使用cilium替代kube-proxy

原创 已于 2024-08-15 16:54:13 修改 · 874 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2023-05-23 15:25:25 首次发布
Cilium是一种高性能的网络和安全解决方案,专为Kubernetes设计,利用eBPF技术提供高效网络转发和流量控制,相比kube-proxy具有更低延迟和更高吞吐量。

命令

kubeadm init phase addon kube-proxy  --config /etc/kubernetes/kubeadm.conf
ks edit cm cilium-config
kube-proxy-replacement: "disabled"
ks delete $(ks get po -oname | grep cilium)

在这里插入图片描述

更改Kubernetes为ipvs代理模式:https://blog.youkuaiyun.com/weixin_73059729/article/details/139887161

说明

是的,可以使用 Cilium 来替代 Kubernetes 中的 kube-proxy。Cilium 是一个开源的网络和安全解决方案,专为 Kubernetes 设计,提供高性能的网络功能和强大的安全特性。

Cilium 提供了一种替代 kube-proxy 的方法,它通过使用 Linux 内核的 eBPF(扩展 Berkeley Packet Filter)技术来实现高效的网络转发和流量控制。相比于传统的 kube-proxy,Cilium 具有更低的延迟、更高的吞吐量和更强大的网络功能。

使用 Cilium 作为替代 kube-proxy 的网络解决方案,可以带来以下好处:

  1. 高性能:Cilium 利用 eBPF 技术实现快速的网络转发和数据平面处理,具有更低的延迟和更高的吞吐量。

  2. 网络安全:Cilium 提供了细粒度的网络安全策略和应用层的网络隔离,可以对流量进行深度检查和控制,保护应用程序免受网络攻击。

  3. 服务发现和负载均衡:Cilium 提供了灵活的服务发现机制和高级的负载均衡功能,支持多种服务发现协议和负载均衡算法。

  4. 规模和可扩展性:Cilium 在大规模的 Kubernetes 集群中表现出色,能够处理成千上万个容器和服务的网络流量。

要使用 Cilium 替代 kube-proxy,需要进行相应的安装和配置。Cilium 提供了 Helm Chart 和 Kubernetes YAML 部署文件,可以根据需要进行安装和集成。

需要注意的是,Cilium 的使用可能需要特定的操作系统和内核版本支持,并且对于网络和安全方面的高级功能,可能需要更深入的配置和了解。建议参考 Cilium 的官方文档和指南,以获取详细的安装和配置说明。

Cilium 使用 iptables 作为其底层的数据包过滤和转发机制之一,但不仅限于此。Iptables 是一个强大的 Linux 内核防火墙工具,用于管理网络流量并进行数据包过滤、转发和修改等操作。Cilium 利用 iptables 提供的功能来实现对容器网络的安全性和可观测性增强。

然而,Cilium 并不仅仅依赖于 iptables。它还使用了 eBPF(扩展 Berkeley Packet Filter)技术,并结合了内核空间和用户空间的功能,以提供更高级、更灵活和更高效的网络策略管理。eBPF 允许 Cilium 在内核中执行自定义网络过滤和操作,而无需直接依赖 iptables 的规则

