Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Cilium: one firewall 🔥 to secure them all

Pierre-Yves Aillet
April 18, 2019
Technology
0
78

Cilium: one firewall 🔥 to secure them all

Kubernetes c’est cool ! Vous pouvez y héberger des services de technologies variées. Mais comment sécuriser une API REST, des communications gRPC entre les Pods ou une queue Kafka avec un seul outil ?

Cilium est un driver de network utilisé pour sécuriser un cluster kubernetes. Il gère la communication entre les composants à différents niveaux (L3, L4, L7) et offrant du load-balancing, du filtering, … Cilium est extrêmement performant car le filtrage se déroule directement en mode kernel.

Pendant ce talk, nous présenterons les concepts réseaux associés à Kubernetes et comment les sécuriser. Nous ferons une démonstration du projet Cilium et nous introduirons les concepts liés à eBPF. Nous vous donnerons alors notre retour sur le projet.

Pierre-Yves Aillet

April 18, 2019
Tweet

More Decks by Pierre-Yves Aillet

See All by Pierre-Yves Aillet
Cilium: a firewall 🔥 to secure them all
pyaillet
0
220
Comment étendre Kubernetes ?
pyaillet
1
130
Linuxkit : le linux façon ikea
pyaillet
1
200
Linuxkit : le linux façon ikea
pyaillet
1
65
Métrologie et Alerting avec Prometheus et Grafana
pyaillet
1
370
Monitorer les xénomorphes avec Prometheus et Grafana
pyaillet
0
150

Other Decks in Technology

See All in Technology
Four keys改善の取り組み事例紹介
sansantech
PRO
2
220
「ふりかえりのふりかえり」をふりかえり、実のあるふりかえりにする
naitosatoshi
0
160
TransitGatewayの基礎
toru_kubota
0
220
CSSDAY 2024
kevinshallvari
0
170
AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials
emiki
0
3.8k
Head toward Java 22 and Java 23
lycorptech_jp
PRO
1
140
自動生成を活用した、運用保守コストを抑える Error/Alert/Runbook の一元集約管理 / Centralized management of Error/Alert/Runbook to minimize operational costs using automated code generation
biwashi
1
200
Kubernetesでアプリの安定稼働と高頻度のアップデートを両立するためのプラクティス / Best Practices for Applications on Kubernetes to Achieve Both Frequent Updates and Stability
hhiroshell
10
2.9k
Tebiki株式会社 エンジニア採用資料
tebiki
0
3.9k
**強い**エンジニアのなり方 - フィードバックサイクルを勝ち取る / grow one day each day
soudai
52
16k
エンタープライズ環境下での Active Directory の運用 TIPS
tamaiyutaro
1
1.2k
OpenTelemetry を使ったトレースエグザンプラーの活用 / otel-trace-exemplar
k6s4i53rx
2
550

Featured

See All Featured
Thoughts on Productivity
jonyablonski
57
3.8k
Designing for humans not robots
tammielis
247
25k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
29
6k
YesSQL, Process and Tooling at Scale
rocio
161
13k
A Modern Web Designer's Workflow
chriscoyier
689
190k
4 Signs Your Business is Dying
shpigford
175
21k
Agile that works and the tools we love
rasmusluckow
323
20k
Faster Mobile Websites
deanohume
296
30k
Building Applications with DynamoDB
mza
88
5.6k
Side Projects
sachag
451
41k
How GitHub (no longer) Works
holman
302
140k
For a Future-Friendly Web
brad_frost
171
8.9k

Transcript

  1. #DevoxxFR Cilium: one firewall to secure them all Pierre-Yves Aillet

    @pyaillet Eric Briand @eric_briand 1

  2. #DevoxxFR 2 Eric Briand Dev’ touche à tout à Zenika

    Nantes Organisateur du CNCF Meetup Nantes @eric_briand @ebriand Pierre-Yves Aillet Consultant formateur à Zenika Nantes @pyaillet @pyaillet

  3. #DevoxxFR 3

  4. #DevoxxFR 4

  5. #DevoxxFR 5 Architecture du SI events internal api kafka kafka

    zookeeper internal-frontend api events-frontend

  6. #DevoxxFR 6 Networking Kubernetes eth0 eth0 eth0 eth0

  7. #DevoxxFR 7 Architecture de notre SI avec network policy events

    internal api kafka kafka zookeeper internal-frontend api events-frontend

  8. #DevoxxFR 8 Accès API internal-frontend api events-frontend /heroes/* /identities/* /heroes/*

    /identities/*

  9. #DevoxxFR 9 Cilium • https://github.com/cilium/cilium • Go + C pour

    la partie BPF • Version 1.4 • Network addon Kubernetes • Sécurisation à différents niveaux

  10. #DevoxxFR 10 BPF Linux Kernel BPF Program BPF Virtual Machine

    syscall bpf(BPF_PROG_LOAD, ...); BPF Bytecode bcc

  11. #DevoxxFR 11 Cilium

  12. #DevoxxFR 12 Cilium network policy internal-frontend api events-frontend /heroes/* /identities/*

    /heroes/* /identities/*

  13. #DevoxxFR 13 Architecture de notre SI v2 events internal api

    kafka kafka zookeeper internal-frontend api events-frontend

  14. #DevoxxFR 14 C’était cool ? • Installation avec l’operator simple

    mais architecture complexe • Le tooling pratique (ex : cilium policy trace) mais pas à tous les niveaux ! • Utilisation et syntaxe simples

  15. #DevoxxFR 15 Autres points intéressants • Bonnes perfs • Intégration

    avec Istio, Docker, Mesos • Chiffrement IPsec • Multicluster networking • Extensible pour d’autres protocoles

  16. #DevoxxFR Code & Références Sources : • https://github.com/ebriand/conf-cilium Références :

    • https://cilium.io/ • http://www.brendangregg.com/ebpf.html • https://jvns.ca/blog/2017/06/28/notes-on-bpf---ebpf/ • https://www.youtube.com/watch?v=_Iq1xxNZOAo • https://cilium.io/blog/2018/12/03/cni-performance • https://itnext.io/benchmark-results-of-kubernetes-networ k-plugins-cni-over-10gbit-s-network-updated-april-2019-4 a9886efe9c4

  17. #DevoxxFR 17 Merci ! Pierre-Yves Aillet @pyaillet Eric Briand @eric_briand