使用 eBPF 和 Cilium 进行 Kubernetes 网络管理

最新推荐文章于 2025-06-21 23:09:01 发布
最新推荐文章于 2025-06-21 23:09:01 发布
阅读量531 收藏 8
点赞数 9
CC 4.0 BY-SA版权
文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51700102/article/details/145471671

1. 引言

Kubernetes(K8s)已经成为容器编排的标准,而高效的网络管理是确保其性能、可扩展性和安全性的关键。Cilium 是一个基于 eBPF(Extended Berkeley Packet Filter)的容器网络接口(CNI),提供高效、可扩展的网络策略、负载均衡和可观测性功能。

本文将介绍 eBPF 在 Kubernetes 网络中的作用,以及如何使用 Cilium 来优化 Kubernetes 网络。

2. eBPF 在 Kubernetes 网络中的角色

eBPF 允许开发者在 Linux 内核中安全地运行程序,无需修改内核代码。它的特点使其成为 Kubernetes 网络管理的理想选择:

  • 高效的包处理:在内核空间直接处理网络数据包,减少用户态/内核态切换的开销。

  • 增强的安全性:实现 L3/L4/L7 级别的网络策略,防止恶意流量。

  • 服务可观测性:使用 eBPF 进行流量跟踪、延迟分析和应用级可视化。

  • 可扩展的负载均衡:使用 eBPF 取代传统的 kube-proxy,提高负载均衡性能。

3. Cilium 介绍

Cilium 是一个专门基于 eBPF 构建的 Kubernetes CNI,它提供:

  • 无代理的 kube-proxy 替代方案

  • 基于身份的网络策略(Identity-Aware Security)

  • 内置负载均衡和服务发现

  • 丰富的可观测性,如 Hubble

4. 在 Kubernetes 中部署 Cilium

4.1 环境准备

确保 Kubernetes 集群已经运行,并安装了 kubectlhelm

kubectl version --client
helm version

4.2 安装 Cilium

使用 Helm 安装 Cilium:

helm repo add cilium https://helm.cilium.io/
helm repo update
helm install cilium cilium/cilium --namespace kube-system \
  --set kubeProxyReplacement=strict \
  --set hubble.enabled=true \
  --set hubble.relay.enabled=true \
  --set hubble.ui.enabled=true

验证 Cilium 运行状态:

kubectl get pods -n kube-system -l k8s-app=cilium

4.3 启用 Hubble 进行网络监控

Hubble 是 Cilium 提供的可观测性平台,可实时分析网络流量。

安装 Hubble CLI:

curl -L --remote-name-all https://github.com/cilium/hubble/releases/latest/download/hubble-linux-amd64.tar.gz
sudo tar -xvf hubble-linux-amd64.tar.gz -C /usr/local/bin/

启用 Hubble UI 访问:

kubectl port-forward -n kube-system svc/hubble-ui 12000:80

在浏览器访问 http://localhost:12000,查看 Kubernetes 网络流量。

5. 使用 Cilium 实现安全策略

Cilium 允许基于身份和应用层(L7)的网络策略,例如,只允许 frontend 访问 backend 服务。

创建 cilium-network-policy.yaml 文件:

apiVersion: "cilium.io/v2"
kind: CiliumNetworkPolicy
metadata:
  name: allow-frontend-backend
  namespace: default
spec:
  endpointSelector:
    matchLabels:
      app: backend
  ingress:
  - fromEndpoints:
    - matchLabels:
        app: frontend

应用策略:

kubectl apply -f cilium-network-policy.yaml

6. Cilium 负载均衡替代 kube-proxy

默认情况下,Kubernetes 使用 kube-proxy 进行服务负载均衡,但 Cilium 通过 eBPF 直接在内核级别处理流量,提高性能。

检查 kube-proxy 是否被替换:

kubectl get ds -n kube-system

如果 Cilium 已完全替代 kube-proxy,应该不会看到 kube-proxy 运行的 DaemonSet。

7. 结论

Cilium 通过 eBPF 提供了高效的 Kubernetes 网络管理方案,包括网络安全、负载均衡和可观测性。相比传统 iptables,它减少了 CPU 开销,提高了可扩展性,使 Kubernetes 网络更强大。

