【云原生进阶之容器】第六章容器网络6.6.1--Cilium网络方案概述

已于 2023-05-10 23:21:21 修改
阅读量621 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 云原生进阶系列之容器核心技术专栏 文章标签: 网络 云原生 kubernetes Cilium 容器
于 2023-04-19 18:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/junbaozi/article/details/130142550
Cilium是一款为大规模、高动态容器环境设计的Kubernetes CNI插件,利用Linux内核的eBPF技术提供基于服务、Pod和容器标识的安全策略,避免传统基于IP的网络控制。它解决了iptables在微服务环境中的性能瓶颈,提供API级别的安全性和网络可视性,支持第3层至第7层的隔离。Cilium不仅替代kube-proxy实现高效负载均衡,还通过Cluster Mesh实现跨集群连接,并通过Hubble提供强大的可观测性工具。Cilium的发展得到了Google等大公司的支持,成为云原生环境中的重要网络解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

了解本专栏 订阅专栏 解锁全文 超级会员免费看
云原生进阶容器】第一章Docker核心技术1.10节——Docker网络模型设计
junbaozi的专栏
12-22 1366
Docker实现的容器技术中,针对网络这一块他抽象出一个模型来,就叫CNM(Container Networking Model),相当于只实现了一个框架,具体的实现可以使用原生Docker的,也可以自己实现然后接入本框架。其中libnetwork是Docker团队将Docker的网络功能从Docker的核心代码中分离出来形成的一个单独的库,libnetwork通过插件的形式接入CNM为Docker提供网络功能。
云原生进阶容器】第一章Docker核心技术1.1节——Docker综述
junbaozi的专栏
12-11 2176
Docker是一个开源的软件项目,让用户程序部署在一个相对隔离的环境运行,借此在Linux操作系统上提供一层额外的抽象,以及操作系统层虚拟化的自动管理机制。需要额外指出的是,Docker并不等于容器(containers),Docker只是容器的一种,其他的种类的容器还有Kata container,Rocket container等等。
云原生进阶容器第六章容器网络6.5.1--Calico网络方案综述
junbaozi的专栏
04-16 726
Calico是一个用于容器、虚拟机和基于本地主机的工作负载的开源网络网络安全解决方案。Calico支持广泛的平台,包括Kubernetes、OpenShift、Docker EE、OpenStack和bare metal服务。Calico将灵活的网络功能与随处运行的安全实施相结合,提供了一个具有本地Linux内核性能和真正的云本地可伸缩性的解决方案
云原生进阶容器第六章容器网络6.5.2--Calico网络架构详述
junbaozi的专栏
04-17 780
Calico最优先的网络设置是使用BGP与物理网络对等的Non-overlay网络模式,实现Pod IP可在集群外部路由。如果无法将BGP对等连接到物理网络,但集群位于独立的L2网络中,也可以运行Non-overlay模式,只是在集群中的节点之间对等BGP,应用外部缺少Pod IP的路由,无法在集群外路由。或者设置为Overlay模式下的VXLAN或IP-in-IP,并使用跨子网Overlay模式来优化L2子网内的性能。
云原生进阶容器第六章容器网络6.2--K8S网络模型
junbaozi的专栏
04-07 684
一个K8S集群的网络通讯,主要涉及以下4个方面的通信:1. 容器容器之间的直接通信;2. Pod与Pod之间的通信;3. Pod到Service之间的通信;4. 集群外部与内部组件之间的通信。
云原生进阶容器第六章容器网络6.3--CNI及各CNI网络解决方案简述
junbaozi的专栏
04-08 763
CNI是Container Network Interface的缩写,是一个标准的通用的接口。linux 容器技术和容器网络不断发展,以适应在不同环境中运行的各种应用程序的需求。为了在一端实现各种网络解决方案与另一端不同容器运行时和容器编排平台之间的集成,而不是重复使网络可插入的努力,容器网络接口 ( CNI ) 的创建是为了在容器执行和网络层之间定义一个标准化的通用接口。CNI 项目是云原生计算基金会 (CNCF) 的一部分,其规范描述了如何为 Linux 容器配置网络接口。
云原生进阶容器第六章容器网络6.6.2--Cilium部署
junbaozi的专栏
04-20 652
部署Cilium非常简单,可以通过单独的yaml文件部署全部组件(目前我使用了这个方式部署了1.7.1版本),也可以通过Helm Chart一键完成。重要的是部署环境和时机:官方建议所有部署节点都使用Linux最新稳定内核版本,这样所有的功能都能启用。作为一个Kubernetes网络组件,它应该在部署Kubernetes其他基础组件之后,才进行部署。
云原生进阶容器第六章容器网络6.4.1--Flannel组网方案综述
junbaozi的专栏
04-13 693
Flannel是 CoreOS 团队针对 Kubernetes 设计的一个覆盖网络(Overlay Network)工具,其目的在于帮助每一个使用 Kuberentes 的 CoreOS 主机拥有一个完整的子网。这次的分享内容将从Flannel的介绍、工作原理及安装和配置三方面来介绍这个工具的使用方法。
云原生进阶容器第六章容器网络6.4.3--Flannel网络模式
junbaozi的专栏
04-15 928
