Cilium
Qu'est-ce que Cilium ?
CiliumContainer Network Interface base sur eBPF qui fournit reseau, observabilite et securite aux workloads Kubernetes a la vitesse du noyau.
Cilium est un plugin CNI open source qui utilise eBPF sous Linux pour programmer le noyau et gerer le reseau pod a pod, l'equilibrage de charge, l'observabilite et l'application des politiques de securite, sans recourir a iptables. Il implemente les Network Policies de Kubernetes et expose une CRD plus riche, CiliumNetworkPolicy, avec des regles basees sur l'identite, sur L7 (HTTP/Kafka/gRPC) et conscientes du DNS. Cilium est un projet CNCF Graduated — le plus haut niveau de maturite de la CNCF, atteint en octobre 2023 — et soutient des plateformes en production chez les grands hyperscalers et les entreprises. Ses projets soeurs incluent Hubble pour l'observabilite des flux et Tetragon pour l'enforcement runtime. Cilium est largement adopte pour le reseau pod zero trust, les service mesh chiffres et la gestion haute performance du trafic de cluster.
● Exemples
- 01
Remplacer kube-proxy par l'equilibrage eBPF de Cilium pour reduire la latence.
- 02
Definir une CiliumNetworkPolicy autorisant uniquement HTTP GET /api/* entre deux namespaces.
● Questions fréquentes
Qu'est-ce que Cilium ?
Container Network Interface base sur eBPF qui fournit reseau, observabilite et securite aux workloads Kubernetes a la vitesse du noyau. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Cilium ?
Container Network Interface base sur eBPF qui fournit reseau, observabilite et securite aux workloads Kubernetes a la vitesse du noyau.
Comment fonctionne Cilium ?
Cilium est un plugin CNI open source qui utilise eBPF sous Linux pour programmer le noyau et gerer le reseau pod a pod, l'equilibrage de charge, l'observabilite et l'application des politiques de securite, sans recourir a iptables. Il implemente les Network Policies de Kubernetes et expose une CRD plus riche, CiliumNetworkPolicy, avec des regles basees sur l'identite, sur L7 (HTTP/Kafka/gRPC) et conscientes du DNS. Cilium est un projet CNCF Graduated — le plus haut niveau de maturite de la CNCF, atteint en octobre 2023 — et soutient des plateformes en production chez les grands hyperscalers et les entreprises. Ses projets soeurs incluent Hubble pour l'observabilite des flux et Tetragon pour l'enforcement runtime. Cilium est largement adopte pour le reseau pod zero trust, les service mesh chiffres et la gestion haute performance du trafic de cluster.
Comment se défendre contre Cilium ?
Les défenses contre Cilium combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Cilium ?
Noms alternatifs courants : Cilium CNI, Cilium eBPF.
● Termes liés
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
- cloud-security№ 1141
Tetragon
Outil de securite runtime Kubernetes base sur eBPF, issu du projet Cilium, qui observe et applique des politiques de maniere synchrone sur les processus, fichiers et reseau.
- cloud-security№ 601
Kubescape
Plateforme open source de securite Kubernetes editee par ARMO, qui analyse clusters, manifests et images pour detecter mauvaises configurations, vulnerabilites et derives de politique.
● Voir aussi
- № 596kube-bench