- 综合排序
- 最热优先
- 最新优先
- 来自专栏charlieroro
Cilium架构 (Cilium 2)
Cilium架构 译自:http://docs.cilium.io/en/stable/architecture/ 本文档描述了Cilium的架构。 它通过记录BPF数据路径(datapath)的钩子来实现Cilium数据路径,那么Cilium数据路径是如何与容器编排层继承,以及如何在各层(如BPF数据路径和Cilium代理)之间更新对象的? Cilium数据路径使用这些钩子加载BPF程序,当一起使用时,这些程序会创建更高级别的网络结构。 下面是Cilium使用的钩子列表以及简要概述。 将上述钩子与虚拟接口(cilium_host, cilium_net),可选的overlay接口(cilium_vxlan),Linux内核加密支持以及用户空间代理(Envoy)相结合,Cilium可以创建如下网络对象 该限制会在后续的Cilium发布中移除。
2.5K21发布于 2020-04-24 - 来自专栏charlieroro
Cilium使用 (Cilium 3)
目录 Cilium安装使用 docker安装 内核更新 安装k3s 安装master 安装node(可选) 挂载BPF文件系统 安装Cilium 查看安装结果 部署连接测试 安装Hubble 安装helm 安装Hubble Cilium的网络模型 同节点访问 跨节点网络 Cilium cli 使用k3s测试Cilium,安装步骤可以参见官方文档 Cilium安装使用 docker安装 使用如下命令安装最新版本的 如下路由中,将cilium_host作为容器的默认网关。 Cilium cli 使用Cilium后,不会再使用kube-proxy,它会从Kubernetes API服务器获得Service信息,并存入BPF。可以使用cilium命令行查看相关的信息。 如使用# cilium node list查看当前的node节点信息,使用# cilium service list查看service信息等。
2.5K51发布于 2020-04-24 - 来自专栏小陈运维
kubernetes 安装cilium
Cilium基于一种名为BPF的新Linux内核技术,它可以在Linux内部动态插入强大的安全性,可见性和网络控制逻辑。 /get_helm.sh2 安装cilium[root@k8s-master01 ~]# helm repo add cilium https://helm.cilium.io[root@k8s-master01 ~]# helm install cilium cilium/cilium --namespace kube-system --set hubble.relay.enabled=true cilium-smx5v 1/1 Running 0 5m3skube-system cilium-tdjq4 /pod-to-a-denied-cnp createdciliumnetworkpolicy.cilium.io/pod-to-a-allowed-cnp createdciliumnetworkpolicy.cilium.io
1.5K10编辑于 2022-09-12 - 来自专栏东风微鸣技术博客
Cilium 系列-2-Cilium 快速安装
系列文章 •Cilium 系列文章[1] 前言 在本章中,我们将直接将 Cilium 安装到 Kubernetes 集群中。 Cilium 安装方式 Cilium 支持 2 种安装方式: 1.Cilium CLI2.Helm chart CLI 工具能让你轻松上手 Cilium,尤其是在刚开始学习时。 安装 Cilium CLI CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli/master with go1.20.4 on linux/arm64 cilium image (default): v1.13.4 cilium image (stable): v1.13.4 cilium image (running): 1.13.4 Cilium Install export KUBECONFIG=/etc/rancher/k3s/k3s.yaml cilium install 通过该命令,cilium
1.3K20编辑于 2023-09-01 - 来自专栏东风微鸣技术博客
Cilium系列-5-Cilium替换KubeProxy
系列文章 •Cilium 系列文章[1] 前言 将 Kubernetes 的 CNI 从其他组件切换为 Cilium, 已经可以有效地提升网络的性能. 但是通过对 Cilium 不同模式的切换/功能的启用, 可以进一步提升 Cilium 的网络性能. •--disable-kube-proxy 禁用 Kube Proxy 重新安装 Cilium 视情况不同, 可能需要卸载 Cilium: helm uninstall cilium -n kube-system 重新安装, 重新安装时直接加上 kubeProxyReplacement 参数: helm install cilium cilium/cilium --version 1.13.4 \ --namespace -- cilium status --verbose ...