Flannel通过在每一个节点上启动一个叫做flanneld的进程,负责每一个节点上的子网划分,并将相关的配置信息(如各个节点的子网网段、外部IP等)保存到etcd中,而具体的网络包转发交给具体的backend实现。flanneld可以在启动时通过配置文件指定不同的backend进行网络通信,Flannel支持三种backend:UDP、VXLAN、host-gw。目前VXLAN是官方最推崇的一种backend实现方式;host-gw一般用于对网络性能要求比较高的场景,但需要基础网络架构的支持。
秋招笔记-8.6
lastXuanGod的博客
08-06 2011
昨天开组会投文章以及玩苏丹的游戏去了,今天得知不久后有面试,所以我们需要快速地过一下基本的八股和项目。
W5500之“socket.c”中的相关函数
weixin_42550185的博客
08-12 252
W5500芯片Socket.c文件核心功能摘要 该文件实现了W5500网络芯片的Socket通信接口,主要功能包括: 基础功能: 提供socket()、close()等基础函数 支持TCP/UDP/MACRAW/IPRAW四种协议 管理8个Socket通道(0-7) TCP协议支持: 实现listen()服务器监听 提供connect()客户端连接 包含send()/recv()数据传输 支持disconnect()断开连接 UDP及原始套接字支持: 实现sendto()/recvfrom()数据收发处理。
用 “故事 + 价值观” 快速建立 IP 信任感
ckjrxdn的博客
08-08 592
故事 + 价值观” 的组合,能快速缩短与用户的距离 —— 故事让 IP 从抽象符号变为可感知的存在,价值观则推动用户从被动关注转为主动认同,二者共同为变现筑牢信任基础。传递价值观需避免空洞口号,应融入具体行为:在知识输出中明确 “何为有价值的知识”,在用户互动中展现 “如何对待用户”,在商业行为中坚守 “变现与价值的平衡”。基于 “故事 + 价值观” 的信任,能降低变现阻力:情感认同转化为知识产品的尝试意愿,价值认同提升流量变现的接受度,深度信任则强化粉丝变现的复购与推荐动力。
下一代防火墙组网全解析
2301_79966421的博客
08-11 615
网络安全防护中,下一代防火墙(NGAF)凭借灵活的组网能力和强大的安全特性,成为企业网络边界防护的核心设备。其多样化的部署模式、丰富的接口类型以及适配不同场景的组网方案,让它能满足从简单网络到复杂架构的各类防护需求。本文将系统梳理下一代防火墙的核心组网知识,助你全面掌握其部署与配置逻辑。
解决H616网络的IP地址连不上
H212202165的博客
08-12 170
先用cmd工具进行对单片机的ip地址进行ping是否存在,存在就改变wifi的网关地址。电脑的wifi网关与h616不一致,需要改变WiFi的网关。电脑是192.168.0.105。单片机是192.128.1.55。
BGP知识点整理
2401_85431745的博客
08-11 770
1)AS_PATH:解决AS之间的环路问题(2)IBGP的水平分割:解决同一个AS内部IBGP邻居之间环路问题(3)cluster_list防环:当一个反射群中存在多个反射器时,通过cluster_list防环(4)originator_id:在多个反射群之间,通过originator_id防环注意事项:反射路由无法使用策略,只能在始发路由上更改路由属性。
终端安全与网络威胁防护笔记
2403_86572967的博客
08-12 224
网关杀毒(Gateway Antivirus)是部署在网络网关设备(如防火墙、路由器、UTM 统一威胁管理设备等)上的病毒防护技术。其核心作用是在网络流量进入内部网络前,对数据进行扫描过滤,拦截恶意文件、病毒、蠕虫等威胁,阻止其渗透到内部终端或服务器。
企业高性能web服务器(4)
最新发布
m0_74028286的博客
08-12 573
反向代理:reverse proxy,指的是代理外网用户的请求到内部的指定的服务器,并将数据返回给用户的一种方式,这是用的比较多的一种方式。Nginx 除了可以在企业提供高性能的web服务之外,另外还可以将 nginx 本身不具备的请求通过某种预定义的协议转发至其它服务器处理,不同的协议就是Nginx服务器与其他服务器进行通信的一种规范,主要在不同的场景使用以下模块实现不同的功能逻辑调用关系:访问逻辑图:同构代理:用户不需要其他程序的参与,直接通过http协议或者tcp协议访问后端服务器。
计算机网络:如何将/22的CIDR地址块划分为4个子网
shunzi2016的博客
08-09 432
摘要:将/22 CIDR地址块划分为4个子网,需新增2位子网掩码(扩展至/24)。每个子网包含256个地址(含网络和广播地址),可用254个IP。以原网络A.B.C.0/22为例,4个子网分别为A.B.C.0/24、A.B.(C+1).0/24、A.B.(C+2).0/24和A.B.(C+3).0/24,每个子网对应独立的IP范围。实际应用时替换A.B.C为具体网络地址即可。(150字)
计算机网络2-2:物理层下面的传输媒体
2401_88089822的博客
08-12 103
传输媒体可分为导引型和非导引型两大类。导引型包括同轴电缆、双绞线、光纤和电力线,其中光纤利用全反射原理传输光信号;非导引型包括无线电波、微波、红外线和可见光(含LiFi技术)。无线电频谱由专门机构统一管理,确保各类无线通信有序进行。
Postman-win64-6.6.164位Chrome插件及安装指南
标签“Postman-win64-6.”表明这是一个关于Postman应用程序的版本标识,虽然只显示到6.6,可能是在标签中被截断了,正常情况下应该会显示完整的版本号,即“Postman-win64-6.6.1”。 文件名称列表中的“Postman-win...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江中散人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值