因此,可以说 Cilium 使用 iptables 作为其中一种实现方式,但它还利用了其他技术来扩展和改进网络安全和性能。

关注
专栏目录
Kubernetes相关的名词解释kube-proxy插件(3)
luohaitao的专栏
04-19 1271
kube-proxy 是一个网络代理组件,运行在每个节点(Node)上,是 Kubernetes 服务(Service)功能的核心实现之一。它的主要职责是通过维护网络规则,实现集群内服务(Service)的虚拟 IP(VIP)到后端 Pod 的负载均衡和流量转发,确保服务的高可用和可访问性。 Kubernetes 的 Service 是一个抽象层,为一组动态变化的 Pod(通过标签选择器匹配)提供稳定的虚拟 IP(ClusterIP)和 DNS 名称。kube-proxy 负责将发往 Service VI
Cilium系列:绕过IPTables连接跟踪的编程学习
KrDebugging的博客
09-28 194
连接跟踪是IPTables的一个功能,它可以追踪网络连接的状态,例如已建立的连接、正在进行的连接和已关闭的连接。通过使用Cilium的API,我们可以轻松创建自定义网络策略,以实现更高级的网络连接和安全功能。然后,我们可以使用Cilium提供的API来创建一个自定义的网络策略,以绕过IPTables连接跟踪机制。通过使用上述代码,我们可以使用Cilium API轻松创建自定义网络策略,从而绕过IPTables的连接跟踪机制。需要注意的是,上述示例代码仅为演示目的,并未涵盖所有可能的用例和细节。
Cilium 官方文档翻译(9) 替换kube-proxy
煮酒论架构
11-21 2018
本指南解释了如何在没有kube-proxy的情况下配置Kubernetes集群,以及如何使用Cilium完全替换它。cilium 使用 eBPF 实现了内核态高性能的负载均衡,并通过BPF Maps开放控制面的服务发现
Cilium系列-5-Cilium替换KubeProxy
east4ming的博客
07-26 554
启用本地路由(Native Routing)完全替换 KubeProxyIP 地址伪装(Masquerading)切换为基于 eBPF 的模式Kubernetes NodePort 实现在 DSR(Direct Server Return) 模式下运行绕过 iptables 连接跟踪(Bypass iptables Connection Tracking)主机路由(Host Routing)切换为给予 BPF 的模式 (需要 Linux Kernel >= 5.10)
Cilium完全替换kube-proxy的方法
最新发布
惊云
09-26 436
本文介绍了在Kubernetes集群中启用Cilium的两种方式:全新安装集群时跳过kube-proxy安装,或替换现有集群的kube-proxy组件。详细说明了通过kubeadm初始化集群的配置方法,重点展示了跳过kube-proxy安装的关键配置。文章提供了Cilium的多种安装模式,包括VXLAN模式和推荐的Native-Routing模式,并给出完整的安装命令及参数说明。最后通过cilium status命令验证安装结果,确认Cilium已成功替换kube-proxy功能并正常运行。
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
eBPF 是 extended BPF 的简称,eBPF 起源于BPF,它提供了内核的数据包过滤机制,其扩充了 BPF 的功能,丰富了指令集。 在 Cilium 出现之前, Service 由 kube-proxy 来实现,实现方式有 userspace,iptables,ipvs 三种模式。 Cilium 是基于 eBpf 的一种开源网络实现,通过在 Linux 内核动态插入强大的安全性、可见性和网络控制逻辑,提供网络互通,服务负载均衡,安全和可观测性等解决方案。简单来说可以理解为 Kube-proxy + CNI 网络实现。Cilium 位于容器编排系统和Linux Kernel 之间,向上可以通过编排平台为容器进行网络以及相应的安全配置,向下可以通过在 Linux 内核挂载 eBPF 程序,来控制容器网络的转发行为以及安全策略执行。
Kubectl 的替代品:kubeman
babian8671的博客
09-09 229
周末闲逛 Twitter 时,发现一个很有意思的小工具叫 kubeman,野心倒是不小,励志成为 kubectl 的替代品,用于实时监控和管理 kubernetes 集群,还可以调试与 Istio 相关的问题。 如果只使用 kubectl,当网格中的服务出现问题时,可能需要运行很多命令,而且要交叉引用来自多个命令的输出信息,这就会导致问题分析的过程很复杂。kubeman 将这些交叉引用...
kube-proxy 和 Calico区别?
u013092227的博客
