Cilium
Что такое Cilium?
CiliumCNI на базе eBPF, обеспечивающий сеть, наблюдаемость и безопасность Kubernetes-нагрузок на скорости ядра.
Cilium — это открытый CNI-плагин, использующий Linux eBPF для программирования ядра под pod-to-pod сеть, балансировку нагрузки, наблюдаемость и применение политик безопасности без iptables. Он реализует Kubernetes Network Policies, а также более богатый CRD CiliumNetworkPolicy с поддержкой identity-based, L7 (HTTP/Kafka/gRPC) и DNS-осведомлённых правил. Cilium — проект уровня CNCF Graduated (высший уровень зрелости CNCF, достигнут в октябре 2023 года), который лежит в основе продакшен-платформ крупных облачных провайдеров и предприятий. К нему примыкают Hubble для наблюдения за потоками и Tetragon для runtime-энфорсмента. Cilium широко применяется для zero-trust сетей подов, зашифрованного service mesh и высокопроизводительного управления трафиком кластера.
● Примеры
- 01
Замена kube-proxy на eBPF-балансировщик Cilium ради снижения латентности.
- 02
CiliumNetworkPolicy, разрешающий между двумя namespace только HTTP GET /api/*.
● Частые вопросы
Что такое Cilium?
CNI на базе eBPF, обеспечивающий сеть, наблюдаемость и безопасность Kubernetes-нагрузок на скорости ядра. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Cilium?
CNI на базе eBPF, обеспечивающий сеть, наблюдаемость и безопасность Kubernetes-нагрузок на скорости ядра.
Как работает Cilium?
Cilium — это открытый CNI-плагин, использующий Linux eBPF для программирования ядра под pod-to-pod сеть, балансировку нагрузки, наблюдаемость и применение политик безопасности без iptables. Он реализует Kubernetes Network Policies, а также более богатый CRD CiliumNetworkPolicy с поддержкой identity-based, L7 (HTTP/Kafka/gRPC) и DNS-осведомлённых правил. Cilium — проект уровня CNCF Graduated (высший уровень зрелости CNCF, достигнут в октябре 2023 года), который лежит в основе продакшен-платформ крупных облачных провайдеров и предприятий. К нему примыкают Hubble для наблюдения за потоками и Tetragon для runtime-энфорсмента. Cilium широко применяется для zero-trust сетей подов, зашифрованного service mesh и высокопроизводительного управления трафиком кластера.
Как защититься от Cilium?
Защита от Cilium обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Cilium?
Распространённые альтернативные названия: Cilium CNI, Cilium eBPF.
● Связанные термины
- cloud-security№ 600
Безопасность Kubernetes
Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.
- cloud-security№ 1141
Tetragon
Инструмент runtime-безопасности Kubernetes на базе eBPF из проекта Cilium: синхронно наблюдает и применяет политики к процессам, файлам и сети.
- cloud-security№ 601
Kubescape
Открытая платформа безопасности Kubernetes от ARMO для сканирования кластеров, манифестов и образов на ошибки конфигурации, уязвимости и отклонения от политик.
● См. также
- № 596kube-bench