Essa abordagem permite controles de segurança mais granulares e eficazes, o que é vital em aplicativos nativos da nuvem, onde a segurança é uma preocupação primordial.

Melhor observabilidade e solução de problemas: A combinação de Cilium e eBPF aumenta a visibilidade das cargas de trabalho do Kubernetes. Essa maior observabilidade auxilia no monitoramento de desempenho, na solução de problemas e garante que os desenvolvedores tenham uma compreensão mais clara de como seus aplicativos se comportam em um ambiente de nuvem.

Aplicação de políticas com base na observabilidade: A capacidade de aplicar políticas com base em dados de observabilidade em tempo real permite uma postura de rede e segurança mais dinâmica e responsiva. Este aspecto é particularmente benéfico para garantir a conformidade e manter o desempenho robusto do aplicativo.

Enfrentando desafios específicos da nuvem: Os módulos ou aprimoramentos tradicionais do kernel geralmente enfrentam a fragmentação e a sobrecarga associadas ao gerenciamento de interfaces de rede em ambientes de nuvem. A combinação SDN, Cilium e eBPF aborda esses problemas de forma eficaz, oferecendo latência reduzida e escalabilidade aprimorada.

Extensibilidade para operações em nível de kernel: Trazer programabilidade e extensibilidade ao kernel do sistema operacional via SDN e eBPF permite abordagens mais inovadoras e eficientes para tarefas de rede e segurança em nível de kernel.

Resumindo, a sinergia do Cilium e do eBPF com o SDN apresenta uma solução atraente para desenvolvedores de aplicativos, especialmente em ambientes nativos da nuvem. Ele oferece um equilíbrio entre segurança aprimorada, eficiência e programabilidade, ao mesmo tempo que simplifica as complexidades tradicionalmente associadas às tarefas de rede e segurança em nível de kernel. Essa combinação é particularmente benéfica em ambientes de nuvem dinâmicos e com recursos otimizados.

Por que a rede em nível de kernel é fundamental para o desenvolvimento de aplicativos nativos da nuvem

Se uma máquina Linux com políticas eBPF tentar se comunicar com outra máquina Linux que não possua as mesmas políticas, a comunicação não será automaticamente recusada. Em vez disso, as políticas ditarão como a máquina iniciadora lida com o tráfego de rede de entrada e saída com base nas suas próprias regras configuradas, independentemente das políticas da outra máquina. Isso pode incluir filtragem, redirecionamento ou observação de padrões suspeitos no tráfego de rede. Ferramentas como Ansible, Puppet ou Terraform podem ser configuradas para implantar e configurar automaticamente ferramentas e políticas eBPF em novas máquinas como parte do processo de provisionamento. Essa abordagem garante que cada nova máquina seja configurada com políticas e configurações consistentes e predefinidas, mantendo a uniformidade e a conformidade em toda a sua infraestrutura.

APIs de desenvolvedor consistentes

O projeto de código aberto Cilium fornece aos desenvolvedores de aplicativos um conjunto de APIs consistentes para controle granular de roteamento de rede, balanceamento de carga, criptografia, segurança e observabilidade. Como o código eBPF é executado no nível do sistema, todos esses recursos podem ser adicionados sem quaisquer alterações no código do aplicativo ou na configuração do contêiner. Como o eBPF é executado no nível do sistema operacional, ele pode acessar qualquer pod em execução no nó específico, permitindo aos desenvolvedores uma API consistente para conectividade de rede para todos os pods do Kubernetes em execução neste nó. Com base em um conjunto unificado de políticas, os desenvolvedores podem garantir a configuração consistente necessária aos nós do Kubernetes para garantir que um aplicativo específico (Pod) possa ser executado de forma segura, confiável e com o desempenho desejado.

Aprimorando o portfólio da Cisco com Cilium

Certamente, a integração do Cilium/eBPF com o pacote da Cisco, incluindo Splunk, AppDynamics, Cisco ACI, Intersight e Tetration, não apenas aprimora essas plataformas, mas também traz vantagens significativas para os desenvolvedores:

Integração Splunk e AppDynamics: A integração com Cilium/eBPF enriquece significativamente a visão de rede e os recursos de análise de segurança do Splunk. Para os desenvolvedores, isso significa acesso a dados mais detalhados e precisos no nível do kernel, permitindo-lhes tomar decisões mais informadas e desenvolver aplicações mais robustas. No caso do AppDynamics, os recursos aprimorados de monitoramento de desempenho de aplicativos significam que os desenvolvedores podem obter insights mais profundos sobre o comportamento, a eficiência da rede e a segurança dos aplicativos, levando a um melhor desempenho e confiabilidade dos aplicativos.

Integração Cisco ACI: Ao aproveitar o Cilium/eBPF, a Cisco ACI pode oferecer redes de alto desempenho e recursos avançados de segurança. Para os desenvolvedores, isso se traduz em maior eficiência de rede e segurança para seus aplicativos. Os recursos de aquisição e análise de dados em nível de kernel fornecem aos desenvolvedores maior visibilidade das interações de rede de seus aplicativos, permitindo solução de problemas e otimização mais eficazes.

Integração Intersight: A integração do Cilium/eBPF com o Intersight amplia suas capacidades de gerenciamento em Kubernetes e infraestruturas tradicionais. Isto é particularmente vantajoso para desenvolvedores que trabalham em ambientes de nuvem híbrida, pois simplifica as tarefas de monitoramento e gerenciamento. A programabilidade do eBPF permite que os desenvolvedores criem aplicações mais eficientes e versáteis, adaptando-se rapidamente ao cenário nativo da nuvem em evolução.

Integração de tetração: Com o Cilium/eBPF, o Tetration oferece observabilidade refinada e aplicação de políticas para segurança. Os desenvolvedores se beneficiam de segurança aprimorada para seus aplicativos, pois podem implementar controles avançados de rede e segurança com mais facilidade. Essa integração economiza tempo e reduz a complexidade para os desenvolvedores, que podem se concentrar na lógica do aplicativo em vez de nas complexidades de segurança.

Em resumo, a integração do Cilium/eBPF nessas plataformas Cisco aprimora os recursos de cada ferramenta e, ao mesmo tempo, oferece benefícios substanciais aos desenvolvedores. Esses benefícios incluem melhor percepção da rede, monitoramento aprimorado do desempenho dos aplicativos, gerenciamento simplificado em ambientes de nuvem híbrida e segurança reforçada dos aplicativos. Essa integração se alinha bem às necessidades dos desenvolvedores no cenário moderno de TI, onde eficiência, segurança e adaptabilidade são fundamentais.

Últimas palavras

Não é por acaso que 2023 foi o ano em que o eBPF começou a decolar de verdade, pois este também foi o ano do início da adoção em massa do Kubernetes. A tecnologia tem um potencial incrível, não apenas para redes e segurança, mas também para observabilidade. Quanto mais as empresas adotarem arquiteturas de aplicativos nativas em nuvem distribuídas, mais importante se tornará para elas obter um “cobertor de segurança” que garanta automaticamente redes e segurança orientadas por políticas e, portanto, consistentes, bem como monitoramento granular em tempo real sem muita sobrecarga de desempenho. Tudo isso dito e embora eu não saiba o preço, esta aquisição é boa, já que os recursos impulsionados pelo eBPF da Isovalent podem se tornar um fator importante para a diferenciação futura da Cisco no espaço de aplicativos nativos da nuvem.

Cisco e Microsoft são patrocinadores do The New Stack.