08-27 821
它会根据服务的定义自动生成网络规则,确保来自外部或集群内部的流量能够正确地路由到相应的服务副本。Calico 具有高度可配置性和可扩展性,支持多种网络模式(如BGP、VXLAN),并且可以与外部的网络基础设施集成(如支持多云或混合云环境)。kube-proxy 实际上不处理数据包的具体传输或路由,而是为服务提供一种虚拟IP的抽象,负责将服务请求转发到正确的Pod。Calico 则是一个CNI插件,提供了更广泛的网络功能,包括高效的Pod网络路由、网络安全策略、和可扩展性支持。
Kubernetes源码分析-kube-proxy
xiyanxiyan10的专栏
02-13 982
对于iptables和IPVS模式,kube-proxy的响应时间开销与建立连接相关,而不是与在这些连接上发送的数据包或请求的数量有关。这是因为Linux使用的连接跟踪(conntrack)能够非常有效地将。
在K8S上部署Cilium组件,看这一篇干货就够了
gjjumin的专栏
07-15 4869
本文介绍在Kubernetes集群上部署Cilium的步骤,简单介绍了Cilium的运行状态,高级特性。
Kubernetes without kube-proxy
wanger5354的博客
08-24 590
微信公众号:运维开发故事,作者:华仔 引言 最近听好多朋友说,cilium很强,势必将成为主流。因其使用了ebpf,性能好,而且支持网络策略。于是,决定花点时间学习一下。在通过官网文档学习过程中,发现使用cilium作为CNI,居然可以不用安装kube-proxy了。这让我想起来,之前在面试中被问到的一个问题,面试官问我:kube-proxy是否可以不用安装,是否有其他替代品。这下不就有答案了嘛。 顺便吐槽一下,看官方文档学习,是真的有点难(毕竟全英文);不过还是建议大家看官方文档学习,不要翻译成中文哦.
k8s中svc的 CLUSTER-IP无法ping通排查思路以及kube-proxy使用的模式
风水道人
04-11 1583
负责维护 Service 的流量规则(iptables/IPVS)。是虚拟 IP(VIP),它不绑定到任何物理接口,仅用于流量转发。在 Kubernetes 中,Service 的。,则需要排查以下问题。以下是详细的排查思路和。,因为 Service 的。
Cilium 1.7发布:Hubble UI、全集群网络策略、基于eBPF的Direct Server Return以及更多
Docker的专栏
02-20 2643
在这里,我们要向大家高兴地宣布,Cilium 1.7版本正式发布了!在本轮更新周期当中,由141位开发者组成的项目社区共完成了1551项提交,而且很多朋友是第一次为Cilium项目提交贡...
用于 Kubernetes 网络Cilium:为什么我们使用它以及为什么我们喜欢它
u012516914的专栏
03-16 1024
感谢 CNI(容器网络接口),Kubernetes 提供了大量选项来满足您的网络需求。在多年依赖简单的网络解决方案之后,我们面临着对以客户需求为后盾的高级功能的日益增长的需求。Cilium 将我们 K8s 平台中的网络提升到了一个新的水平。背景我们为不同行业、规模和技术堆栈的公司构建和维护基础设施。他们的应用程序部署到私有云和公共云以及裸机服务器。他们对容错性、可扩展性、财务费用、安全性等方面有不...
Ciliumkube-proxy在处理长连接方面存在显著差异?
喝醉酒的小白
04-17 1112
kube-proxy通过iptables规则在连接建立时选择目标Pod,而后续的流量会通过内核的连接跟踪机制(connection tracking)来维护连接状态。:在长连接场景下,iptables会在连接建立时随机选择一个目标Pod,但一旦连接建立,后续的流量会一直使用该Pod,而不会重新分配到其他Pod。综上所述,kube-proxy通过连接跟踪机制和iptables的随机选择策略,确保长连接在Kubernetes中能够稳定运行,而不会因为规则的变化或Pod的切换而导致连接断开。
理清Cilium的概念及优势,看这一篇干货就够了
gjjumin的专栏
07-12 1794
Cilium 是一款开源软件,也是 CNCF 的孵化项目,最初它仅是作为一个 Kubernetes 网络组件,作为第一个通过 ebpf 实现了 kube-proxy 所有功能的网络插件,对kubernetes的网络方案的技术革新起到了推古拉朽的作用。Cilium 在 1.7 版本后推出并开源了Hubble,它是专门为网络可视化设计,能够利用 Cilium 提供的eBPF 数据路径,获得对 Kubernetes 应用和服务的网络流量的深度可见性。
Cilium 系列-2-Cilium 快速安装
east4ming的博客
07-22 1158
