Эра открытого исходного кода в сетевых технологиях

Открытый исходный код преобразует сетевые технологии из медленных, стандартизированных протоколов в гибкую, программируемую, готовую к Kubernetes инфраструктуру.

На протяжении большей части своей истории сетевые технологии были областью, ориентированной, прежде всего, на стандарты и протоколы. От модели OSI до стека TCP/IP прогресс измерялся рабочими группами и RFC, а не коммитами на GitHub. Но ситуация быстро меняется. Такие проекты, как eBPF и Cilium, наряду с архитектурными требованиями Kubernetes, переводят сетевые технологии из мира, ограниченного спецификациями, в программно-ориентированную экосистему с открытым исходным кодом. То, что произошло с серверами, инструментами для разработчиков и конвейерами непрерывной интеграции и непрерывной доставки (CI/CD), теперь происходит и на сетевом уровне.

Будущее с открытым исходным кодом уже наступило, и оно наконец-то догоняет пакетный путь.

Открытый исходный код победил остальных

Роль открытого исходного кода как основного двигателя инноваций в корпоративных технологиях настолько очевидна, что её почти излишне упоминать. Linux преобразил мир серверов. Контейнеры, созданные на основе базовых базовых функций Linux, дали начало DevOps, распределённым системам и современным методам развёртывания. Kubernetes стал доминирующей плоскостью управления для облачных вычислений. Всё это было создано сообществом разработчиков открытого исходного кода.

Но хотя открытый исходный код и изменил подход к вычислениям, конвейерам сборки и архитектуре приложений, он пока не достиг своего пика в сетевых технологиях. Вспомните, как быстро развиваются такие экосистемы, как Python, JavaScript и Kubernetes.

Именно это привело к полному и безоговорочному доминированию открытого исходного кода как революционного агента в серверной инфраструктуре, языках программирования, инструментах разработки и фреймворках. Только в CNCF более 220 000 участников участвуют почти в 200 проектах CNCF, которые стали основой облачной инфраструктуры. Реестр npm для экосистемы JavaScript содержит более двух миллионов пакетов. Существует более 100 000 библиотек Python и более 200 000 пакетов Python. Практически нет значительных уровней разработки программного обеспечения, языковых примитивов или любого этапа от сборки до подготовки и производства, которые не изменили бы ожидания пользователей в сторону инноваций, ориентированных на открытый исходный код.

Однако сетевые технологии оставались основанными на стандартах. И это понятно. Они должны были работать независимо от поставщика и континента, между оптоволокном и встроенным ПО. Но в нынешнюю эпоху динамичной инфраструктуры и платформ, ориентированных на разработчиков, этот консерватизм начинает сдерживать развитие.

Почему сетевые технологии остались консервативными

Сетевые технологии никогда не создавались для быстрого перемещения и разрушения. Они должны были взаимодействовать вне организационных и географических границ, выдерживать сбои оборудования и поддерживать ресурсоёмкие рабочие нагрузки, где любая ошибка могла нарушить критически важные бизнес-операции.

Когда что-то идёт не так, сеть обвиняют, часто несправедливо. Это сформировало культуру неприятия риска и стремление к минимальным изменениям. Неудивительно, что такие важные изменения, как внедрение IPv6, заняли десятилетия.

IPv6 был первоначально определён в RFC 1883 почти 30 лет назад. Тогда он был известен просто как IP Next Generation или IPng. Только после ратификации RFC 8200 в июле 2017 года IPv6 стал тем стандартом, которым он является сегодня. Кстати, это не критика таких организаций по стандартизации, как IETF и IEEE. Их нельзя винить в медленном внедрении IPv6. Я бы свалил вину на неудобную для человека схему адресации IPv6 и отсутствие поддержки IPv6 на сетевом оборудовании. Однако совершенно очевидно, что, хотя подход, основанный на стандартах, был необходим для обеспечения взаимодействия сетевого оборудования конкурирующих компаний, он тормозил прогресс, наблюдавшийся в других областях.

Результатом стал слой инфраструктуры, который развивался гораздо медленнее по сравнению с остальной частью экосистемы.

Надежность превыше гибкости… До сих пор

Философия разработки ядра Linux отражает схожую модель. Разработчики ядра строго следуют правилу «никогда не нарушать пользовательское пространство», отдавая приоритет совместимости перед инновациями. Изменения в основных интерфейсах требуют постоянной поддержки и требуют медленного и тщательного рассмотрения, особенно в части сетевых решений.

Именно поэтому eBPF (сокращение от Extended Berkeley Packet Filter) стал таким поворотным моментом. Он позволяет разработчикам безопасно запускать изолированные программы внутри ядра, обеспечивая видимость, контроль и наблюдение в режиме реального времени без необходимости изменения исходного кода ядра или загрузки пользовательских модулей. Он сохраняет стабильность, обеспечивая при этом гибкость.

