Cilium Endpoint 和 Kubernetes 的 Endpoint

最新推荐文章于 2025-07-30 18:01:42 发布
最新推荐文章于 2025-07-30 18:01:42 发布
阅读量688 收藏 20
点赞数 8
CC 4.0 BY-SA版权
分类专栏: K8s 网络 文章标签: kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hezuijiudexiaobai/article/details/149770984

目录标题


Cilium Endpoint 和 Kubernetes 的 Endpoint 虽然名称相似,但 本质、作用和关联性都不同,理解它们的差异和联系对于掌握 Kubernetes 网络与 Cilium 网络插件的原理非常关键。

🧩 一、Cilium Endpoint 是什么?

🔹定义:

Cilium Endpoint(简称 CEP) 是 Cilium 网络插件(基于 eBPF)为 Kubernetes 中的每个 Pod 创建的一个独立对象,表示该 Pod 的网络身份和策略状态

🔹作用:

  • 记录该 Pod 的 IP、MAC、所属 namespace、所属 Identity(安全标识符)、所应用的网络策略(如 CiliumPolicy)等。
  • 是实现 透明 L3/L4/L7 网络策略控制、流量可视化、安全审计 的基础。
  • 每个 CEP 对应一个 Pod 的网络接口,配合 eBPF 程序注入 datapath。

🔹示例:

kubectl get ciliumeps -n default

输出类似:

NAME              ENDPOINT ID   IDENTITY ID   STATE     IPV4           POD NAME
nginx-7c57c65d5d   12345         10078         ready     10.0.0.23      nginx

🧩 二、Kubernetes Endpoint 是什么?

🔹定义:

Kubernetes 的 Endpoint(或 EndpointSlice) 是 kube-apiserver 中的资源对象,用于记录某个 Service 关联的 Pod IP 地址列表(即后端实例)

🔹作用:

  • 支撑 kube-proxy 或 Cilium 进行 Service 负载均衡(ClusterIP / NodePort / LoadBalancer)。
  • 映射 Service -> Pod 的真实网络地址,供客户端访问。

🔹示例:

kubectl get endpoints nginx

输出类似:

Name: nginx
Subsets:
  Addresses: 10.0.0.23, 10.0.0.24
  Ports: 80/TCP

🔗 三、两者的区别与联系

对比项Cilium Endpoint(CEP)Kubernetes Endpoint
所属组件Cilium CNI 网络插件Kubernetes 核心 API
对象粒度Pod 网络身份(每个 Pod 一个 CEP)Service 后端 Pod 列表(多个 Pod 可共享)
数据内容IP、MAC、身份、策略状态等IP:Port 列表,供 Service 使用
作用范围eBPF 数据面、策略决策、身份审计Service 负载均衡、DNS 解析
创建机制Cilium 自动为每个 Pod 创建 CEP 对象kube-controller-manager 生成或同步
是否 Service 相关无直接关系,作用于 Pod 网络层与 Service 直接关联

🔗 关联:

  • Cilium Endpoint 记录 Pod 的网络信息,而 Kubernetes Endpoint 可能引用这些 Pod 的 IP 地址
  • 在使用 Cilium 时,Service 的负载均衡也可能绕过传统 kube-proxy,直接由 Cilium 的 eBPF 实现 L4 代理逻辑,这时会从 EndpointSlice 读取后端 IP,匹配 Cilium Endpoint 来做智能路由与策略决策。

🎯 四、实际应用场景理解

  1. 你想控制 nginx Pod 的入站访问?

    • ➤ 配置 CiliumNetworkPolicy,作用对象是 Cilium Endpoint(如 nginx-abc123)。

  2. 你想让前端访问 nginx Service?

    • ➤ Kubernetes Endpoint 提供了 nginx Pod 的 IP 地址,Cilium 使用它们实现负载均衡。

  3. 你需要进行网络审计与监控?

    • ➤ Cilium Endpoint 提供了详细的指标和连接跟踪能力(结合 Hubble)。

📌 总结一句话

Cilium Endpoint 是 Pod 的网络身份与策略状态载体,K8s Endpoint 是 Service 的后端 Pod 地址列表,两者共同构成了 Cilium 网络模型中的控制面与数据面的核心。

如果你需要进一步理解 Cilium 如何将 EndpointSlice 与 CEP 结合用于负载均衡与策略应用,我可以帮你画一张流量流程图,是否需要?

实现 透明 L3/L4/L7 网络策略 为什么没有其他几层呢

这是一个非常好的问题 —— 为什么 Cilium 网络策略支持 L3/L4/L7(网络层、传输层、应用层),但似乎没有提到其他 OSI 模型中的层(如 L2 数据链路层,L5-会话层,L6-表示层)?

🔍 一、Cilium 为什么强调 L3/L4/L7 策略?

