在 Azure CNI 中启用 Calico WireGuard

去年 6 月，Tigera[1] 首次宣布在 K8s 上支持用于集群内加密传输的开源 VPN - WireGuard[2]。我们从来不喜欢坐以待毙，因此我们一直在努力为这项技术开发一些令人兴奋的新功能，其中第一个功能是使用 Azure 容器网络接口（CNI）[3] 在 Azure Kubernetes 服务（AKS）[4] 上支持 WireGuard。

首先，这里简单回顾一下什么是 WireGuard 以及我们如何在 Calico 中使用它。

WireGuard 是一种 VPN 技术，从 Linux 5.6 内核开始默认包含在内核中，它被定位为 IPsec 和 OpenVPN 的替代品，旨在更加快速、安全、易于部署和管理。正如不断涌现的 SSL/TLS 的漏洞显示，密码的敏捷性会极大增加复杂性，这与 WireGuard 的目标不符，为此，WireGuard 故意将密码和算法的配置灵活性降低，以减少该技术的攻击面和可审计性。它的目标是更加简单快速，所以使用标准的 Linux 网络命令便可以很容易地进行配置，并且只有约 4000 行代码，使得它的代码可读性高、容易理解、审查。

WireGuard 是一种 VPN 技术，通常被认为是 C/S 架构，它同样能在对等的网格网络架构中配置使用，这就是 Tigera 设计的可以在 Kubernetes 中使用的 WireGuard 解决方案。使用 Calico，将所有启用 WireGuard 的节点相互对等形成一个加密的网格。它甚至支持在同一集群内同时包含启用 WireGuard 的节点与未启用 WireGuard 的节点，并且可以相互通信。