Chris Ferreira, senior principal technical product manager chez Red Hat, explique que Connectivity Link n'est pas un réseau maillé =. (Crédit Red Hat)
Basé sur un projet open source dédié à Kubernetes, Connectivity Link de Red Hat fournit des fonctions de gestion de trafic et de sécurité des applications dans des écosystèmes multicloud.
Après avoir dévoilé récemment OpenShift Virtualization Engine pour les déçus de VMware, Red Hat s'intéresse à la connectivité des applications dans les environnements multicloud complexes. Dans ce cadre, la filiale d'IBM lance Connectivity Link avec plusieurs fonctions comme la gestion du trafic, l'application de politiques et le contrôle d'accès basé sur les rôles,.... La solution est basée sur le projet open source Kuadrant, retenu par la CNCF (cloud native computing foundation) en juin 2024. Il facilite la connectivité des applications dans les clusters Kubernetes en combinant plusieurs fonctions (routage, sécurité, gestion des politiques d'entreprise,...)
Dans son portefeuille, Connectivity Link apporte donc différentes fonctionnalités critiques qui nécessitaient traditionnellement des solutions distinctes. Il y a en premier lieu la gestion et le routage avancés du trafic, puis des mécanismes d'application des politiques et le contrôle de limitation des débits (pour éviter les attaques par déni de service). Sur la partie sécurité, la solution apporte le RBAC (contrôle d'accès basé sur les rôles), la gestion des politiques d'authentification et de sécurité (OAuth2 et JWT), des certificats TLS et des configurations DNS.
Une technologie différente du mesh
Ces dernières années, les déploiements Kubernetes cloud-natifs ont de plus en plus adopté des technologies de maillage de services comme le projet Istio. Même s'il est possible de réaliser une connectivité réseau avec une topologie maillée, l'approche adoptée par Connectivity Link est un peu différente. La solution « utilise l'API Gateway, introduite par la communauté Kubernetes il y a un peu plus d'un an, ainsi que l'intégration avec les solutions DNS de différents fournisseurs de services cloud », a déclaré Chris Ferreira, senior principal technical product manager chez Red Hat.
Il insiste sur le fait que « Connectivity Link n'est pas un réseau maillé ». Il s'agit d'un plugin Envoy (proxy open source développé chez Lyft) utilisé par Red Hat pour intégrer différentes capacités au-delà des caractéristiques standard d'un réseau mesh Istio ou LinkerD. Le responsable a expliqué que via des intégrations avec le DNS cloud, et avec la mise en miroir de la configuration, Connectivity Link fournit un accès à de multiples clusters et des contrôles de la santé des workloads. « La solution est également consciente du routage approprié, de l'équilibrage de charge et du basculement, et elle est capable de créer/modifier/supprimer des Cname (Canonical Name, un type d'enregistrement DNS), des enregistrements A, des zones et plus encore au sein de n'importe quel fournisseur DNS dans une approche automatisée et systématique. »
L'un des principaux objectifs de l'offre de Red Hat est de faciliter la mise en place, la gestion et la surveillance de la connectivité cloud native par les entreprises. M. Ferreira a fait remarquer que la technologie rassemble les capacités essentielles dont les administrateurs de cloud ont besoin pour la connectivité dans une interface unique entièrement pilotée par API. « Le fait d'être piloté par API favorise l'automatisation ainsi que des flux de travail GitOps et DevOps modernes. »
« Le meilleur moyen de connecter les déploiements cloud natif »
L'API Gateway de Kubernetes est, à certains égards, une évolution de l'ancien contrôleur Ingress de Kubernetes. Cela dit, Chris Ferreira a fait valoir qu'elle est bien plus qu'une nouvelle norme de contrôleur d'entrée. « Par exemple, elle est orientée sur les rôles, de sorte que les opérateurs de clusters pourront définir comment l'infrastructure partagée peut être utilisée par des groupes différents », observe-t-il. L'API Gateway est également plus « expressive », selon le responsable produit.
« Les ressources de l'API Gateway fournissent des capacités prêtes à l'emploi pour des choses comme la correspondance basée sur l'en-tête, la pondération du trafic, et plus encore, qui ne sont actuellement possibles dans les normes d'entrée actuelles que par le biais d'un code personnalisé », a-t-il déclaré. « Cela permet un routage plus intelligent, la sécurité et l'isolation d'itinéraires spécifiques sans qu'il soit nécessaire d'écrire un code personnalisé ou de déployer des ressources supplémentaires. »
Des tableaux de bord multiples
Pour de nombreux administrateurs, les tableaux de bord sont le principal moyen de gérer et de configurer les services. À cet effet, Connectivity Link est livré avec un plugin de console dynamique pour OpenShift Console ainsi que ceux disponibles dans le catalogue de Grafana. Ces derniers sont basés sur trois personas distincts : l'opérateur de plateforme, le développeur d'applications et l'utilisateur professionnel, afin d'assurer une capacité rapide à la collecte de métriques.
OpenShift offre encore plus d'options. « Dans la console OpenShift, il est possible d'éditer et de configurer directement des modèles YAML préfabriqués ou ses propres modèles pour mettre en place des politiques de limite de débit, des politiques DNS, des politiques TLS et plus encore », a détaillé Chris Ferreira. « Nous disposons également d'une visibilité en temps réel sur ces politiques, où elles sont définies, et si elles sont appliquées ou non. »
Suivez-nous