La véritable valeur ajoutée des solutions de mise en réseau de conteneurs

Dans les environnements distribués, le réseau fait partie de l’application. Les constructions natives de mise en réseau de conteneurs disponibles dans Docker et Kubernetes permettent aux organisations de démarrer leur parcours de conteneurisation avec une relative facilité. Cependant, les organisations peuvent facilement ne pas réaliser la valeur ajoutée d’une solution de mise en réseau de conteneurs et n’utiliser que des primitives pour configurer les canaux.

L’utilisation des capacités de mise en réseau de base signifie que le réseau finira par devenir un goulot d’étranglement sans mécanismes de niveau entreprise pour la mise à l’échelle. La bonne nouvelle est que les développeurs et les ingénieurs réseau ne sont pas enfermés dans les constructions réseau natives fournies avec Docker et Kubernetes.

La mise en réseau de conteneurs résout naturellement les défis qui vont au-delà de la connectivité.

• C’est d’abord une base pour sécurité des conteneurs en gérant la segmentation, le filtrage, les contrôles d’accès, la détection d’intrusion et autres.
• Deuxièmement, pour les applications distribuées, la mise en réseau de conteneurs fournit une base pour performances des applications en offrant l’équilibrage de charge, l’observabilité, les diagnostics et le dépannage.
• Troisièmement, il prend en charge développement d’applications en permettant une connectivité multicluster, multicloud et en périphérie.

Dans cet article, nous explorons les solutions de mise en réseau de conteneurs actuellement disponibles. Ceux-ci peuvent être largement classés comme open source, open source avec un plan d’entreprise et solutions commerciales. Pour comprendre les similitudes et les différences entre ces trois catégories, nous devons comprendre certaines caractéristiques techniques de base.

Interfaces de mise en réseau de conteneurs et contrôleurs d’entrée

Bien que Kubernetes fournisse nativement la mise en réseau des pods et le DNS, il ne fournit pas de système d’interface réseau par défaut ; cette fonctionnalité est fournie par des plugins réseau. Ces plugins sont des interfaces réseau de conteneurs (CNI) et des contrôleurs d’entrée. Un CNI fournit des constructions essentielles de couche 2-3, ainsi que des fonctionnalités supplémentaires de bas niveau telles que l’application de la politique réseau, l’équilibrage de charge, le chiffrement du réseau et l’intégration avec l’infrastructure réseau pour la mise en réseau multi-hôte et multi-cluster. Les contrôleurs d’entrée sont chargés de répondre aux demandes entrantes (trafic nord-sud), généralement avec un équilibreur de charge, bien qu’ils puissent également configurer des routeurs périphériques ou des frontaux supplémentaires pour aider à gérer le trafic.

Les CNI sont un bon point de référence pour comprendre les capacités de base d’une solution de mise en réseau de conteneurs. La plupart des CNI sont open source et la plupart des solutions d’entreprise exploitent les CNI open source pour créer des fonctionnalités plus avancées. A ce titre, nous notons ce qui suit :

1. Les versions d’entreprise des solutions de mise en réseau de conteneurs open source sont gérées par les développeurs originaux du logiciel open source.
2. Les solutions commerciales s’appuient également sur des logiciels open source pour créer leurs solutions.
3. Les solutions commerciales peuvent également développer des CNI proches et des services complémentaires.

Solution open source

Les solutions de mise en réseau open source pour les systèmes basés sur des conteneurs tels que Kubernetes fournissent différentes fonctionnalités et implémentations du CNI, qui permettent aux conteneurs de se connecter les uns aux autres et au réseau plus large. Ces outils gèrent divers aspects de la mise en réseau, y compris, mais sans s’y limiter, l’adressage IP, le routage, l’équilibrage de charge, l’application de la politique réseau et la découverte de services.

Certaines des solutions open source les plus populaires disponibles aujourd’hui incluent :

• cil: un projet open source pour fournir la mise en réseau, la sécurité et l’observabilité pour les environnements cloud natifs tels que les clusters Kubernetes et d’autres plates-formes d’orchestration de conteneurs. À la base de Cilium se trouve une nouvelle technologie de noyau Linux appelée eBPF, qui permet l’insertion dynamique d’une puissante logique de sécurité, de visibilité et de contrôle de réseau dans le noyau Linux.
• Projet Calico : Calico Open Source est une solution de mise en réseau et de sécurité pour les conteneurs, les machines virtuelles et les charges de travail natives basées sur l’hôte. Il prend en charge une large gamme de plates-formes, notamment Kubernetes, OpenShift, Docker EE, OpenStack et les services bare metal. Calico peut utiliser à la fois un plan de données eBPF et le plan de données Windows.
• Filet tissé: une boîte à outils de mise en réseau cloud native qui crée un réseau virtuel pour connecter des conteneurs Docker sur plusieurs hôtes et permet leur découverte automatique.
• Andréa : un projet natif Kubernetes qui implémente le CNI et Kubernetes NetworkPolicy, pour la connectivité réseau et la sécurité des charges de travail des pods. Antrea étend les avantages des réseaux programmables d’Open vSwitch (OVS) à Kubernetes.

Comme pour tous les logiciels open source, ceux-ci sont gratuits – en termes d’investissement initial, l’option la moins chère disponible. Cependant, des employés supplémentaires en développement et en perfectionnement peuvent rapidement diluer les coûts initiaux nuls.