Именно это делает Cilium , сетевую платформу на базе eBPF, настолько революционной. Вместо того, чтобы полагаться на статичные, стандартизированные модели поведения, Cilium предлагает программируемую сетевую архитектуру, политики нулевого доверия и расширенные возможности наблюдения, разработанные для Kubernetes и других динамических сред. Сочетание Cilium и eBPF меняет представление о сети как о программном обеспечении. Она компонуется, управляется политиками и постоянно совершенствуется.

Kubernetes усиливает давление

Облачные рабочие нагрузки кардинально изменили ситуацию. Переход к микросервисам и оркестрованной инфраструктуре привнёс динамизм, на который традиционные сетевые инструменты не были рассчитаны.

Устаревшие сетевые стеки не были созданы для этого мира. Примитивные механизмы, лежащие в основе оркестровки контейнеров, были разработаны десятилетия назад. Они не обеспечивают той наблюдаемости, безопасности и гибкости, которых сейчас ожидают разработчики платформ. Модернизация этих систем для соответствия современным требованиям достигла своего предела.

Именно здесь eBPF и Cilium проявляют себя во всей красе.

eBPF предоставляет разработчикам необходимые инструменты для извлечения метрик, применения правил и перенаправления трафика внутри ядра, не нарушая работу остальной системы. Cilium реализует эту возможность через собственные конструкции Kubernetes, такие как сетевые политики, сервисные сети и зашифрованное подключение, под единой плоскостью управления.

В отличие от закрытых и непрозрачных решений, эти инструменты с открытым исходным кодом позволяют операторам проводить аудит, расширять и совершенствовать их с течением времени. А поскольку они разработаны для открытого сотрудничества, команды разработчиков платформы могут постепенно внедрять их в контейнеризированные приложения, виртуальные машины и даже среды Windows, не фрагментируя свою модель политик и не дублируя логику контроля.

Модель открытых сетей расширяется

То, что происходит сейчас, — это больше, чем просто обновление инструментов. Это смена платформы. Организации всё чаще унифицируют свою инфраструктуру вокруг открытых и программируемых сетевых уровней. Эти команды используют не только eBPF и Cilium в Kubernetes. Они расширяют эти возможности на виртуальные машины, аппаратные среды и гибридные среды. Им нужен единый способ определения, защиты и мониторинга своих сетей независимо от того, где выполняются рабочие нагрузки.

Подобно тому, как разработчики больше не задумываются об использовании Git, Docker или Helm, команды по инфраструктуре и безопасности начинают рассматривать eBPF и Cilium как основополагающие. Граница между сетью и платформой размывается. Сеть — это уже не просто кабели и коммутаторы. Это расширение кода.

И это приводит к реальным архитектурным изменениям. Команды, отвечающие за платформу, хотят меньше изолированных хранилищ. Команды безопасности хотят микросегментации без разрастания оборудования. Команды, отвечающие за наблюдение, хотят доступа к данным в режиме реального времени без дополнительных затрат.

Hubble, уровень наблюдения Cilium, обеспечивает отслеживание взаимодействия контейнерных приложений в сетях в режиме реального времени. Созданный на основе eBPF, он выводит подробные данные о потоках данных непосредственно из ядра Linux без изменения приложений или контейнеров.

Наступила эра открытых сетей

Открытый исходный код в сетевых технологиях — это не маргинальное движение. Он быстро становится стандартным подходом для современной инфраструктуры. По мере модернизации своих платформ предприятия больше не довольствуются медленными циклами стандартизации или разрозненными системами. Им нужны программируемые, контролируемые и изначально безопасные сетевые решения. Это относится к Kubernetes, виртуальным машинам, облачным средам и центрам обработки данных.

eBPF и Cilium появились в нужный момент. Они позволяют сетевым командам удовлетворять потребности современных распределённых приложений в гибкости и безопасности, не жертвуя производительностью и контролем. По мере того, как организации расширяют использование микросегментации, безопасности среды выполнения и сервисно-ориентированных сетей, эти открытые технологии становятся центральными в операционной модели современной инфраструктуры.

Происходящие изменения носят не только технический характер. Они носят культурный характер. Разработчики ожидают, что инфраструктура будет такой же динамичной и программно-определяемой, как и их код. Командам, работающим с платформами, необходимы унифицированные модели политик, охватывающие контейнеры и виртуальные машины. Безопасность и наблюдаемость должны быть встроенными, а не прикрученными.

Сетевые технологии, долгое время бывшие самым консервативным уровнем стека, теперь перестраиваются под влиянием тех же сил, которые преобразили вычислительные мощности и доставку приложений. Эра сетей с открытым исходным кодом — это не просто мечта будущего. Она уже здесь и набирает обороты.