Acht jaar geleden, tijdens GOTO Berlijn, kondigde John Wilkes de eerste release van Kubernetes aan.

Het was alsof hij een tijdmachine aan datacenter-platformteams schonk: de clusterbeheertechnologie die het interne Borg-systeem van Google aandreef. ‘Borg voor de gewone man’, was toentertijd een veelgehoord gezegde. In de jaren daarna gaf de technologie een nieuwe definitie aan cloud-native infrastructuur.

De KubeCon + CloudNativeCon North America 2022-conferentie draait om de evolutie van cloud-native infrastructuur en de rimpeleffecten daarvan op alles van diepe Linux kernel primitives tot security en high-performance microservices.

We spraken met acht cloud-native specialisten om de sfeer op het evenement te proeven en te begrijpen wat er in de ‘Kube-o-sphere’ speelt.

Chainguard

Het beveiligingsprobleem van software supply chains werd voor het eerst blootgelegd door SolarWinds en kreeg nog meer bekendheid na Log4j.

Chainguard — een startup die werd opgericht door voormalige Google-medewerkers — is het schoolvoorbeeld geworden van hoe de industrie de security van software supply chains heroverweegt. Chainguard introduceerde de meest gedenkwaardige open-source development frameworks voor dit nieuwe securitydiscipline.

Sigstore, een standaard van Chainguard voor het ondertekenen van software, organiseerde tijdens KubeCon een eigen SigstoreCon-evenement in samenwerking met KubeCon.

Het is een grote mijlpaal voor de technologie, die het ondertekenen van software in de cloud-native stack beveiligt. Sigstore is de de facto ondertekeningsstandaard geworden in Kubernetes en de drie populairste programmeertaalregisters van het moment: JavaScript (npm), Java (Maven) en Python (PyPi). Ook presenteerde Chainguard vexctl, een nieuwe CLI-tool waarmee ontwikkelaars VEX (Vulnerability Exploitability eXchange) kunnen toepassen.

Lightbend

Lightbend kondigde eerder dit jaar Kalix aan. Kalix is naar verluidt het ‘enige’ ontwikkelaarsplatform dat elke backend-ontwikkelaar in staat stelt om grootschalige, high-performance microservices en API’s te bouwen zonder infrastructuurbeheer.

Het ontwerpen, bouwen en uitvoeren van high-performance, low-latency applicaties voor de verwerking van grote datavolumes is een uitdaging, zowel door de technische moeilijkheidsgraad als de beschikbaarheid van vaardigheden. Historisch gezien vereiste de ontwikkeling van dergelijke systemen een verfijnde, ingewikkelde en dure architectuur van verschillende technologieën, zoals infrastructuursoftware voor bedrijfsapplicaties, gedistribueerde databases en caches.

Kalix biedt een Platform-as-a-Service (PaaS) om deze uitdagingen aan te gaan. De oplossing wordt aangedreven door dezelfde Akka-technologie die wordt gebruikt door Citi, John Deere, GM en Verizon. De ontwikkelaar van Kalix, Jonas Bonér, gaf dit jaar een presentatie tijdens de Reactive Summit, een evenement dat op dezelfde tijd en plaats als KubeCon werd georganiseerd.

StormForge

StormForge draait om automatisch grootschalig Kubernetes resource management met behulp van machine learning. Het bedrijf kondigde onlangs de nieuwste release aan van StormForge Optimize Live, ’s werelds eerste product dat bi-dimensionale Kubernetes pod autoscaling mogelijk maakt.

Het systeem gebruikt machine learning om pods automatisch te schalen en een gewenst doelgebruik in te stellen voor de horizontal pod autoscaler (HPA). Wat betekent dat voor de Kubernetes-gebruiker? Het maakt autoscaling eenvoudiger en efficiënter, waarbij het resourcegebruik en de kosten worden geminimaliseerd zonder in te leveren op de prestaties of betrouwbaarheid van applicaties. StormForge demonstreerde het product op KubeCon. Daarnaast presenteerde het bedrijf diverse tutorials voor het afstemmen van Java en .NET apps voor Kubernetes.

Sysdig

Sysdig heeft onlangs zijn Cloud Native Threat Report uitgebracht. Het bedrijf analyseerde supply chain attacks op containers en bevestigde dat cryptojacking de grootste motivatie blijft voor opportunistische aanvallers die kwetsbaarheden en zwakke systeemconfiguraties uitbuiten. Ook introduceerde Sysdig onlangs ’s werelds eerste cloud security posture management (CSPM)-aanbod dat securitybevindingen per hoofdoorzaak samenvoegt en herstelwerkzaamheden op basis van impact prioriteert.

Sysdig gebruikt zijn tijd op KubeCon om uit te leggen hoe zijn technologie werkt en exemplaren weg te geven van zijn pas verschenen boek, Practical Cloud Native Security with Falco. Ook wierp de organisatie een licht op een ‘For Dummies’-gids voor het beveiligen van containers en de cloud. Daarnaast gaven Sysdig Threat Research-teamleden lezingen op de SecurityCon en Prometheus Day, twee evenementen die op dezelfde tijd en plaats als KubeCon werden georganiseerd.

Equinix

Equinix Metal biedt schaalbare, reproduceerbare en aan de cloud grenzende infrastructuur voor cloud-native en multi-cloud omgevingen. De organisatie levert een ecosysteem van Kubernetes en cloud-native tools, waardoor klanten hun bestaande tools kunnen gebruiken of integreren.

Equinix ondersteunt Terraform-integraties met meer dan 20 modules, evenals Kubernetes-oplossingen met Rancher, Gardener, Rafay, Kubermatic, enzovoorts. Het Equinix-team gebruikt Cluster API orchestration om de implementatietijd van gestandaardiseerde Kubernetes clusters op bare-metal servers te verkorten voor klanten.