66830编辑于 2023-09-01 - 来自专栏东风微鸣技术博客
Cilium系列-4-Cilium本地路由
系列文章 •Cilium 系列文章[1] 前言 在前文[2]中我们提到, cilium install 默认安装后, Cilium 功能启用和禁用情况如下: 1.datapath mode: tunnel 测试环境 •Cilium 1.13.4•K3s v1.26.6+k3s1•OS•3台 Ubuntu 23.04 VM, Kernel 6.2, x86 VXLan 封装 在未提供任何配置的情况下,Cilium 实战: 启用本地路由 从现在开始, 后续的 cilium 安装配置越来越复杂, 有很多定制的配置参数, 所以我们从现在开始使用 Helm Chart 方式安装 Cilium. ️ 卸载 Cilium 首先卸载通过 cilium install 安装的 Cilium. export KUBECONFIG=/etc/rancher/k3s/k3s.yaml cilium uninstall install cilium cilium/cilium --version 1.13.4 \ --namespace kube-system \ --set operator.replicas
98720编辑于 2023-09-01 - 来自专栏东风微鸣技术博客
Cilium系列-14-Cilium NetworkPolicy 简介
系列文章 •Cilium 系列文章[1] 前言 今天我们进入 Cilium 安全相关主题, 介绍 Kubernetes 网络策略以及 CiliumNetworkPolicies 额外支持的内容。 在 Kubernetes 上运行 Cilium 时,可以使用 Kubernetes 资源定义网络策略(networking.k8s.io/v1 NetworkPolicy)。 Cilium Agent 将观察 Kubernetes API 服务器是否有网络策略更新,并加载必要的 eBPF 程序和 map,以确保实施所需的网络策略。 , Kubernetes 开箱自带, 其他 CNI 如 Calico 也支持)•支持第 3、4 和 7 层(应用层)策略的 CiliumNetworkPolicy 资源(Cilium 专有的 CRD: Cilium 支持同时使用所有这些策略类型。不过,在使用多种策略类型时应小心谨慎,因为在多种策略类型中理解所允许流量的完整集合可能会造成混乱。如果不密切注意,可能会导致意外的策略行为。
79650编辑于 2023-09-01 - 来自专栏后端云
Cilium install
/cilium created serviceaccount/cilium-operator created configmap/cilium-config created clusterrole.rbac.authorization.k8s.io CLI [root@centos7 ~]# CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli /cilium-cli/releases/download/${CILIUM_CLI_VERSION}/cilium-linux-${CLI_ARCH}.tar.gz{,.sha256sum} % by Cilium 测试Cilium [dev@centos9 ~]$ kubectl create ns cilium-test namespace/cilium-test created[dev@ centos9 ~]$ kubectl apply -n cilium-test -f https://raw.githubusercontent.com/cilium/cilium/v1.9/examples
1.1K20编辑于 2022-11-25 - 来自专栏东风微鸣技术博客
Cilium 系列-3-Cilium 的基本组件和重要概念
系列文章 •Cilium 系列文章[1] 前言 安装完了,我们看看 Cilium 有哪些组件和重要概念。 Cilium Architecture(前篇文章中并没有安装 cilium cluster mesh apiserver) Cilium Operator Cilium Operator 可以理解为 Cilium Hubble gRPC 服务 Cilium Client Cilium Agent 守护进程中的每个 pod 都带有一个 Cilium Client 可执行文件,可用于检查该节点上安装的 Cilium Cilium Client 可执行文件包含在每个 Cilium Agent pod 中,必要时可用作诊断工具,帮助排除 Cilium Agent 运行故障。 Cilium Identity(身份) 使 Cilium 能够高效工作的一个关键概念是 Cilium 的 身份[2] 概念。所有 Cilium Endpoints 都有一个基于标签的标识。
85920编辑于 2023-09-01 - 来自专栏东风微鸣技术博客
Cilium系列-1-Cilium特色 功能及适用场景
