探索Cilium:新一代的网络、可观测性和安全性解决方案

最新推荐文章于 2025-02-20 23:02:22 发布
原创 最新推荐文章于 2025-02-20 23:02:22 发布 · 363 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

探索Cilium:新一代的网络、可观测性和安全性解决方案

ciliumCilium 是一个开源的网络和存储编排工具,用于容器网络、负载均衡和网络安全。 * 用于容器网络、负载均衡和网络安全、支持多种编程语言和框架、容器网络。 * 有什么特点:支持多种编程语言和框架项目地址:https://gitcode.com/gh_mirrors/ci/cilium

Cilium Logo

项目简介

Cilium是一个创新的开源项目,它以eBPF(Extended Berkeley Packet Filter)技术为基础,提供了一种融合网络、观察和安全性的新方案。该项目致力于构建一个简单且灵活的L3网络,能够跨越多个集群,无论是原生路由模式还是覆盖网络模式。Cilium能实现L3到L7协议级别的网络策略,并以身份安全模型来解耦网络地址。

项目技术分析

Cilium的核心是Linux内核中的eBPF技术,这是一种动态插入内核的安全、网络和可见性逻辑的字节码。eBPF既高效又灵活,允许在不干扰系统性能的情况下,实现实时监控、网络安全和负载均衡等功能。Cilium利用eBPF的这些特性,实现了以下主要功能:

  1. 分布式负载均衡:替代kube-proxy,使用高效哈希表,几乎可以无限扩展。
  2. 集成的入口和出口网关,支持带宽管理和服务网格。
  3. 深度网络和安全可视性:提供对应用程序流量的精细控制和监控。

应用场景

Cilium广泛适用于各种现代容器化环境,包括:

  • 服务间通信:通过身份安全策略,为微服务间的交互提供安全保障。
  • 外部访问控制:使用标签基础的安全策略,控制集群内外的服务访问。
  • 复杂网络架构:支持覆盖网络和原生路由模式,适应不同云环境或数据中心的需求。
  • 负载均衡优化:针对南北向和东西向流量进行高效负载分发,提高应用响应速度。

项目特点

  • L7策略控制:支持REST/HTTP、gRPC、Kafka等协议的细粒度过滤,确保API的安全。
  • 基于身份的安全:使用安全身份管理,简化跨容器集群的策略实施。
  • 简单网络模型:提供扁平化L3网络,简化IP分配,无需复杂的协调机制。
  • 高度可扩展性:eBPF实现的分布式架构,能够处理大规模容器环境。
  • 全面观测性:深度集成的日志和监控,有助于故障排查和性能优化。

Cilium维护了多个稳定版本,以满足不同用户的需求,并提供了详细的升级指南和支持多种体系结构的镜像。为了保持社区活力和持续改进,也有专门的开发分支用于测试新的功能和早期预览。

总之,无论你是寻求更安全的网络环境,还是希望优化你的容器基础设施,Cilium都是值得尝试的前沿技术。立即加入Cilium社区,开启你的高效、可控和安全的网络之旅!

ciliumCilium 是一个开源的网络和存储编排工具,用于容器网络、负载均衡和网络安全。 * 用于容器网络、负载均衡和网络安全、支持多种编程语言和框架、容器网络。 * 有什么特点:支持多种编程语言和框架项目地址:https://gitcode.com/gh_mirrors/ci/cilium