In 2019 werd Equinix een CNCF Gold Member. De organisatie ondersteunt de open-source gemeenschap met resources in meer dan 240 datacenters wereldwijd. Equinix doneert elk jaar met twee miljoen dollar aan bare-metal automatiseringscapaciteiten aan het CNCF Infrastructure Lab, zodat open-source developers en partners projecten kunnen ontwikkelen en testen op wereldwijde schaal.

Isovalent

Veel van de ogen in de Kubernetes-gemeenschap zijn gericht op eBPF en Cilium. eBPF, kort voor Berkeley Packet Filter, is een technologie die sandboxed programma’s in de Linux-kernel kan draaien zonder de kernel-broncode te wijzigen of een kernel-module te laden. Cilium is een cloud-native open-source technologie voor het leveren, beveiligen en observeren van netwerkconnectiviteit tussen de container workloads die eBPF voedt.

Beide technologieën evolueren de manier waarop de Linux-kernel cloud-native use cases ondersteunt.

Door security en networking instrumentation naar de kernel te pushen geven eBPF en Cilium platformteams veel meer controle. Cilium is dusdanig veelbelovend dat de technologie volgens geruchten op het punt om de standaard CNI (Container Network Interface) te worden voor AWS, Azure en Google Cloud Platform.

Isovalent, mede opgericht door de ontwikkelaars van eBPF en Cilium, werkt volgens de geruchten aan nieuwe cloud-native observability data die de observability van applicaties dichterbij de observability van netwerken brengt.

Buoyant

Buoyant, de ontwikkelaar van Linkerd, gaf dit jaar tien presentaties op KubeCon, waaronder een hands-on workshop. Buoyant presenteerde zowel de op zero trust gerichte Linkerd 2.12 release als nieuwe Linkerd-beheermogelijkheden met Buoyant Cloud.

Linkerd is de enige service mesh die de ‘graduated’-status van de CNCF heeft bereikt. Vanwege de ultralichte en op security gerichte benadering wordt de service mesh wereldwijd gebruikt door organisaties, waaronder Microsoft, Nordstrom, Adidas, Plaid, Timescale, enzovoorts.

Buoyant Cloud, het beheerde Linkerd-aanbod van Buoyant, maakt het voor iedereen mogelijk om hun Linkerd-implementatie als een beheerde dienst te behandelen, zelfs op hun eigen clusters.

“Linkerd maakt het voor iedereen eenvoudig om zero-trust netwerkbeveiliging op hun Kubernetes cluster te realiseren, van enforcement bij elke afzonderlijke pod tot sterke workload identities en encryptie tussen elke afzonderlijk endpoint”, aldus William Morgan, Buoyant-CEO en ontwikkelaar van Linkerd. “In tegenstelling tot de meeste service mesh-projecten richten wij ons op het eenvoudig, begrijpelijk en veilig houden van zaken. Linkerd geeft je de kritieke netwerkbeveiligingsfundamenten en gaat vervolgens uit de weg.”

Tigera

Tigera is de ontwikkelaar van Project Calico en biedt ’s werelds enige actieve Cloud-Native Application Protection Platform (CNAPP) met full-stack observability voor containers, Kubernetes en cloud. Calico is de meest gebruikte op containers gebaseerde netwerk- en beveiligingsoplossing. De technologie wordt sterk aanbevolen door de gemeenschap van de Cloud Native Computing Foundation (CNCF).

Op KubeCon demonstreerde Tigera dit jaar hoe zero-trust principes voor containers en Kubernetes kunnen worden geïmplementeerd voor organisaties die steeds complexere applicaties op schaal ontwikkelen. Naast verschillende leersessies sloot het bedrijf zich aan bij Microsoft en AWS voor speciale evenementen.

“Met de toename van het aantal beveiligingslekken en de adoptie van cloud-native applicaties kijken organisaties naar preventievere maatregelen om cloud-native beveiligingsrisico’s aan te pakken”, aldus Utpal Bhatt, CMO van Tigera. “De industrie is zich er scherp van bewust geworden dat het vertrouwen op detectie alleen niet voldoende is. Het adopteren van zero-trust principes is een van de enige manieren om applicaties die op Kubernetes draaien te beschermen tegen aanvallen.”

Calico is open source en biedt een robuuste implementatie van Kubernetes network policies en security policies die applicaties beschermen tegen laterale beweging en Command and Control-aanvallen.

“De commerciële editie van Calico bouwt voort op dit fundament om actieve beveiliging te bieden van de build- tot runtime-fases van containergebaseerde toepassingen. De technologie voorkomt, detecteert en stopt beveiligingsinbreuken”, voegde Bhatt toe.

De engineers van Project Calico gebruikten KubeCon om de laatste ontwikkelingen van het project te bespreken, inclusief verbeteringen aan de eBPF data plane en voordelen voor organisaties die eBPF gebruiken voor container networking en container security. Of gebruikers nu kiezen voor de eBPF data plane van Calico, de standaard networking pipeline van Linux of de data plane van Windows: deelnemers aan KubeCon kregen een voorproefje van wat de technologieën mogelijk maken op het gebied van cloud-native schaalbaarheid.

Look & feel

We bekeken acht platform- en toolcombinaties in de hoop dat deze ‘bits’ van de volledige KubeCon + CloudNativeCon North America 2022-partnerlijst een idee geven van wat er gaande is. Het aantal exposanten op de beursvloer zorgde voor een volle conferentie die bijna onmogelijk is om volledig te behandelen. De zoektocht naar een breder of overkoepelend thema houdt aan. Waarschijnlijk komen we uit op de opkomst, empowerment, tooling en officiële benoeming van ‘platformteams’.