未来,随着 eBPF 生态的进一步发展,Cilium 可能会成为 Kubernetes 网络管理的标准解决方案。

云原生 | 在 Kubernetes使用 Cilium 替代 Calico 网络插件实践指南!
WeiyiGeek 唯一极客IT知识分享
09-03 2433
Cilium 是一款开源软件,它基于一种名为eBPF的新的Linux内核技术提供动力,用于透明地保护使用 Docker Kubernetes 等Linux 容器管理平台中部署的应用程序服务之间的网络连接,Cilium 主要使用场景是在 Kubernetes 中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
Cilium-实战系列-(一)Cilium-安装与部署
博然的宝藏库
10-05 889
前言:1、首先说一下为 “一文一武”,一个注重点解,一个注重实际操作。Cilium + ebpf 系列文章-什么是ebpf?(一)_clium ebpf-优快云博客文章浏览阅读419次。一、We Create a container be a Server.二、We Create a container be a Client.三、Them link at a Bridge.四、 Do test.一、Test-tools。
Cilium系列-1-Cilium特色 功能及适用场景
2301_78834737的博客
07-23 440
Cilium 是一个开源的云原生解决方案,用于提供、保护(安全功能)观察(监控功能)工作负载之间的网络连接,由革命性的内核技术eBPF提供动力。Cilium 主要使用场景是在 Kubernetes中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
技术流 | 使用eBPF增强kubernetes可观测性的实践分享
边逛边看边学习
07-10 812
eBPF 是⼀个令⼈印象深刻的可观测性⼯具,与传统的可观测性解决⽅案相⽐,它可以提供更深⼊的洞察⼒。
如何用 eBPF 实现 Kubernetes 网络可观测性?实战指南
最新发布
06-21 772
《基于eBPF的K8s网络观测系统设计与实践》 本文深入探讨了利用eBPF技术构建Kubernetes网络观测系统的关键技术。针对传统监控工具数据碎片化、上下文缺失性能瓶颈等问题,eBPF通过内核态直接处理网络事件,实现了零拷贝观测、全链路关联动态过滤三大优势。文章详细解析了eBPF观测架构设计,包括内核探针部署策略、关键数据结构生产环境部署拓扑,并提供了从环境配置到核心eBPF程序实现的全流程实践方案,特别展示了K8s元数据关联NetworkPolicy验证等高级应用场景。通过性能优化实践,证明该
[CKS] Cilium网络策略
agjllxchjy的博客
11-13 775
关于CiliumNetworkPolicy的介绍使用方法,大家可以参考https://docs.cilium.io/en/stable/network/kubernetes/policy/#ciliumnetworkpolicy。
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1741
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、五层、四层网络结构。七层,五层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议) IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
cilium插件测试_Cilium使用 (Cilium 3)
weixin_35959421的博客
01-17 892
使用k3s测试Cilium,安装步骤可以参见官方文档Cilium安装使用docker安装使用如下命令安装最新版本的dockeryum install -y yum-utils \device-mapper-persistent-data \lvm2yum-config-manager \--add-repo \https://download.docker.com/linux/centos/doc...
使用 Cilium 增强 Kubernetes 网络安全
2401_88750910的博客
12-02 1116
Cilium是一个开源软件,用于提供、保护观察容器工作负载(云原生)之间的网络连接,由革命性的内核技术eBPF推动。eBPF 是什么?Linux 内核一直是实现监控/可观测性、网络安全功能的理想地方。不过很多情况下这并非易事,因为这些工作需要修改内核源码或加载内核模块, 最终实现形式是在已有的层层抽象之上叠加新的抽象。eBPF 是一项革命性技术,它能在内核中运行沙箱程序(sandbox programs), 而无需修改内核源码或者加载内核模块。
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
Cilium利用eBPF的强大能力,在内核级别执行网络策略,实现高效的网络流量路由过滤,同时提供服务发现、负载均衡、安全性可观测性。 Cilium的出现解决了kube-proxy的一些局限性,例如在大规模集群中的性能瓶颈、...
CiliumKubernetes中搭建HA集群的Kind教程
2. Cilium CNI插件:CiliumKubernetes网络策略引擎,使用Linux内核功能如eBPF来实现高性能的网络连接安全策略。在本教程中,Cilium将被配置为集群的CNI插件,以实现更高级别的网络策略可见性。 3. Shell...
Cilium 命令行工具完全指南:从基础到高级使用技巧
gitblog_00788的博客
06-01 662
Cilium 命令行工具完全指南:从基础到高级使用技巧 前言 Cilium 作为云原生网络领域的佼佼者,提供了强大的命令行工具来管理监控网络环境。本文将全面介绍 Cilium CLI 的使用方法,帮助开发者运维人员高效地管理 Cilium 网络环境。 Cilium CLI 基础 Cilium 命令行工具是一个统一的接口,通过子命令系统提供丰富的功能。基本命令结构如下: cilium [子命令]...
用于 Kubernetes 网络Cilium:为什么我们使用它以及为什么我们喜欢它
u012516914的专栏
03-16 978
感谢 CNI(容器网络接口),Kubernetes 提供了大量选项来满足您的网络需求。在多年依赖简单的网络解决方案之后,我们面临着对以客户需求为后盾的高级功能的日益增长的需求。Cilium 将我们 K8s 平台中的网络提升到了一个新的水平。背景我们为不同行业、规模技术堆栈的公司构建维护基础设施。他们的应用程序部署到私有云公共云以及裸机服务器。他们对容错性、可扩展性、财务费用、安全性等方面有不...
Cilium 1.7发布:Hubble UI、全集群网络策略、基于eBPF的Direct Server Return以及更多
Docker的专栏
02-20 2513
在这里,我们要向大家高兴地宣布,Cilium 1.7版本正式发布了!在本轮更新周期当中,由141位开发者组成的项目社区共完成了1551项提交,而且很多朋友是第一次为Cilium项目提交贡...
在K8S上部署Cilium组件,看这一篇干货就够了
gjjumin的专栏
07-15 3991
本文介绍在Kubernetes集群上部署Cilium的步骤,简单介绍了Cilium的运行状态,高级特性。
使用 Containerlab + Kind 快速部署 Cilium BGP 环境
cr7258的博客
08-28 2581
1 前置知识 1.1 Cilium 介绍 Cilium 是一款基于 eBPF 技术的 Kubernetes CNI 插件,Cilium 在其官网上对产品的定位为 “eBPF-based Networking, Observability, Security”,致力于为容器工作负载提供基于 eBPF网络、可观察性安全性的一系列解决方案。Cilium 通过使用 eBPF 技术在 Linux 内部动态插入一些控制逻辑,可以在不修改应用程序代码或容器配置的情况下进行应用更新,从而实现网络、可观察性安全性相
cilium初探(二)
long75719507的专栏
12-05 2398
三、cilium网络通信详解 默认情况下,cilium使用vxlan的overlay模式。跨主机通信示例图如下: cilium安装完毕,会在主机创建一些网卡: cilium-vxlan,用于vxlan封包; cilium-hostcilium-net,一对veth-pair(类似于kube-proxy ipvs创建的dummy网卡)。 1、c1 ping c2的通信细节 (...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

桂月二二

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值