因为这三层是最直接影响“网络流量行为和访问控制”的关键层级

层级名称Cilium 中的应用场景
L3网络层(IP)控制谁(哪个 IP/Pod)能访问我
L4传输层(TCP/UDP)控制哪个端口/协议可以访问我
L7应用层(HTTP等)控制 HTTP 方法、路径、主机等

示例:

apiVersion: "cilium.io/v2"
kind: CiliumNetworkPolicy
spec:
  endpointSelector:
    matchLabels:
      app: nginx
  ingress:
  - toPorts:
    - ports:
      - port: "80"
        protocol: TCP
      rules:
        http:
        - method: GET
          path: "/api/v1/status"

这个策略就跨越了 L3(选择 Pod)、L4(端口 80)、L7(HTTP GET + 路径)。

🤔 二、那其他层(L2、L5、L6)为什么不常用于策略控制?

层级名称在网络策略中的作用(或为什么不被常用)
L2数据链路层(MAC)Cilium 是 IP 层网络插件,Pod 间通信靠 IP,不依赖 MAC;L2 一般用于裸机/局域网,不利于跨主机策略控制。
L5会话层(状态管理)OSI 模型理论层,实际应用很少独立控制;TCP 本身已具备会话管理。
L6表示层(加密/编码)这是应用协议层内部的事情(如 TLS、JSON),策略控制无法有效解析或干预。
L1物理层网络插件无法感知物理层(如光纤、电信号),与 Pod 无关。

📘 三、为什么 eBPF 和 Cilium 特别适合做 L7 控制?

传统网络插件(如 Calico、Flannel)通常只能做到 L3/L4 控制,因为它们基于 iptables 或内核 Netfilter。
但 Cilium 用的是 eBPF,可以嵌入到内核协议栈的不同 hook 点,实现:

  • 在 Socket 创建时插入代码(控制连接建立)
  • 在 HTTP、gRPC 等协议数据面进行深度解析(L7-aware)
  • 无需 sidecar 代理就能识别请求路径、主机头、方法等

这也是 Cilium 最大的技术优势之一。

🎯 总结一句话:

Cilium 之所以聚焦在 L3/L4/L7,是因为这三层最能代表“谁访问谁、通过什么协议、以何种方式”,而其他层在容器网络策略场景中不具备直接的控制意义或技术可行性。

如果你希望了解 eBPF 是如何实现在 L7 解析 HTTP/gRPC 的,我也可以帮你进一步拆解 datapath 或加载点流程图。是否需要?