系列文章 •Cilium 系列文章[1] Cilium 简介 Cilium 是一个开源的云原生解决方案,用于提供、保护(安全功能)和观察(监控功能)工作负载之间的网络连接,由革命性的内核技术 eBPF Cilium 主要使用场景是在 Kubernetes中,但 Cilium 的优势并不仅限于 Kubernetes 环境。 这些都是 Cilium 要解决的难题。 从一开始,Cilium 就是为大规模、高动态的容器化环境而设计的。 所以, Cilium 的功能要点集中在以下 3 点: •高性能•安全•可观察性 Cilium - 基于 eBPF 构建 eBPF 使 Cilium 强大的安全可视性和控制逻辑能够动态插入 Linux 内核 接下来就让我们来谈谈 Cilium 能做些什么。 Cilium 功能 网络功能 Cilium 提供网络连接,允许 pod 和其他组件(Kubernetes 集群内部或外部)进行通信。
2.4K30编辑于 2023-09-01 - 来自专栏架构驿站
Cilium eBPF 网络解析
从本质上讲,Cilium 是一个基于 eBPF 之上的通用性抽象,即 Cilium 对 eBPF 进行了封装,并提供了一个更上层的 API ,使得其能够覆盖分布式系统的绝大多数场景。 具体可参考如下: 我们来看下 Cilium 的相关概念及架构,基于 Cilium 机制,其通常要求运行于 Linux Kernel 4.8.0 及以上版本,官方建议 Kernel 版本至少在 接下来,我们了解下Cilium 的组件示意图,Cilium 是位于 Linux Kernel 与容器编排系统的中间层。 移除那些不必要的组件后,Cilium eBPF Datapath 流程示意图可精简为以下: 其实,基于其设计理念,Cilium eBPF 还能走的更远。 Cilium eBPF 解析到此为止,大家有问题随时留意沟通。
2.1K41编辑于 2021-12-09 - 来自专栏让技术和时代并行
Cilium 容器网络的落地实践
这是一种新型的网络范式,它也是 Cilium 容器网络项目的核心思想。 为什么需要落地 Cilium 容器网络? Kubernetes 的容器网络方案发展至今,一直是百家争鸣,各有特色。 Cilium CNI 实现 Cilium Agent、Cilium CLI Client 和 CNI Plugin 运行在集群中的每一个节点上(以守护进程的形式部署)。 Cilium Agent 编译 BPF 程序,并使内核在网络栈的关键点上运行这些程序。 Cilium 提供两种联网模式: 叠加网络(Overlay)模式:Cilium 默认的网络模式。 套件: # sudo helm repo add cilium https://helm.cilium.io/ # sudo helm install cilium cilium/cilium -- Cilium 容器网络配置成功。
95110编辑于 2023-03-18 - 来自专栏东风微鸣技术博客
Cilium 系列-7-Cilium 的 NodePort 实现从 SNAT 改为 DSR
系列文章 •Cilium 系列文章[1] 前言 将 Kubernetes 的 CNI 从其他组件切换为 Cilium, 已经可以有效地提升网络的性能。 但是通过对 Cilium 不同模式的切换/功能的启用,可以进一步提升 Cilium 的网络性能。 示例如下,Cilium 的 eBPF NodePort 实现以 SNAT 模式运行: $ kubectl -n kube-system exec ds/cilium -- cilium status - 启用 DSR 实施步骤 在启用仅 DSR 模式的无 kube proxy 环境中,上述 Helm 示例配置如下: helm upgrade cilium cilium/cilium --version 完全替换 KubeProxy 验证 $ kubectl -n kube-system exec ds/cilium -- cilium status --verbose|grep DSR Mode
63930编辑于 2023-09-01 - 来自专栏东风微鸣技术博客
Cilium系列-13-启用XDP加速及Cilium性能调优总结
系列文章 •Cilium 系列文章[1] 前言 将 Kubernetes 的 CNI 从其他组件切换为 Cilium, 已经可以有效地提升网络的性能. 但是通过对 Cilium 不同模式的切换/功能的启用, 可以进一步提升 Cilium 的网络性能. 实施 helm upgrade cilium cilium/cilium --version 1.13.4 \ --namespace kube-system \ --reuse-values Cilium 调优分为以下几个大维度: 1.Cilium 调优2.底层网络调优3.Linux Kernel 优化和升级4.其他维度调优 Cilium 调优 Cilium 调优包括: •启用本地路由(Native 最终, 安装的命令如下: helm install cilium cilium/cilium --version 1.13.4 \ --namespace kube-system \ -
1K20编辑于 2023-09-01 - 来自专栏CNCF
Cilium 发布年度报告
