李炜伦的博客

external-access-to-clusterip-servicescilium helm配置里面有一个bpf.lbExternalClusterIP的选项，官网里面只是简单提了As per k8s Service, Cilium’s eBPF kube-proxy replacement by default disallows access to a ClusterIP service from outside the cluster. This can be allowed by setti

kubernetes官网关于nodelocal dns缓存的介绍引言NodeLocal DNSCache 通过在集群节点上作为 DaemonSet 运行 dns 缓存代理来提高集群 DNS 性能。 在当今的体系结构中，处于 ClusterFirst DNS 模式的 Pod 可以连接到 kube-dns serviceIP 进行 DNS 查询。 通过 kube-proxy 添加的 iptables 规则将其转换为 kube-dns/CoreDNS 端点。 借助这种新架构，Pods 将可以访问在同一节点上运

周日的时候几乎通宵，就倒在了cilium的伪装功能上，这个伪装功能就相当于pod的snat作用，以前这个工作在iptables完成的，现在cilium提供ebpf的实现，效率高了很多。在–set tunnel:disabled直接路由模式下，只对native-routing-cidr的直接路由段不进行伪装。一般我们设置就是kubernetes宿主机的网段...

cilium可以在内核转发和过滤数据包，可以解决现有的kube-proxy性能问题，这是有关介绍链接http://dockone.io/m/article/10046现在主要的问题不仅在于网络是underlay还是overlay，也在于networkpolicy。