Cilium架构简介&eBPF数据流向查看

最新推荐文章于 2023-12-22 09:44:33 发布
最新推荐文章于 2023-12-22 09:44:33 发布
阅读量798 收藏
点赞数
文章标签: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buppt/article/details/130397678
版权

03aaf42c66099c5f9a5f5c447c1bdf99.gif

1

环境准备

上一篇文章将 k8s 的网络插件改为 cilium 同时部署了观测平台 hubble,部署方式可参考上篇。

基于eBPF的k8s网络插件Cilium部署与流量治理浅尝

本篇讲一下 cilium 的架构和数据流向的查看方式。首先,你需要一个kubernetes集群,并使用了 cilium 网络插件。

8716686366d1da5773a2643f528a3da1.jpeg

部署后可以看到,每个节点上都启动了一个cilium pod,还有一个cilium-operator,进到 cilium pod里,你可以使用 cilium cli工具。

2

cilium架构

Cilium的架构图如下所示。

afbfbc47d2c0cb3549d77181c5f7364f.jpeg

Cilium Agent:以 DaemonSet 的方式运行在所有的节点上,负责 eBPF 程序的编辑和挂载,eBPF程序所需要的全局 Maps 的初始化和维护以及 Pod 相关 Maps 的创建和维护,同时负责 iptables 的初始化和维护。

Cilium Operator:负责 IPAM 的相关工作,主要是给主机节点分配 CIDR,给 Pod 分配 ip 地址由主机上的 Cilium Agent 来完成。

Cilium Cli:用来和本地的 Cilium Agent 通信,提供操作 Cilium 的能力。

3

数据流向查看

下面我们使用 cilium cli 工具查看一下数据是如何从 192.168.249.10 发送到192.168.249.12 上的 pod 10.0.0.23 里面的。

3a91cc8bcf28706c7434b2b956cff1ac.jpeg

我们使用cilium map命令,查看192.168.249.10 上的 cilium_ipcache,可以看到在 ebpf 的 map 中记录了,数据发送到 10.0.0.23/32,可以通过endpoint 是 192.168.249.12 的隧道发送。

d062c462d17ef481589397108f65ed43.jpeg

然后查看 192.168.249.12 上的 cilium_ipcache,可以看到,发送给 10.0.0.23/32 时经过的隧道 endpoint 是 0.0.0.0,说明这个 pod 在本节点上面。

3fe8cf026de1e61c158fd7d0db2ff3cb.jpeg

继续查看 192.168.249.12 上的  cilium_lxc,可以看到 10.0.0.23 的 mac 地址是 5A:xx,对应 node 上 lxc 的 mac 地址是 46:xx。

f47d2d6ef387632839515a511271e071.jpeg

我们查看192.168.249.12上面的网络设备,可以看到 mac 地址为 46:xx 的 lxc 设备,该设备对端是 if9,也就是 pod 中的网卡设备,mac 地址应该是上面图中显示的 5A:xx。