2022 年 Cilium 年度报告[1]旨在汇报一些 Cilium 项目的贡献者和最终用户社区的增长和活动。 它涵盖了广泛的主题,包括贡献者增长、版本亮点、Cilium 用户调查结果、Cilium 在哪里生产使用、社区语录和参与、2022 年的活动,以及项目在 2023 年的发展方向。 2022 年,Cilium 成为了标准的 CNI,并开启了围绕 Cilium 的项目和集成的生态系统。 一旦你阅读了 2022 年 Cilium 年度报告,有许多方法可以参与其中。 此外,Cilium 社区在Slack[3]和Twitter[4]上也很活跃。如果你现在只想围观,请务必订阅通讯[5]。如有任何问题或意见,请联系 contribute@cilium.io。 参考资料 [1] 2022 年 Cilium 年度报告: https://github.com/cilium/cilium.io/raw/main/Annual-Reports/Cilium%20Annual
42720编辑于 2023-02-12 - 来自专栏用户9379187的专栏
Cilium 多集群 ClusterMesh 介绍
Cluster Mesh 是 Cilium 的多集群实现,可以帮助 Cilium 实现跨数据中心、跨 VPC 的多 Kubernetes 集群管理,ClusterMesh 主要有以下功能: 1.通过隧道或直接路由的方式 4.png 接下来让我们一起看看 Cilium Cluster Mesh 有哪些具体的使用场景。 1 使用场景 1.1 高可用 对大多数人来说,高可用是最普遍的使用场景。 2 架构 Cilium Cluster Mesh 的架构如下: 每个 Kubernetes 集群都维护自己的 etcd 集群,保存自身集群的状态。 每个集群通过一组 etcd 代理暴露自己的 etcd,在其他集群中运行的 Cilium agent 连接到 etcd 代理以监视更改。 3.Cilium 必须使用 etcd 作为 kv 存储。 4.集群之间的网络必须互通,具体的通信的端口号参见防火墙规则 [2]。
53230编辑于 2022-05-12 - 来自专栏云云众生s
Cilium的过去指向其未来
Cilium 的未来不仅涉及 Kubernetes 和容器,还涉及虚拟机、边缘用例和其他环境。 译自 Cilium's Past Points to Its Future,作者 B Cameron Gain。 此定义涵盖了许多内容,而 Cilium 应继续适应和扩展,以满足基础设施需求的变化。 Cilium,这是我们对未来的愿景:Cilium 应该成为标准或下一代网络层。” Cilium 通常仍然是大基础设施的一部分,并且不存在于所谓的单一控制面板等其他基础设施中。 “通过收购 Isovalent,Cilium 与思科广泛产品组合的集成在多个层面具有战略意义。
35510编辑于 2024-05-06 - 来自专栏CNCF
Cilium作为孵化项目加入CNCF
CNCF 技术监督委员会(TOC)投票接受 Cilium 作为 CNCF 的孵化项目。 “Cilium 和 eBPF 正在改变网络和安全格局,目前大多数大型云服务提供商都依赖于 Cilium。” Cilium 联合创始人 Thomas Graf 表示:“跨金融服务、云计算、超规模计算和企业使用 Cilium 是为了其深度安全性、性能、可扩展性和可观察性。 主要组件: Cilium 项目由多个组件和层组成,这些组件和层可以相互独立使用。这允许用户选择特定的功能,或者将 Cilium 与其他 CNI 结合运行。 参考资料 [1] Cilium: https://cilium.io/ [2] 组织: https://github.com/cilium/cilium/blob/master/USERS.md [3]
68330发布于 2021-10-18 - 来自专栏架构驿站
基于 Cilium 和 eBPF 检测容器逃逸
同时,我将向大家展示如何基于 Isovalent Cilium Enterprise 进行攻击检测。 Cilium Cilium 使用 eBPF 非常有效地监控 Kubernetes 工作负载内部和主机外部的所有网络和进程行为,并为我们提供对这些行为的 Kubernetes 身份感知和操作系统级进程可见性 Cilium 在 Kubernetes 环境中以守护进程模式存在。 丰富的安全事件 Cilium 能够观察并强制执行 Linux 系统内部发生的行为。 他们可以通过获取以下通过 Cilium 导出到用户空间的 process_exec 事件来检测 bash 执行。
1.4K30编辑于 2021-12-10 - 来自专栏云原生技术社区
高级功能 | Kube-OVN集成Cilium
" } ] } 安装配置文件: kubectl apply -f chaining.yaml 使用 Helm 部署 Cilium: helm repo add cilium https://helm.cilium.io/ helm install cilium cilium/cilium --version 1.11.6 \ --namespace kube-system 安装成功: # cilium status /¯¯\ /¯¯\__/¯¯\ Cilium: OK \__/¯¯\__/ Operator: OK Running: 2 Cluster Pods: 8/11 managed by Cilium Image versions cilium quay.io/ : 2 文章链接 1、Cilium:https://cilium.io/ 2、CNI Chaining:https://docs.cilium.io/en/stable/gettingstarted/cni-chaining
1.2K20编辑于 2022-11-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号