[TOC] ## What is Cilium? Cilium 是開源軟件，用于透明地保護使用 Docker 和 Kubernetes 等 Linux 容器管理平臺部署的應用程序服務之間的網絡連接。 Cilium 的基礎是一種名為 eBPF 的新 Linux 內核技術，它可以在 Linux 本身內動態插入強大的安全可見性和控制邏輯。 由于 eBPF 在 Linux 內核內部運行，因此可以應用和更新 Cilium 安全策略，而無需對應用程序代碼或容器配置進行任何更改。 ## What is Hubble? Hubble 是一個完全分布式網絡和安全可觀測平臺。 它構建在 Cilium 和 eBPF 之上，能夠以完全透明的方式深入了解服務的通信和行為以及網絡基礎設施。 通過構建在 Cilium 之上，Hubble 可以利用 eBPF 來提高可見性。 通過依賴 eBPF，所有可見性都是可編程的，并允許采用動態方法，最大限度地減少開銷，同時根據用戶的要求提供深入而詳細的可見性。 Hubble 的創建和專門設計就是為了充分利用這些新的 eBPF 能力。 ## Why Cilium & Hubble? eBPF 能夠以前所未有的粒度和效率對系統和應用程序進行可見性和控制。 它以完全透明的方式完成此操作，無需應用程序以任何方式進行更改。 eBPF 同樣能夠處理現代容器化工作負載以及更傳統的工作負載（例如虛擬機和標準 Linux 進程）。 現代數據中心應用程序的開發已轉向面向服務的架構（通常稱為微服務），其中大型應用程序被拆分為小型獨立服務，這些服務通過使用 HTTP 等輕量級協議的 API 相互通信。 微服務應用程序往往是高度動態的，隨著應用程序橫向擴展/收縮以適應負載變化以及作為持續交付的一部分部署的滾動更新期間，各個容器會啟動或銷毀。 這種向高度動態微服務的轉變對于確保微服務之間的連接既是挑戰也是機遇。 傳統的 Linux 網絡安全方法（例如 iptables）會根據 IP 地址和 TCP/UDP 端口進行過濾，但 IP 地址在動態微服務環境中經常發生變化。 容器的高度不穩定的生命周期導致這些方法難以與應用程序一起擴展，因為負載平衡表和訪問控制列表攜帶數十萬條規則，需要以不斷增長的頻率進行更新。 出于安全目的，協議端口（例如用于 HTTP 流量的 TCP 端口 80）不能再用于區分應用程序流量，因為該端口用于跨服務的各種消息。 另一個挑戰是提供準確可見性的能力，因為傳統系統使用 IP 地址作為主要識別工具，而在微服務架構中，其生命周期可能會大大縮短，僅為幾秒鐘。 通過利用 Linux eBPF，Cilium 保留了透明地插入安全可見性 + 強制執行的能力，但以基于服務/pod/容器身份（與傳統系統中的 IP 地址識別相反）的方式實現，并且可以根據應用程序進行過濾 層（例如 HTTP）。 因此，Cilium 不僅通過將安全性與尋址解耦，使得在高度動態的環境中應用安全策略變得簡單，而且除了提供傳統的第 3 層和第 4 層分段之外，還可以通過在 HTTP 層操作來提供更強的安全隔離 。 eBPF 的使用使 Cilium 能夠以高度可擴展的方式實現所有這一切，即使對于大規模環境也是如此。