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

K8s 应用的网络可观测性Cilium VS DeepFlow
每天都要开心呀(#^.^#)
03-25 1793
快速提高云原生应用开发者建设K8S网络可观测性能力
网络安全】Cilium——具备API感知的网络安全性管理软件
th3383193的博客
12-09 300
能够保护现代应用程序协议,如REST/HTTP、gRPCKafka。传统防火墙在第3层第4层运行,在特定端口上运行的协议要么完全受信任,要么完全被阻止。允许所有带有方法GET路径/public/.*的HTTP请求。拒绝所有其他请求。* 允许service1在Kafka topic上生成topic1,service2消费topic1。拒绝所有其他Kafka消息。* 要求HTTP标头出现在所有REST调用中。详情请参考7层协议。
使用 Cilium 增强 Kubernetes 网络安全
hanfengzxh的博客
02-13 3824
TL;DR 在本篇,我们分别使用了 Kubernetes 原生的网络策略 Cilium网络策略实现了 Pod 网络层面的隔离。不同的是,前者只提供了基于 L3/4 的网络策略;后者支持 L3/4、L7 的网络策略。 通过网络策略来提升网络安全,可以极大降低了实现维护的成本,同时对系统几乎没有影响。 尤其是基于 eBPF 技术的 Cilium,解决了内核扩展性不足的问题,从内核层面为工作负载提供安全可靠、可观测网络连接。 背景 为什么说 Kubernetes 网络存在安全隐患?集群中的 Pod 默.
Cilium是基于eBPF的网络安全性可观察性-Python开发
05-25
Cilium是开源软件,用于提供透明地保护应用程序工作负载(例如应用程序容器或进程)之间的网络连接负载平衡。 Cilium是开源软件,用于提供透明地保护应用程序工作负载(例如应用程序容器或进程)之间的网络连接负载平衡。 Cilium在第3/4层运行以提供传统的网络安全服务,在第7层运行以保护保护HTTP,gRPCKafka等现代应用程序协议的使用。 Cilium已集成到常见的业务流程框架中,例如KubernetesMesos。 一个新Linux内核技术调用
浅谈网络 | 容器网络Cilium
最新发布
weixin_48711696的博客
02-20 1148
Cilium 是一个开源网络安全项目,专为 Kubernetes、Docker Mesos 等容器管理平台设计,旨在为容器化环境中的应用程序提供透明的网络连接安全保护。它基于 Linux 内核中的 eBPF 技术,能够在内核层面上动态插入安全、可见性网络控制逻辑,支持传统网络安全(如防火墙访问控制)以及更精细的 API 进程级安全,确保容器间通信不受威胁。
eBPF Cilium实战(2) - 底层网络可观测性
Mrex326428的博客
04-11 1416
在之前的平台中,对于组件之间的网络流向不具备直接的可观测性,用户组件间通信出现问题,只能通过传统命令行工具进行手动排查,而 cilium 的 Hubble 服务可以提供 UI 界面向用户展示实时的流量状态,同时可以将这些指标暴露给 Prometheus 进行聚合整理,让用户可以更直观的对底层网络状态进行观测监控。 开启 Hubble UI 服务 cilium网络可观测性由 Hubble 服务提供,在安装 cilium 时,默认不会安装 Hubble ,可以通过以下命令开启 Hubble 服务 helm
cilium:基于eBPF的网络安全性可观察性
02-02
Cilium利用eBPF的XDP(eBPF Data Plane)扩展,能够在数据包进入网络栈之前进行早期处理,进一步提升了性能安全性。 七、CNI与CNM Cilium兼容CNICNM(Container Network Model)两种网络模型,适应不同的部署...
Cilium:基于开源 eBPF 的网络安全性可观察性
网络研究观
08-13 392
Cilium 是一种开源的云原生解决方案,用于提供、保护观察工作负载之间的网络连接,由革命性的内核技术 eBPF 提供支持。
Cilium是如何防止常规网络攻击的?
Ray的博客
11-13 775
最近一个影响许多Kubernetes CNI组件的漏洞被发现,这个漏洞通过让攻击pod发送假冒的IPv6 *“Router Advertisement”*数据包给主机工作节点,导致该节点将所有的IPv6网络流量路由到攻击pod(即“中间人攻击”)。幸运的是,对于Cilium的使用者,由于Cilium提供了许多内置默认的安全特性,其生产环境并没有受到该漏洞的影响。在这篇博文中,我们将讨论Cilium的默认特性是如何自动地防护常见类型的网络攻击的。在我们深入之前,先看看有关IPv4IPv6的基础知识,以及它们
