Cilium
Cilium とは何ですか?
CiliumeBPF をベースとしたコンテナネットワークインターフェース(CNI)。Kubernetes ワークロードにカーネル速度でネットワーク・可観測性・セキュリティを提供する。
Cilium は、Linux の eBPF を用いてカーネル内で Pod 間ネットワーク、ロードバランシング、可観測性、セキュリティポリシー適用を実現する OSS の CNI プラグインであり、iptables に依存しません。Kubernetes Network Policy に加え、アイデンティティベース、L7(HTTP/Kafka/gRPC)、DNS 対応のルールをサポートする CiliumNetworkPolicy という強力な CRD も提供します。2023 年 10 月に CNCF Graduated(最も成熟度の高い段階)となり、主要クラウド事業者や大企業の本番プラットフォームを支えています。関連プロジェクトには、フローレベルの可観測性を担う Hubble と、ランタイム強制を担う Tetragon があります。ゼロトラスト Pod ネットワーク、暗号化サービスメッシュ、高性能なクラスタトラフィック管理に広く採用されています。
● 例
- 01
kube-proxy を Cilium の eBPF ベースロードバランサに置き換えてレイテンシを削減する。
- 02
2 つの Namespace 間で HTTP GET /api/* のみ許可する CiliumNetworkPolicy を定義する。
● よくある質問
Cilium とは何ですか?
eBPF をベースとしたコンテナネットワークインターフェース(CNI)。Kubernetes ワークロードにカーネル速度でネットワーク・可観測性・セキュリティを提供する。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
Cilium とはどういう意味ですか?
eBPF をベースとしたコンテナネットワークインターフェース(CNI)。Kubernetes ワークロードにカーネル速度でネットワーク・可観測性・セキュリティを提供する。
Cilium はどのように機能しますか?
Cilium は、Linux の eBPF を用いてカーネル内で Pod 間ネットワーク、ロードバランシング、可観測性、セキュリティポリシー適用を実現する OSS の CNI プラグインであり、iptables に依存しません。Kubernetes Network Policy に加え、アイデンティティベース、L7(HTTP/Kafka/gRPC)、DNS 対応のルールをサポートする CiliumNetworkPolicy という強力な CRD も提供します。2023 年 10 月に CNCF Graduated(最も成熟度の高い段階)となり、主要クラウド事業者や大企業の本番プラットフォームを支えています。関連プロジェクトには、フローレベルの可観測性を担う Hubble と、ランタイム強制を担う Tetragon があります。ゼロトラスト Pod ネットワーク、暗号化サービスメッシュ、高性能なクラスタトラフィック管理に広く採用されています。
Cilium からどのように防御しますか?
Cilium に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Cilium の別名は何ですか?
一般的な別名: Cilium CNI, Cilium eBPF。
● 関連用語
- cloud-security№ 600
Kubernetes セキュリティ
Kubernetes クラスター(API サーバー、コントロールプレーン、ノード、ワークロード、ネットワーク)を構成ミス・侵害・横移動から守ること。
- cloud-security№ 1141
Tetragon
Cilium プロジェクトの eBPF ベース Kubernetes ランタイムセキュリティツール。プロセス・ファイル・通信を観測し、ポリシーを同期的に強制できる。
- cloud-security№ 601
Kubescape
ARMO 製の OSS Kubernetes セキュリティプラットフォーム。クラスタ、マニフェスト、コンテナイメージを対象に、設定ミス・脆弱性・ポリシー逸脱をスキャンする。
● 関連項目
- № 596kube-bench