octubre 4, 2024

Solución de seguridad de red para: contenedores, máquinas virtuales y aplicaciones nativas de la nube

0
Voiced by Amazon Polly
Comparte en redes sociales

Calico es una solución de seguridad de red para contenedores, máquinas virtuales y cargas de trabajo nativas basadas en la nube. Calico es compatible con una amplia gama de plataformas que incluyen Kubernetes, OpenShift, Docker EE y OpenStack.

Calico es confiable y opera en producción en grandes empresas, incluidos proveedores de SaaS, compañías de servicios financieros y fabricantes. Los mayores proveedores de nube pública han seleccionado a Calico para proporcionar seguridad de red para sus servicios alojados de Kubernetes (Amazon EKS, Azure AKS, Google GKE e IBM IKS) que se ejecutan en decenas de miles de clústeres.

Calico combina capacidades de red flexibles con aplicación de seguridad de ejecución en cualquier lugar para proporcionar una solución con rendimiento nativo del kernel de Linux y verdadera escalabilidad nativa de la nube. Calico proporciona a los desarrolladores y operadores de clúster una experiencia consistente y un conjunto de capacidades, ya sea que se ejecuten en la nube pública o en las instalaciones, en un solo nodo o en un clúster de miles de nodos.

Calico utiliza herramientas de red Linux estándar para proporcionar dos servicios principales para aplicaciones nativas de la nube:

  • Conectividad de red entre cargas de trabajo.
  • Aplicación de políticas de seguridad de red entre cargas de trabajo.

La arquitectura flexible de Calico admite una amplia gama de opciones de implementación, utilizando componentes modulares, que incluyen:

  • Complementos CNI para Kubernetes para proporcionar redes altamente eficientes y gestión de direcciones IP (IPAM).
  • Un complemento ML2 de Neutron para proporcionar redes VM para OpenStack.
  • Un motor de políticas, Felix , para proporcionar la aplicación del conjunto completo de características de políticas de red de Kubernetes, más para aquellos que necesitan un conjunto más rico de características de políticas, las políticas de red de Calico.
  • Opciones de red sin superposición y superposición (a través de IPIP o VXLAN) en la nube pública o en implementaciones locales.
  • Una pila de enrutamiento BGP que puede anunciar rutas para la carga de trabajo y las direcciones IP de servicio a la infraestructura de red física, como los enrutadores Top of Rack (ToR).
  • Una interfaz de línea de comando simple, calicoctl , para administrar la configuración de Calico y las políticas de red de Calico.

El rico modelo de política de red de Calico facilita el bloqueo de la comunicación, por lo que el único tráfico que fluye es el tráfico que usted desea. Puede pensar en la aplicación de seguridad de Calico como envolviendo cada una de sus cargas de trabajo con su propio firewall personal que se reconfigura dinámicamente en tiempo real a medida que implementa nuevos servicios o escala su aplicación hacia arriba o hacia abajo. El motor de políticas de Calico puede aplicar el mismo modelo de políticas en la capa de red del host y (si usa Istio & Envoy) en la capa de malla de servicios, protegiendo su infraestructura de cargas de trabajo comprometidas y protegiendo sus cargas de trabajo de infraestructura comprometida.

Calico usa las capacidades de control de acceso y reenvío altamente optimizadas integradas del kernel de Linux para ofrecer el rendimiento del plano de datos de red de Linux nativo, por lo general sin requerir ninguno de los gastos generales de encapsulación / decapidad asociados con las redes SDN de primera generación. El plano de control y el motor de políticas de Calico se han ajustado durante muchos años de uso de producción para minimizar el uso y la ocupación general de la CPU.

Los principios básicos de diseño de Calico aprovechan las mejores prácticas de patrones de diseño nativos de la nube combinados con protocolos de red basados en estándares probados y confiables en todo el mundo por los operadores de Internet más grandes. El resultado es una solución con escalabilidad excepcional que ha estado funcionando a escala en producción durante años. El ciclo de prueba de desarrollo de Calico incluye pruebas periódicas de miles de clústeres de nodos. Ya sea que esté ejecutando un clúster de 10 nodos, un clúster de 100 nodos o más, obtendrá los beneficios del rendimiento mejorado y las características de escalabilidad que exigen los clústeres de Kubernetes más grandes.

Calico permite que las cargas de trabajo de Kubernetes y las cargas de trabajo no Kubernetes o heredadas se comuniquen de manera transparente y segura. Los pods de Kubernetes son ciudadanos de primera clase en su red y pueden comunicarse con cualquier otra carga de trabajo en su red. Además, Calico puede extenderse sin problemas para asegurar sus cargas de trabajo basadas en host existentes (ya sea en la nube pública o en las instalaciones en máquinas virtuales o servidores básicos) junto con Kubernetes. Todas las cargas de trabajo están sujetas al mismo modelo de política de red, por lo que el único tráfico que puede fluir es el tráfico que espera que fluya.

Más información y descarga de Calico:

https://www.projectcalico.org/

Deja un comentario