[TOC]
## What is Cilium?
Cilium 是開源軟件,用于透明地保護使用 Docker 和 Kubernetes 等 Linux 容器管理平臺部署的應用程序服務之間的網絡連接。
Cilium 的基礎是一種名為 eBPF 的新 Linux 內核技術,它可以在 Linux 本身內動態插入強大的安全可見性和控制邏輯。 由于 eBPF 在 Linux 內核內部運行,因此可以應用和更新 Cilium 安全策略,而無需對應用程序代碼或容器配置進行任何更改。
## What is Hubble?
Hubble 是一個完全分布式網絡和安全可觀測平臺。 它構建在 Cilium 和 eBPF 之上,能夠以完全透明的方式深入了解服務的通信和行為以及網絡基礎設施。
通過構建在 Cilium 之上,Hubble 可以利用 eBPF 來提高可見性。 通過依賴 eBPF,所有可見性都是可編程的,并允許采用動態方法,最大限度地減少開銷,同時根據用戶的要求提供深入而詳細的可見性。 Hubble 的創建和專門設計就是為了充分利用這些新的 eBPF 能力。
## Why Cilium & Hubble?
eBPF 能夠以前所未有的粒度和效率對系統和應用程序進行可見性和控制。 它以完全透明的方式完成此操作,無需應用程序以任何方式進行更改。 eBPF 同樣能夠處理現代容器化工作負載以及更傳統的工作負載(例如虛擬機和標準 Linux 進程)。
現代數據中心應用程序的開發已轉向面向服務的架構(通常稱為微服務),其中大型應用程序被拆分為小型獨立服務,這些服務通過使用 HTTP 等輕量級協議的 API 相互通信。 微服務應用程序往往是高度動態的,隨著應用程序橫向擴展/收縮以適應負載變化以及作為持續交付的一部分部署的滾動更新期間,各個容器會啟動或銷毀。
這種向高度動態微服務的轉變對于確保微服務之間的連接既是挑戰也是機遇。 傳統的 Linux 網絡安全方法(例如 iptables)會根據 IP 地址和 TCP/UDP 端口進行過濾,但 IP 地址在動態微服務環境中經常發生變化。 容器的高度不穩定的生命周期導致這些方法難以與應用程序一起擴展,因為負載平衡表和訪問控制列表攜帶數十萬條規則,需要以不斷增長的頻率進行更新。 出于安全目的,協議端口(例如用于 HTTP 流量的 TCP 端口 80)不能再用于區分應用程序流量,因為該端口用于跨服務的各種消息。
另一個挑戰是提供準確可見性的能力,因為傳統系統使用 IP 地址作為主要識別工具,而在微服務架構中,其生命周期可能會大大縮短,僅為幾秒鐘。
通過利用 Linux eBPF,Cilium 保留了透明地插入安全可見性 + 強制執行的能力,但以基于服務/pod/容器身份(與傳統系統中的 IP 地址識別相反)的方式實現,并且可以根據應用程序進行過濾 層(例如 HTTP)。 因此,Cilium 不僅通過將安全性與尋址解耦,使得在高度動態的環境中應用安全策略變得簡單,而且除了提供傳統的第 3 層和第 4 層分段之外,還可以通過在 HTTP 層操作來提供更強的安全隔離 。
eBPF 的使用使 Cilium 能夠以高度可擴展的方式實現所有這一切,即使對于大規模環境也是如此。
- 前言
- 架構
- 部署
- kubeadm部署
- kubeadm擴容節點
- 二進制安裝基礎組件
- 添加master節點
- 添加工作節點
- 選裝插件安裝
- Kubernetes使用
- k8s與dockerfile啟動參數
- hostPort與hostNetwork異同
- 應用上下線最佳實踐
- 進入容器命名空間
- 主機與pod之間拷貝
- events排序問題
- k8s會話保持
- 容器root特權
- CNI插件
- calico
- calicoctl安裝
- calico網絡通信
- calico更改pod地址范圍
- 新增節點網卡名不一致
- 修改calico模式
- calico數據存儲遷移
- 啟用 kubectl 來管理 Calico
- calico卸載
- cilium
- cilium架構
- cilium/hubble安裝
- cilium網絡路由
- IP地址管理(IPAM)
- Cilium替換KubeProxy
- NodePort運行DSR模式
- IP地址偽裝
- ingress使用
- nginx-ingress
- ingress安裝
- ingress高可用
- helm方式安裝
- 基本使用
- Rewrite配置
- tls安全路由
- ingress發布管理
- 代理k8s集群外的web應用
- ingress自定義日志
- ingress記錄真實IP地址
- 自定義參數
- traefik-ingress
- traefik名詞概念
- traefik安裝
- traefik初次使用
- traefik路由(IngressRoute)
- traefik中間件(middlewares)
- traefik記錄真實IP地址
- cert-manager
- 安裝教程
- 頒布者CA
- 創建證書
- 外部存儲
- 對接NFS
- 對接ceph-rbd
- 對接cephfs
- 監控平臺
- Prometheus
- Prometheus安裝
- grafana安裝
- Prometheus配置文件
- node_exporter安裝
- kube-state-metrics安裝
- Prometheus黑盒監控
- Prometheus告警
- grafana儀表盤設置
- 常用監控配置文件
- thanos
- Prometheus
- Sidecar組件
- Store Gateway組件
- Querier組件
- Compactor組件
- Prometheus監控項
- grafana
- Querier對接grafana
- alertmanager
- Prometheus對接alertmanager
- 日志中心
- filebeat安裝
- kafka安裝
- logstash安裝
- elasticsearch安裝
- elasticsearch索引生命周期管理
- kibana安裝
- event事件收集
- 資源預留
- 節點資源預留
- imagefs與nodefs驗證
- 資源預留 vs 驅逐 vs OOM
- scheduler調度原理
- Helm
- Helm安裝
- Helm基本使用
- 安全
- apiserver審計日志
- RBAC鑒權
- namespace資源限制
- 加密Secret數據
- 服務網格
- 備份恢復
- Velero安裝
- 備份與恢復
- 常用維護操作
- container runtime
- 拉取私有倉庫鏡像配置
- 拉取公網鏡像加速配置
- runtime網絡代理
- overlay2目錄占用過大
- 更改Docker的數據目錄
- Harbor
- 重置Harbor密碼
- 問題處理
- 關閉或開啟Harbor的認證
- 固定harbor的IP地址范圍
- ETCD
- ETCD擴縮容
- ETCD常用命令
- ETCD數據空間壓縮清理
- ingress
- ingress-nginx header配置
- kubernetes
- 驗證yaml合法性
- 切換KubeProxy模式
- 容器解析域名
- 刪除節點
- 修改鏡像倉庫
- 修改node名稱
- 升級k8s集群
- 切換容器運行時
- apiserver接口
- 其他
- 升級內核
- k8s組件性能分析
- ETCD
- calico
- calico健康檢查失敗
- Harbor
- harbor同步失敗
- Kubernetes
- 資源Terminating狀態
- 啟動容器報錯