5分钟搞定Cilium容器运行时集成：Docker与Containerd无缝对接指南

5分钟搞定Cilium容器运行时集成：Docker与Containerd无缝对接指南

【免费下载链接】cilium Cilium 是一个开源的网络和存储编排工具，用于容器网络、负载均衡和网络安全。 * 用于容器网络、负载均衡和网络安全、支持多种编程语言和框架、容器网络。 * 有什么特点：支持多种编程语言和框架 项目地址: https://gitcode.com/GitHub_Trending/ci/cilium

你还在为容器网络配置复杂而头疼？还在担心Docker与Containerd切换导致的兼容性问题？本文将带你一步到位解决Cilium与主流容器运行时的集成难题，让你的容器网络既安全又高效。读完本文你将掌握：Cilium与Docker/Containerd的安装配置、网络策略验证、常见问题排查以及最佳实践指南。

Cilium容器网络架构概述

Cilium是基于eBPF（Extended Berkeley Packet Filter）技术的开源容器网络解决方案，通过在内核层实现网络策略和流量控制，为容器提供高性能、低延迟的网络连接。其核心优势在于将网络策略 enforcement直接嵌入到内核，同时支持L3-L7层的流量管理。

Cilium的架构主要包含以下组件：

• eBPF程序：运行在内核空间的数据包处理逻辑，负责网络策略实施和流量转发
• Cilium Agent：运行在每个节点的用户态守护进程，管理eBPF程序和网络策略
• CNI插件：与容器运行时集成的接口，负责为容器配置网络命名空间
• KV存储：分布式键值存储，用于集群状态同步

官方文档：Documentation/index.rst

Docker环境集成步骤

1. 安装Cilium CNI插件

Cilium提供了专门的CNI插件用于与Docker集成，位于项目的plugins/cilium-cni目录。执行以下命令安装CNI插件：

# 克隆仓库
git clone https://gitcode.com/GitHub_Trending/ci/cilium.git
cd cilium

# 安装CNI插件
sudo cp plugins/cilium-cni/cilium-cni /opt/cni/bin/
sudo mkdir -p /etc/cni/net.d/

CNI插件源码：plugins/cilium-cni/

2. 配置CNI网络

创建CNI配置文件/etc/cni/net.d/05-cilium.conf：

{
  "cniVersion": "0.3.1",
  "name": "cilium",
  "type": "cilium-cni",
  "enable-debug": false,
  "log-level": "info",
  "ipam": {
    "type": "host-local",
    "subnet": "10.217.0.0/16",
    "routes": [
      { "dst": "0.0.0.0/0" }
    ]
  }
}

3. 启动Cilium Agent

# 使用systemd启动Cilium
sudo systemctl enable --now cilium

# 或直接运行二进制
sudo ./daemon/cilium-agent --config-file=./contrib/systemd/cilium-config.yaml

系统服务配置：contrib/systemd/

4. 验证Docker集成

运行测试容器并验证网络连接：

# 启动测试容器
docker run --rm -d --name=cilium-test quay.io/cilium/json-mock:v1.3.8

# 查看容器网络配置
docker inspect cilium-test | grep -A 10 "NetworkSettings"

# 测试网络连通性
docker exec -it cilium-test curl -I http://www.example.com

Containerd环境集成步骤

1. 配置Containerd

编辑Containerd配置文件/etc/containerd/config.toml，确保启用CNI支持：

[plugins."io.containerd.grpc.v1.cri".cni]
  enabled = true
  bin_dir = "/opt/cni/bin"
  conf_dir = "/etc/cni/net.d"
  max_conf_num = 1

2. 安装Cilium CNI插件

与Docker环境类似，安装Cilium CNI插件到CNI目录：

sudo cp plugins/cilium-cni/cilium-cni /opt/cni/bin/
sudo cp contrib/examples/script/testdata/example.txtar /etc/cni/net.d/05-cilium.conf