Versions d’entreprise de l’open source

Certains créateurs de solutions logicielles open source – notamment Isovalent pour Cilium et Tigera pour Project Calico – proposent également des versions professionnelles de leurs solutions.

• Entreprise isovalente pour le cil – offre des fonctionnalités supplémentaires telles que des politiques réseau Zero-Trust, l’équilibrage de charge, la connectivité et l’automatisation multi-cluster, le routage de segment et la création automatique de politiques basées sur le trafic réseau. Isovalent Enterprise for Cilium est largement testé, entièrement rétroporté et couvert par une assistance 24 × 7 des constructeurs d’eBPF et de Cilium.
• Entreprise Calico – le produit commercial et l’extension de Calico open source. Il fournit la même connectivité d’application sécurisée dans les environnements multi-cloud et hérités que Calico, mais ajoute des capacités de contrôle et de conformité d’entreprise pour les déploiements critiques. Il offre le plug-in réseau Calico CNI, le plug-in de gestion des adresses IP Calico CNI, les modes réseau superposés, les modes réseau non superposés et l’application de la politique réseau.

Opter pour une version entreprise, c’est bénéficier de l’assistance directe des personnes qui connaissent le mieux le logiciel. Ils sont plus susceptibles de comprendre les nuances et les cas extrêmes qui pourraient survenir, conduisant à une résolution de problèmes plus rapide et plus efficace. Les mises à jour des fonctionnalités d’entreprise et de la version open source sont généralement synchronisées, de sorte que toute avancée de l’open source se retrouve rapidement dans la version entreprise également.

Solutions commerciales

Les ingénieurs réseau verront des noms familiers dans l’espace de mise en réseau de conteneurs. Il convient de noter que certains de ces fournisseurs disposent de capacités de mise en réseau de conteneurs disponibles dans une solution plus large.

• Arista CloudEOS et CloudVision fournissent un modèle opérationnel cohérent pour les CNI de mise en réseau de conteneurs, le cloud privé sur site, les infrastructures de cloud public et les environnements bare metal. Certains avantages de CloudEOS pour Kubernetes incluent la visibilité de l’opérateur réseau sur ce qui se passe avec l’environnement de réseau de conteneurs, l’analyse en temps réel pour l’infrastructure de réseau de conteneurs et la corrélation entre l’infrastructure réseau physique, les hôtes de machines virtuelles et les charges de travail conteneurisées.
• Réseau de traînées de genévrier est pris en charge en tant que CNI dans les environnements Kubernetes. Contrail intégré à Kubernetes ajoute des fonctionnalités de mise en réseau supplémentaires, notamment la multilocation, l’isolation du réseau, la micro-segmentation avec des politiques de réseau, l’équilibrage de charge, etc.
• Service Cisco Intersight Kubernetes (IKS) est une plate-forme légère de gestion de conteneurs pour fournir Kubernetes en amont multi-cloud de qualité production. Il simplifie le processus de provisionnement, de sécurisation, de mise à l’échelle et de gestion des clusters Kubernetes virtualisés en fournissant une automatisation de bout en bout, y compris l’intégration de la mise en réseau, des équilibreurs de charge, des tableaux de bord natifs et des interfaces de fournisseur de stockage.
• Plug-in CNI Cisco Application Centric Infrastructure (ACI) fournit la gestion des adresses IP pour les pods et les services, le routage et la commutation distribués et le pare-feu distribué pour la mise en œuvre des politiques de réseau.
• Mise en réseau de conteneurs VMware avec Antrea offre aux utilisateurs des images signées, des fichiers binaires et une prise en charge complète du projet Antrea. La mise en réseau de conteneurs avec Antrea a été conçue dans le cluster Tanzu Kubernetes (TKG) sur vSphere et les clouds, et le service de cluster Tanzu Kubernetes pour s’exécuter sur vSphere avec Tanzu. Tout client disposant d’une licence valide de VMware NSX-T Advanced et supérieur peut automatiquement obtenir une assistance pour VMware Container Networking avec Antrea sans frais supplémentaires.
• Services d’entrée de conteneur F5 BIG-IP (CIS) s’intègre aux environnements d’orchestration de conteneurs pour créer dynamiquement des services L4/L7 sur les systèmes F5 BIG-IP et équilibrer la charge du trafic réseau entre les services. En surveillant le serveur d’API d’orchestration, CIS peut modifier la configuration du système BIG-IP en fonction des modifications apportées aux applications conteneurisées.

Par rapport aux versions d’entreprise proposées par les créateurs du logiciel open source, les solutions commerciales présentent un certain nombre d’avantages, tels que la responsabilité du fournisseur, la gestion standardisée et des portefeuilles de produits plus larges. Si une organisation dispose déjà d’un déploiement existant de l’un des fournisseurs décrits ci-dessus, l’exploitation de leurs solutions de mise en réseau de conteneurs peut nécessiter un simple clic sur un commutateur.

Réflexions finales

Il existe un large éventail de solutions disponibles sur le marché. Mais pour vraiment tirer parti des avantages de la solution, il est important de recadrer la stratégie de mise en réseau de conteneurs d’un ensemble nécessaire de points faibles à un catalyseur d’applications conteneurisées sécurisées et robustes.