思科重返负载均衡市场，追逐 VMware 流亡者

Cisco Live 思科已通过采用 Google 和 Meta 在大规模场景下验证过的开源软件，重新进入负载均衡市场。

这家网络巨头在 2012 年退出负载均衡器市场，当时它决定停止开发其 Application Control Engine 负载均衡器。而这次的回归由 Isovalent 团队负责 —— 该团队正是背后开发 Cilium 网络与安全工具的公司，后者于 2023 年被思科收购。

Isovalent 联合创始人兼 CTO Thomas Graf 现任思科安全业务副总裁，他表示，思科客户要求开发一种能够在 Kubernetes 容器、虚拟机 (VM) 以及现有基础设施上运行的负载均衡器。大量此类需求来自 VMware 客户，他们曾使用 VMware 的虚拟负载均衡器，因 Broadcom 修改 VMware 许可条款（几乎总会提升成本）而寻求其他替代方案。

Cilium 作为一个运行在 eBPF 上的程序而存在，eBPF 是一种源自扩展 Berkeley Packet Filter 的开源技术，它能够有效地为 Linux 内核创建插件。Graf 在接受 The Register 采访时表示，eBPF 也将成为新项目的核心，该项目目前被命名为 Isovalent 负载均衡器。

Graf 指出：“eBPF 能够在单个 Intel 核心上处理一千万个数据包”，这对于大多数应用来说已经绰绰有余。Isovalent 团队在 Cilium 上的实践经验，使他们已具备在 eBPF 上构建网络工作负载的能力。

Cilium 还采用了基于 eBPF 的 Maglev 负载均衡器，该技术最初由 Google 开发用于自用，后期开源。Meta 也开源了一个利用 eBPF 的负载均衡器，团队同样吸收了部分该技术成果。

eBPF，电影般的存在

如果你想了解更多关于 eBPF 的信息，其开发者还委托制作了一部 30 分钟的迷你纪录片 。

基于上述决策，现已推出的负载均衡器采用了 Google 与 Meta 已证明能在大规模运行的技术，并且能够在 Kubernetes 环境、虚拟机中，或与云端虚拟机并行运行的虚拟设备上运行。

无论用户选择哪种部署方式，都可以对所有负载均衡器实例进行集中管理。

Graf 表示，思科计划通过两种方式将该软件引入网络硬件领域。

首先，思科将利用许多网络设备运行定制 Linux 的事实。如果这种 Linux 版本支持 eBPF —— 而思科交换机上的 Linux 是支持的 —— 那么负载均衡器便可顺利运行于此。

其次，思科将瞄准那些内置数据处理单元（亦称为智能 NIC —— 具备计算能力的网卡，可以在隔离环境下运行网络与安全工作负载，从而减轻 CPU 部分负担）的交换机市场。

目前，思科将以独立产品的形式销售 Isovalent 负载均衡器。未来的版本将与思科的 Cloud Operations 控制平台以及 Nexus 仪表板实现集成。

Graf 在接受 The Register 采访时表示，他希望随着时间推进，这项技术能够成为“云原生领域的 Nexus” —— 换句话说，成为云原生版的思科 Nexus 数据中心交换机。

更多 eBPF 在思科的应用

本周在思科 Live 上，负载均衡器并非是唯一采用 eBPF 的创新成果。

公司还推出了一款名为 Live Protect 的工具，该工具利用 eBPF 重新配置网络，以实现“补偿性控制”。这种控制措施能够针对软件或硬件中已知漏洞提供保护，而无需安装补丁。

举个例子，补偿性控制之一是网络微分段 —— 一个仅用于特定流量且与更大网络隔离的虚拟网络。当组织意识到某漏洞可能使攻击者侵入网络时，微分段便能将入侵者限制在一个受控区域内。漏洞依旧存在，但利用该漏洞的攻击将无法奏效，同时为用户赢得了在非干扰时刻进行补丁更新的时间。

思科总裁 Jeetu Patel 指出，组织通常需要 45 天来修补新公布的漏洞，而攻击者仅在三天内便可加以利用。Live Protect 使得组织在准备补丁期间能够有效缓解攻击风险，同时无需重启设备，从而避免服务中断 —— 前提是他们正在使用 Nexus 交换机。