Cilium
Cilium 是什么?
Cilium基于 eBPF 的容器网络接口(CNI),以内核级性能为 Kubernetes 工作负载提供网络、可观测性与安全能力。
Cilium 是一个开源 CNI 插件,使用 Linux eBPF 在内核中实现 Pod 间网络、负载均衡、可观测性和安全策略,完全不依赖 iptables。它支持 Kubernetes Network Policy,并提供功能更丰富的 CiliumNetworkPolicy 自定义资源,支持基于身份、L7(HTTP/Kafka/gRPC)以及感知 DNS 的策略。Cilium 是 CNCF Graduated 项目(2023 年 10 月升级,是 CNCF 最高成熟度等级),被各大云厂商和大型企业的生产平台广泛采用。其周边项目包括用于流量级可观测性的 Hubble 和用于运行时强制的 Tetragon。Cilium 常用于零信任 Pod 网络、加密 service mesh 以及高性能集群流量管理。
● 示例
- 01
用 Cilium 的 eBPF 负载均衡替换 kube-proxy,以降低延迟。
- 02
通过 CiliumNetworkPolicy 仅允许两个命名空间间的 HTTP GET /api/* 请求。
● 常见问题
Cilium 是什么?
基于 eBPF 的容器网络接口(CNI),以内核级性能为 Kubernetes 工作负载提供网络、可观测性与安全能力。 它属于网络安全的 云安全 分类。
Cilium 是什么意思?
基于 eBPF 的容器网络接口(CNI),以内核级性能为 Kubernetes 工作负载提供网络、可观测性与安全能力。
Cilium 是如何工作的?
Cilium 是一个开源 CNI 插件,使用 Linux eBPF 在内核中实现 Pod 间网络、负载均衡、可观测性和安全策略,完全不依赖 iptables。它支持 Kubernetes Network Policy,并提供功能更丰富的 CiliumNetworkPolicy 自定义资源,支持基于身份、L7(HTTP/Kafka/gRPC)以及感知 DNS 的策略。Cilium 是 CNCF Graduated 项目(2023 年 10 月升级,是 CNCF 最高成熟度等级),被各大云厂商和大型企业的生产平台广泛采用。其周边项目包括用于流量级可观测性的 Hubble 和用于运行时强制的 Tetragon。Cilium 常用于零信任 Pod 网络、加密 service mesh 以及高性能集群流量管理。
如何防御 Cilium?
针对 Cilium 的防御通常结合技术控制与运营实践,详见上方完整定义。
Cilium 还有哪些其他名称?
常见的别称包括: Cilium CNI, Cilium eBPF。
● 相关术语
● 参见
- № 596kube-bench