云原生 | 在 Kubernetes 中使用 Cilium 替代 Calico 网络插件实践指南!
WeiyiGeek 唯一极客IT知识分享
09-03 2429
Cilium 是一款开源软件,它基于一种名为eBPF的新的Linux内核技术提供动力,用于透明地保护使用 Docker Kubernetes 等Linux 容器管理平台中部署的应用程序服务之间的网络连接,Cilium 主要使用场景是在 Kubernetes 中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
虚拟网络之Kubernetes Cilium CNI 网络通信调测
海渊_haiyuan的博客
12-20 1723
文章目录虚拟网络之Kubernetes Cilium CNI 网络通信调测前言Cilium CNI 配置查看同Node pod 通信:跨node pod 访问:Cilium cli参考: 虚拟网络之Kubernetes Cilium CNI 网络通信调测 前言 Cilium CNI 是基于Linux 新版本内核中的eBPF实现的,对应数据面转发逻辑Flannel CNI 比较有了不小的变化,从实现机制上来说,性能上是有很大的提升的;本篇就是将我在环境上实操验证进行一个简单的记录;关于Cilium CNI
CiliumEndpoint CIDR
喝醉酒的小白
06-30 696
24/23。
部署基于Cilium网络插件的k8s集群
m0_61016205的博客
02-23 2375
简介:基于eBPFXDP的kubernetes高性能网络插件,直接在内核级或插件级支持可观测性安全机制,包括(network policy),同时还是ServiceMesh(服务网格)的数据平面,istio 完全可以把cilium 直接作为原生的内核级原生的数据平面,所以在一定程度上避免了像基于envoy这样的不得不损耗百分之二三十性能来获取高级流量路由逻辑的功能,结合cilium这个问题几乎将不存在或者说它的性能开销极小极小可以忽略不计。Cilium 关键组件- Agent。
体验新时代的CNI--cilium
qq_40406649的博客
01-21 1484
本文将介绍笔者体验cilium的过程Cilium 的基础是一种新的 Linux 内核技术,称为 eBPF,它支持将强大的安全性、可见性网络控制逻辑动态插入到 Linux 内核中。eBPF 用于提供高性能网络、多集群多云能力、高级负载均衡、透明加密、广泛的网络安全功能、透明的可观测性等等。
cilium-agent的DaemonSet启动流程
runzhliu大数据/容器日记
02-01 1387
本文主要分析 cilium-agent 作为 DaemonSet 在每个节点的启动流程。根据以上的分析,可以总结一下,在 Kubernetes 集群内部的节点下,启动 cilium-agent 的二进制之前需要执行下面的脚本。# config# /hostbin是一个非常临时的目录# /hostproc相当于/proc。
CNI 网络流量 5.1 Cilium 介绍原理
mr1jie的博客
02-27 1585
cilium 介绍使用
在K8S上部署Cilium组件,看这一篇干货就够了
gjjumin的专栏
07-15 3943
本文介绍在Kubernetes集群上部署Cilium的步骤,简单介绍了Cilium的运行状态,高级特性。
kubernetes二进宫系列——k8s整体架构与核心组件详解-1
一别两宽丶各生欢喜
02-23 1615
一、kubernetes架构 一、kubernetes系统架构 二、kubernetes分层架构 三、Kubernetes容器生态系统 1.Master Node(主节点) 1-1.API Server 1-2.Cluster state store(集群状态存储) 1-3.Controller-Manager Server(控制管理服务器) 1-4.Scheduler(调度器) 2.Worker Node(从节点) 2-1.Kubelet...
比较EndpointSliceEndpoint的区别
03-08
好的,我现在要解答用户关于KubernetesEndpointSliceEndpoint差异的问题。首先,我需要回顾一下这两个资源的基本概念用途,确保自己理解正确。 EndpointKubernetes中是一个比较早期的资源,它用于跟踪属于...
cilium关闭vxlan
喝醉酒的小白
06-13 481
重启所有cilium相关组件。
k8s系列05-使用containerdcilium部署kubeproxy-free的k8s集群
tinychen
05-24 1412
本文主要在centos7系统上基于containerdstable版本(1.11.4)的cilium组件部署v1.24.0版本的k8s原生集群,由于集群主要用于自己平时学习测试使用,加上资源有限,暂不涉及高可用部署。 此外,由于cilium已经实现了对kube-proxy的一整套替代方案,这里部署k8s集群的时候会使用cilium的kubeproxy-free方案。 此前写的一些关于k8s基础知识集群搭建的一些方案,有需要的同学可以看一下。 1、准备工作 1.1 集群信息 机器均为8C8G的虚拟机,硬
K8s 备份与恢复利器:Velero 实战指南
最新发布
.
07-30 868
摘要:本文详细介绍了Kubernetes备份恢复工具Velero的核心原理与实战应用。Velero作为CNCF毕业项目,专为K8s设计,支持集群资源持久化数据的备份恢复。文章从安装配置(以MinIO为例)入手,通过实战演示了备份、恢复全流程,包括PV/PVC的数据保护。同时介绍了定时备份、加密存储等高级功能,并分享了最佳实践建议,如定期测试恢复、分层存储备份等。最后针对常见问题提供了排查方法,强调Velero是构建K8s数据安全体系的关键工具。
K8S 八 数据存储-高级存储PV PVC 生命周期;配置存储ConfigMap Secret
Lyndon的专栏
07-27 294
K8S 数据存储 PVPVC
k8s的csi对接GPFS
weixin_42795092的博客
07-27 1037
通过 CSI 将 GPFS 接入 k8s,可让 Pod 直接使用 GPFS 的共享存储,满足高并发、大容量的存储需求,同时利用 k8s 的编排能力实现存储的动态管理。通过 PVC(PersistentVolumeClaim)申请存储,k8s 会基于 StorageClass 自动创建 PV,并绑定到 PVC。(Controller Plugin,部署为 StatefulSet,负责存储分配、PV 管理)。(Node Plugin,部署为 DaemonSet,负责节点上的存储挂载)。
Kubernetes 中 ConfigMap 与 Secret 的深度解析
2403_86763298的博客
07-30 440
ConfigMap 是 Kubernetes 中用于存储非敏感配置数据的 API 对象,它允许将应用程序的配置信息与容器镜像解耦,实现 “配置即代码” 的管理模式。通过 ConfigMap,开发者可以将配置数据(如应用参数、环境变量、配置文件等)集中管理,避免将配置硬编码到容器镜像或 Pod 定义中,从而提高配置的灵活性可维护性。Secret 是 Kubernetes 中用于存储敏感配置数据的 API 对象,与 ConfigMap 结构类似,但增加了加密相关的安全特性。
docker与k8s的容器数据卷
qq_36828822的博客
07-27 795
摘要:本文介绍了Docker数据卷Kubernetes存储方案。Docker数据卷通过绕过联合文件系统实现数据持久化,包括Volume、Bindtmpfs三种类型,支持容器间数据共享。在Kubernetes中,emptyDir用于Pod内容器共享数据,HostPath实现宿主机文件挂载,NFS提供远程存储,而PersistentVolume(PV)PersistentVolumeClaim(PVC)则提供了更强大的存储生命周期管理能力。文章详细说明了各种存储方案的创建使用方法,并对比了它们的适用场景
k8s的存储卷
sky学linux的博客
07-27 596
configMapemptyDirhostPathconfigMapsecretnfsglusterfs1.:与 Pod 绑定,Pod 删除时数据销毁。:默认使用节点磁盘,可设置为内存(tmpfs:Pod 内多个容器间共享临时数据,但仅限同一pod。2.用法。
k8s的nodeportingress
sky学linux的博客
07-26 258
k8s的几个port
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值