云原生爱好者周刊:使用 Cilium Grafana 实现无侵入可观测性
KubeSphere
10-31 710
开源项目推荐 Cilium Grafana Observability Demo 这个项目由 Cilium 母公司 Isovalent 开源,提供了一个 Demo,使用 Cilium、OpenTelemetry、Tempo、Prometheus Grafana 实现了应用无侵入可观测性。 Murre Murre 是一个无需任何依赖的 Kubernetes 集群监控工具,它即不需要 metrics-server,也不需要 kube-state-metrics,而是直接从 kubelet 抓取指标。 H
探索Cilium与Grafana的观测之力:无痛实现应用洞察
gitblog_00042的博客
06-20 345
探索Cilium与Grafana的观测之力:无痛实现应用洞察 去发现同类优质开源项目:https://gitcode.com/ 在今天这个高度依赖容器微服务架构的时代,对于运行在如Kubernetes环境中的应用程序而言,深度可观测性是确保系统稳定性的关键所在。然而,许多组织在尝试为现有应用增强可观测性时会遇到挑战。Cilium Grafana Observability Demo 正是一个为此...
Cilium 开源 Tetragon – 基于 eBPF 的安全可观测性 & 运行时增强
云原生实验室
05-18 1391
❝原文链接????:https://isovalent.com/blog/post/2022-05-16-tetragon译文原文链接????:https://icloudnative.io/posts/tetragon/ 请复制到浏览器打开译者:米开朗基杨、范彬Isovalent Cilium 企业版[1] 包含一个基于 eBPF 的实时安全可观测性运行时增强(runtime e...
Cilium系列-1-Cilium特色 功能及适用场景
2301_78834737的博客
07-23 413
Cilium 是一个开源的云原生解决方案,用于提供、保护(安全功能)观察(监控功能)工作负载之间的网络连接,由革命性的内核技术eBPF提供动力。Cilium 主要使用场景是在 Kubernetes中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
k8s的flannelcilium的pod网络访问链路解析
李姓门徒
03-27 1658
Kubernetes (K8s)的Pod网络访问要求可以根据应用程序的需要安全策略而定,以下是一些常见的要求: - 内部通信:Pod之间需要能够相互通信,通常在同一个Kubernetes集群或命名空间中的Pod可以直接通过其网络地址进行通信。 - 外部访问:Pod可能需要从集群外部的网络访问,这可以通过创建一个Service对象来实现。Service对象可以公开Pod的网络端口,使其能够从集群外部被访问。 本文经过简单分析研究k8s环境下,pod访问之间的网络模型,并探讨各类网络模型下的协议相关的优
云原生网络利器--Cilium 总览
DaoCloud_daoke的博客
03-02 918
在云原生相对成熟的今天,对于 Kubernetes 本身的能力需求,逐渐变得不那么迫切,因为常见的能力都已经成熟稳定了。但是在周边领域还处于不断发展的过程,特别是容器的网络方案,存储方案,安全领域等。
干货 | 携程 Cilium+BGP 云原生网络实践
携程技术
11-19 3491
作者简介Arthur,Stephen,Jaff,Weir,几位均来自携程云平台基础设施网络研发团队,目前专注于网络云原生安全相关的开发。Cilium 是近两年最火的云原生网络方案之...
容器网络|深入理解Cilium
极客重生
01-24 664
本文翻译自 2019 年 DigitalOcean 的工程师 Nate Sweet 在 KubeCon 的一篇分享:Understanding (and Troubleshooting) ...
深入了解Cilium多集群
ServiceMesher
07-09 887
作者:Cilium译者:陆培尔审校:孙海洲原文链接:http://www.servicemesher.com/blog/envoy-feature-explain-out...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

水优嵘

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值