9531046d92e13f7774c8bf219174c6ce.jpeg

这样,数据包就通过 eBPF 程序,从192.168.249.10 设备上发送到192.168.249.12 上的 pod 10.0.0.23 内部了。

e513e1f20bba88ea342edf2284b90719.jpeg

点个赞

a1403f471f95268e3b146a623459ee92.gif

再走吧

buppt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
基于eBPF的k8s网络插件Cilium部署与流量治理浅尝
11-13 1657
1环境准备基于 ebpf的kubernetes 的 CNI 插件 cilium 最近的关注度也越来越高,并且有配套的可观测平台hubble,为流量治理、可视化追踪有很大帮助,本文先将k8s的网络插件改为 cilium 并将 hubble 进行部署使用,具体原理请期待下篇。Cilium 要求 Linux kernel 版本在 4.8.0 以上,Cilium 官方建议 kernel 版本至少在 ...
倍受关注的 Cilium Service Mesh 到底怎么玩? - 上手实践
weixin_64314555的博客
12-21 784
Cilium 是一个基于 eBPF 技术,用于为容器工作负载间提供安全且具备可观测性的网络连接的开源软件。 最近Cilium v1.11.0 正式发布了,增加 Open Telemetry 的支持以及其他一些增强特性。同时,也宣布了 Cilium Service Mesh 的计划。当前 Cilium Service Mesh 正处于测试阶段,预期在 2022 年会合并到 Cilium v1.12 版本中。 Cilium Service Mesh 也带来了一个全新的模式。 Cilium 直接通过 ...
cilium:基于eBPF的网络,安全性和可观察性
02-02
cilium:基于eBPF的网络,安全性和可观察性
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
eBPF 是 extended BPF 的简称,eBPF 起源于BPF,它提供了内核的数据包过滤机制,其扩充了 BPF 的功能,丰富了指令集。 在 Cilium 出现之前, Service 由 kube-proxy 来实现,实现方式有 userspace,iptables,ipvs 三种模式。 Cilium 是基于 eBpf 的一种开源网络实现,通过在 Linux 内核动态插入强大的安全性、可见性和网络控制逻辑,提供网络互通,服务负载均衡,安全和可观测性等解决方案。简单来说可以理解为 Kube-proxy + CNI 网络实现。Cilium 位于容器编排系统和Linux Kernel 之间,向上可以通过编排平台为容器进行网络以及相应的安全配置,向下可以通过在 Linux 内核挂载 eBPF 程序,来控制容器网络的转发行为以及安全策略执行。
Cilium是基于eBPF的网络,安全性和可观察性-Python开发
05-25
Cilium是开源软件,用于提供和透明地保护应用程序工作负载(例如应用程序容器或进程)之间的网络连接和负载平衡。 Cilium是开源软件,用于提供和透明地保护应用程序工作负载(例如应用程序容器或进程)之间的网络连接和负载平衡。 Cilium在第3/4层运行以提供传统的网络和安全服务,在第7层运行以保护和保护HTTP,gRPC和Kafka等现代应用程序协议的使用。 Cilium已集成到常见的业务流程框架中,例如Kubernetes和Mesos。 一个新Linux内核技术调用
cilium ebpf开发框架容器镜像
12-19
cilium ebpf开发框架容器镜像
ebpf:用于Go的eBPF
02-03
eBPF eBPF是一个纯Go库,提供用于加载,编译和调试eBPF程序的实用程序。 它具有最小的外部依赖性,适合在长时间运行的进程中使用。 包含一个基本的汇编器 允许将eBPF附加到各种挂钩 允许读取PERF_EVENT_ARRAY 允许将eBPF嵌入Go 该库由和维护。 随时Slack上的频道。 当前状态 该软件包已准备好投入生产,但该API现在明显不稳定。 如果您想继续,请期待更新您的代码。 要求 的Go版本 Linux 4.9、4.19或5.4(介于两者之间的版本应该可以使用,但未经测试) 有用的资源 (推荐) (推荐) 执照 麻省理工学院
Cilium 1.7发布:Hubble UI、全集群网络策略、基于eBPF的Direct Server Return以及更多
Docker的专栏
02-20 2082
在这里,我们要向大家高兴地宣布,Cilium 1.7版本正式发布了!在本轮更新周期当中,由141位开发者组成的项目社区共完成了1551项提交,而且很多朋友是第一次为Cilium项目提交贡...
深入理解 CiliumeBPF 收发包路径(datapath)
Ryankoko的博客
10-18 112
本文翻译DigitalOcean 的工程师 Nate Sweet 在 KubeCon 的一篇分享。
Cilium eBPF 搭建与使用
barryX的技术笔记
03-23 1828
介绍搭建Cilium eBPF环境,并基于此环境创建一个监听open系统调用,获取filename的eBPF程序
Cilium、BPF(Berkeley Packet Filter)和 eBPF(extended BPF)
喝醉酒的小白
06-17 218
在 Linux 系统中,BPF 已成为重要的技术基础,例如在 eBPF(extended BPF)的扩展下,使 BPF 在更多领域发挥作用,如系统调用追踪、动态追踪和网络功能虚拟化等。eBPF 扩展了 BPF 的指令集和功能,使其能够在内核中执行更复杂的操作,包括系统调用追踪、动态追踪、安全审计、网络功能虚拟化等。总之,BPF 是一项功能强大的技术,通过在内核中执行用户定义的程序,实现高效的网络数据包处理和分析。BPF 是一种强大的网络包过滤和处理技术,可以在内核层面进行高效的网络数据包处理。