在本章中,我们将直接将 Cilium 安装到 Kubernetes 集群中。OS📝Notes如前文所述,Cilium 对 Linux Kernel 版本要求很高。1.13.4 推荐 Kernel ≥ 5.10(使用最新 LTS 稳定版 Kernel), 最低 Linux Kernel 得是 4.19.57.所以我们选择 2 个 OS, 一个只满足最低 Kernel 要求,一个是尽可能新的 Kernel, 看看安装和功能有哪些差别。本文我们主要介绍了 Cilium 的快速安装过程。
执行helm install cilium cilium/cilium --version 1.14.0 --namespace kube-system --set flannel.uninstall=false --set flannel.enabled=true --set flannel.interface=cni0 --set tunnel=disabled --set ipam.mode=kubernetes --set kubeProxyReplacement=strict --set policyEnforcementMode=default 缺少哪些参数
07-31
<think>我们正在处理用户关于使用Helm安装Cilium v1.14.0时缺少参数的问题。根据用户提供的错误信息和引用内容,我们可以推断用户可能在使用较新版本的Cilium(如v1.15)时遇到了问题,但用户现在指定要安装的是v1.14.0。然而,用户的问题描述中提到了一个错误,该错误指出在v1.15中移除了tunnel参数,因此我们需要确保在安装v1.14.0时正确设置参数以避免将来升级的问题。 根据用户提供的引用[1],我们可以使用cilium-cli来获取之前的配置并重新安装。但是,用户现在的问题是使用Helm安装,并且询问缺少哪些参数。 用户之前遇到的错误是: Error: INSTALLATION FAILED: execution error at (cilium/templates/validate.yaml:41:5): tunnel was deprecated in v1.14 and has been removed in v1.15. 这个错误出现在v1.15的安装中,但用户现在指定安装v1.14.0。因此,在v1.14.0中,tunnel参数仍然可用,但已被标记为废弃。所以,在安装v1.14.0时,我们可以继续使用tunnel参数,但建议开始迁移到新的参数。 然而,用户的问题是:“Helm install Cilium cilium/cilium version 1.14.0 namespace kube-system missing parameters”,即在使用Helm安装Cilium 1.14.0时缺少哪些参数? 实际上,Cilium的安装需要一些必要的配置参数,这些参数取决于用户的集群环境。常见的必要参数包括: 1. 网络相关参数:如Pod CIDR、Service CIDR等。 2. 路由模式:tunnel(vxlan或geneve)或直接路由(native)等。 3. 其他特性:如kube-proxy替换、负载均衡模式等。 但是,根据错误信息,我们知道在v1.14中tunnel参数已被废弃,因此即使我们使用v1.14,也应该避免使用tunnel参数,而使用新的参数配置。 在v1.14中,新的参数是: - `routingMode`:替代tunnel参数,可选值有`tunnel`、`native`、`disabled`(其中`disabled`用于BPF主机路由模式)。 - `ipv4NativeRoutingCIDR`:当使用`routingMode=native`时,必须设置此参数为集群的Pod CIDR。 因此,在安装v1.14.0时,我们应使用新的参数,以避免将来升级到v1.15时出现问题。 所以,用户在使用Helm安装v1.14.0时,应该使用新的参数,而不是废弃的tunnel参数。 下面是一个示例的Helm命令,使用新的参数安装Cilium v1.14.0: ```bash helm install cilium cilium/cilium --version 1.14.0 \ --namespace kube-system \ --set routingMode=native \ --set ipv4NativeRoutingCIDR=10.0.0.0/8 # 请替换为你的集群Pod CIDR ``` 或者使用values文件: ```yaml # values.yaml routingMode: native ipv4NativeRoutingCIDR: 10.0.0.0/8 ``` 然后运行: ```bash helm install cilium cilium/cilium --version 1.14.0 -f values.yaml -n kube-system ``` 注意:`ipv4NativeRoutingCIDR`必须设置为集群的Pod CIDR,这样Cilium才能知道哪些IP是本地路由的。 