Entry № 191
Cilium
Cilium 是什么?
Cilium基于 eBPF 的容器网络接口(CNI),以内核级性能为 Kubernetes 工作负载提供网络、可观测性与安全能力。
Cilium 是一个开源 CNI 插件,使用 Linux eBPF 在内核中实现 Pod 间网络、负载均衡、可观测性和安全策略,完全不依赖 iptables。它支持 Kubernetes Network Policy,并提供功能更丰富的 CiliumNetworkPolicy 自定义资源,支持基于身份、L7(HTTP/Kafka/gRPC)以及感知 DNS 的策略。Cilium 是 CNCF Graduated 项目(2023 年 10 月升级,是 CNCF 最高成熟度等级),被各大云厂商和大型企业的生产平台广泛采用。其周边项目包括用于流量级可观测性的 Hubble 和用于运行时强制的 Tetragon。Cilium 常用于零信任 Pod 网络、加密 service mesh 以及高性能集群流量管理。
● 示例
- 01
用 Cilium 的 eBPF 负载均衡替换 kube-proxy,以降低延迟。
- 02
通过 CiliumNetworkPolicy 仅允许两个命名空间间的 HTTP GET /api/* 请求。
● 常见问题
Cilium 是什么?
基于 eBPF 的容器网络接口(CNI),以内核级性能为 Kubernetes 工作负载提供网络、可观测性与安全能力。 它属于网络安全的 云安全 分类。
Cilium 是什么意思?
基于 eBPF 的容器网络接口(CNI),以内核级性能为 Kubernetes 工作负载提供网络、可观测性与安全能力。
如何防御 Cilium?
针对 Cilium 的防御通常结合技术控制与运营实践,详见上方完整定义。
Cilium 还有哪些其他名称?
常见的别称包括: Cilium CNI, Cilium eBPF。