[译]Cilium:BPF和XDP参考指南,一同认识eBPF【概念篇】
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
05-03 2078
当你真正认识一门科学时,你才会感受到它的魅力。 eBPF技术已经不再小众。从Linux3.18的初次亮相,现在的生态算得上是“内核关联技术”里的翘楚。其中代表性的有BCC、libbpf、cilium、Katran等等,被广泛用于解决不同的问题。 虽然用起来不难,但想系统性的掌握却并非件易事。其中,Cilium官方文档中的BPF and XDP Reference Guide是一份好资料。于是,就有了译文的想法,愿一同在技术层面再认识eBPF。 转译过程中有参考其他资料,亦有基于个人认知补充的背景知识。主
Cilium 系列-3-Cilium 的基本组件和重要概念
east4ming的博客
07-24 221
安装完了,我们看看 Cilium 有哪些组件和重要概念。本文趁热打铁介绍了 Cilium 的基本组件和重要概念。为我们后续 Cilium 的深入使用做好铺垫。💪三人行, 必有我师;知识共享, 天下为公.本文由东风微鸣技术博客编写.
最受关注的 Cilium Service Mesh 到底怎么玩? - 上手实践
k8s 生态
12-21 464
大家好,我是张晋涛。Cilium 是一个基于 eBPF 技术,用于为容器工作负载间提供安全且具备可观测性的网络连接的开源软件。如果你对 Cilium 还不太了解,可以参考我之前的两篇文章:...
深入理解 CiliumeBPF 收发包路径
flynetcn的专栏
04-16 890
译者序 本文翻译自 2019 年 DigitalOcean 的工程师 Nate Sweet 在 KubeCon 的一篇分享: Understanding (and Troubleshooting) the eBPF Datapath in Cilium 。 由于译者水平有限,本文不免存在遗漏或错误之处。如有疑问,请查阅原文。 1 为什么要关注 eBPF? 1.1 网络成为瓶颈 大家已经知道网络成为瓶颈,但我是从下面这个角度考虑的:近些年业界使用网络的方式 ,使其成为瓶颈(it is the .
cilium原理之ebpf尾调用与trace
最新发布
12-22 1089
为了选择要跳转到哪个程序,尾调用使用了程序数组map( BPF_MAP_TYPE_PROG_ARRAY),将map及其索引(index)传递给将要跳转到的程序。但如果给定的map索引中没有程序(无法跳转),执行会继续在原来的程序中执行。官方代码很清晰,需要注意的是:定义函数时,__section_tail(BPF_JMP_MAP_ID, 0)使用的是BPF_JMP_MAP_ID;特殊在于,由于函数的调用是由map来保存的,可以使用TC更新map对应的函数为新的函数,实现ebpf程序的局部更新。
【K8S系列】深入解析k8s网络插件—Cilium
热门推荐
颜淡慕潇
09-02 3万+
总结起来,Cilium是一个强大的Kubernetes网络插件,通过eBPF技术提供高性能和高级的网络功能。 尽管它可能具有一定的学习曲线和复杂性,但对于需要高性能和安全性的组织来说,它是一个有价值的选择。 通过了解其概念、优缺点、实现原理、使用场景、使用方法以及解决常见问题的方法,可以更好地利用Cilium来管理和保护Kubernetes集群中的网络通信。
Cilium核心技术-eBPF XDP&TC介绍
weixin_38299404的博客
07-16 1004
eBPF 是一项革命性技术,它能在内核中运行沙箱程序(sandbox programs), 而无需修改内核源码或者加载内核模块。eBPF的一个重要特性是能够使用高级语言(如C)来实现程序。LLVM有一个eBPF后端,用于编辑包含eBPF指令的ELF文件,前端(如clang)可以用于生成程序。在一个后端转换为字节码后,使用bpf()系统调用加载bpf程序,并校验安全性。
最强 CNI 基准测试:Cilium 网络性能分析
云原生实验室
05-23 649
作者:Thomas Graf译者:罗煜、张亮,均来自 KubeSphere 团队Thomas Graf 是 Cilium 的联合创始人,同时也是 Cilium 母公司 Isovalent[...
cilium插件测试_Cilium使用 (Cilium 3)
06-02
您好!感谢您对Cilium的关注。那我就简单介绍一下如何使用Cilium插件进行测试。 Cilium插件是一个基于Kubernetes网络策略的测试框架,可以帮助您测试Cilium网络功能是否正常。以下是使用Cilium插件进行测试的步骤: 1. 安装Cilium插件 您可以通过以下命令安装Cilium插件: ``` kubectl apply -f https://raw.githubusercontent.com/cilium/cilium/v1.9/install/kubernetes/quick-install.yaml ``` 2. 创建测试资源 您需要创建一些测试资源,例如Pod、Service等,以便测试Cilium网络功能是否正常。 3. 运行测试 运行以下命令以运行测试: ``` cilium test ``` 该命令会运行一系列测试,以确保Cilium网络功能正常。您可以通过以下命令查看测试结果: ``` cilium test --output=json | jq . ``` 以上就是使用Cilium插件进行测试的步骤。希望对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值