如果用户之前使用的是tunnel模式,那么可以这样设置: ```yaml routingMode: tunnel tunnelProtocol: vxlan # 或者geneve ``` 另外,根据引用[1],如果用户之前已经安装过Cilium,可以通过获取保存的配置来重新安装。但是,用户现在的问题是关于缺少参数,所以我们需要确保在安装时提供必要的参数。 总结:在安装Cilium v1.14.0时,必须设置`routingMode`和(如果是native模式)`ipv4NativeRoutingCIDR`参数,以替代废弃的`tunnel`参数。 现在,我们来回答用户的问题:在使用Helm安装Cilium v1.14.0时,缺少的参数是`routingMode`和(如果使用native模式)`ipv4NativeRoutingCIDR`。用户需要根据自己集群的网络模式选择设置这些参数。 同时,我们也可以参考引用[3]中关于Cilium安全可见性的内容,但这不是安装所必需的。 因此,回答如下:</think>### 使用 Helm 安装 Cilium v1.14.0 的必要参数配置 在安装 Cilium v1.14.0 时,核心参数已从 `tunnel` 迁移到新的路由模式配置。以下是完整参数指南(基于 Cilium 官方文档和最佳实践[^1][^3]): #### 1. **核心网络参数(必须配置)** ```yaml # 路由模式 (替代废弃的 tunnel 参数) routingMode: native # 可选值: native, tunnel, disabled # 当使用 native 模式时必须设置 ipv4NativeRoutingCIDR: "10.0.0.0/8" # 替换为您的集群 Pod CIDR # IPAM 模式 ipam: mode: kubernetes # 或 cluster-pool, azure, etc ``` #### 2. **完整 Helm 安装命令** ```bash helm install cilium cilium/cilium --version 1.14.0 \ --namespace kube-system \ --set routingMode=native \ --set ipv4NativeRoutingCIDR="10.0.0.0/8" \ --set ipam.mode=kubernetes \ --set kubeProxyReplacement=strict \ --set bpf.masquerade=true ``` #### 3. **关键参数说明表 | 参数 | 必需 | 默认值 | 说明 | |------|------|--------|------| | **`routingMode`** | 是 | - | 替换废弃的 `tunnel` 参数,定义路由机制 | | **`ipv4NativeRoutingCIDR`** | 当 `routingMode=native` | - | 集群的 Pod IP CIDR 范围 | | `ipam.mode` | 是 | `cluster-pool` | IP 地址分配机制 | | `kubeProxyReplacement` | 推荐 | `disabled` | 启用 eBPF 替代 kube-proxy | | `bpf.masquerade` | 推荐 | `false` | 启用 IP 伪装 | #### 4. **验证配置保存(升级时关键步骤) ```bash # 获取历史配置(如存在) kubectl -n kube-system get secret/cilium-cli-helm-values -o yaml > cilium-values.yaml # 使用保存的配置安装 cilium install \ --helm-values cilium-values.yaml \ --version v1.14.0 \ --context kubernetes-admin@kubernetes ``` #### 5. **服务账户配置(可选但推荐) ```yaml # 创建服务账户(用于安全策略) apiVersion: v1 kind: ServiceAccount metadata: name: cilium-sa namespace: kube-system ``` ```bash kubectl create serviceaccount cilium-sa -n kube-system ``` > **重要提示**:在 v1.14 中 `tunnel` 参数已被废弃,必须使用 `routingMode` 替代。安装后可通过 `cilium status` 验证路由模式[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值