示例配置：contrib/examples/script/testdata/example.txtar

3. 重启Containerd服务

sudo systemctl restart containerd
sudo systemctl enable --now cilium

4. 使用Kubernetes验证集成

部署测试应用并验证网络策略：

# 应用部署文件: examples/kubernetes/connectivity-check/connectivity-check.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: echo-a
spec:
  replicas: 1
  selector:
    matchLabels:
      name: echo-a
  template:
    metadata:
      labels:
        name: echo-a
    spec:
      containers:
      - name: echo-a-container
        image: quay.io/cilium/json-mock:v1.3.8
        ports:
        - containerPort: 8080

部署命令：

kubectl apply -f examples/kubernetes/connectivity-check/connectivity-check.yaml

部署文件源码：examples/kubernetes/connectivity-check/connectivity-check.yaml

网络策略验证

1. 部署测试网络策略

创建只允许特定Pod通信的网络策略：

apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
  name: allow-echo-a
spec:
  endpointSelector:
    matchLabels:
      name: echo-a
  ingress:
  - fromEndpoints:
    - matchLabels:
        name: pod-to-a
    toPorts:
    - ports:
      - port: "8080"
        protocol: TCP

2. 验证网络策略生效

# 允许访问的Pod测试
kubectl exec -it pod-to-a -- curl -I echo-a:8080/public

# 拒绝访问的Pod测试（应失败）
kubectl exec -it pod-to-a-denied-cnp -- curl -I echo-a:8080/private

策略示例：examples/kubernetes/servicemesh/policy/

常见问题与解决方案

1. CNI插件加载失败

症状：容器创建失败，日志显示"CNI plugin not found"

解决方案：

• 检查CNI插件是否正确安装到/opt/cni/bin
• 验证CNI配置文件格式是否正确：jq . /etc/cni/net.d/05-cilium.conf
• 查看Cilium日志：journalctl -u cilium -f

2. 网络策略不生效

症状：Pod间通信未按预期被阻止

解决方案：

• 检查Cilium Agent是否正常运行：cilium status
• 验证策略是否正确应用：cilium policy get
• 查看策略执行日志：cilium monitor --type policy

3. 节点间网络不通

症状：同一节点Pod通信正常，跨节点通信失败

解决方案：

• 检查节点间网络连通性：cilium-cli connectivity test
• 验证路由配置：ip route show
• 检查防火墙规则：iptables -L -n | grep cilium

最佳实践指南

1. 性能优化

• 使用eBPF JIT编译：--bpf-jit
• 启用大页支持：--enable-big-tcp
• 调整连接跟踪表大小：--conntrack-max

2. 高可用性配置

• 使用分布式KV存储（etcd）：--kvstore etcd --kvstore-opt etcd.endpoints=...
• 启用节点故障转移：--auto-direct-node-routes
• 配置健康检查：--health-check-nodeport

3. 安全强化

• 启用加密网络：--encrypt-network
• 限制主机网络访问：--allow-host-port=false
• 使用严格的网络策略默认拒绝：--default-policy deny

总结与展望

通过本文的步骤，你已经成功实现了Cilium与Docker和Containerd的集成，并验证了网络策略的实施。Cilium基于eBPF的架构为容器网络提供了高性能和细粒度的控制能力，同时保持了与主流容器运行时的良好兼容性。

未来，随着eBPF技术的不断发展，Cilium将在以下方面持续演进：

• 更深入的L7协议支持
• 增强的可观测性特性
• 与服务网格技术的深度集成
• 多云和混合云环境的优化

官方教程：Documentation/gettingstarted/

如果你觉得本文有帮助，请点赞、收藏并关注，下期我们将深入探讨Cilium的高级网络策略和性能调优技巧！

【免费下载链接】cilium Cilium 是一个开源的网络和存储编排工具，用于容器网络、负载均衡和网络安全。 * 用于容器网络、负载均衡和网络安全、支持多种编程语言和框架、容器网络。 * 有什么特点：支持多种编程语言和框架 项目地址: https://gitcode.com/GitHub_Trending/ci/cilium