Cilium基础架构

已于 2023-07-16 18:47:34 修改
阅读量396 收藏
点赞数
分类专栏: CNI 文章标签: kubernetes 容器 云原生
于 2023-07-16 01:27:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38299404/article/details/131746133
版权

Cilium作为一款Kubernetes CNI插件,从一开始就是为大规模和高度动态的容器环境而设计,并且带来了API级别感知的网络安全管理功能,通过使用基于Linux内核特性的新技术——BPF,提供了基于service/pod/container作为标识,而非传统的IP地址,来定义和加强容器和Pod之间网络层、应用层的安全策略。因此,Cilium不仅将安全控制与寻址解耦来简化在高度动态环境中应用安全性策略,而且提供传统网络第3层、4层隔离功能,以及基于http层上隔离控制,来提供更强的安全性隔离。

另外,由于BPF可以动态地插入控制Linux系统的程序,实现了强大的安全可视化功能,而且这些变化是不需要更新应用代码或重启应用服务本身就可以生效,因为BPF是运行在系统内核中的。

Cilium Architecture

在这里插入图片描述

Installation Using Kubespray

kubespray部署kubernetes(containerd + cilium)

root@node1:~# kubectl get node
NAME    STATUS   ROLES           AGE    VERSION
node1   Ready    control-plane   7d6h   v1.24.6
node2   Ready    control-plane   7d6h   v1.24.6
node3   Ready    <none>          7d6h   v1.24.6
root@node1:~# kubectl get pods -o wide -nkube-system | grep cilium
cilium-operator-f6648bc78-5qqn8   1/1     Running   109 (3h58m ago)   7d4h   192.168.64.10   node3   <none>           <none>
cilium-operator-f6648bc78-v44zf   1/1     Running   120               7d4h   192.168.64.9    node2   <none>           <none>
cilium-qwkkf                      1/1     Running   11 (3d4h ago)     7d4h   192.168.64.8    node1   <none>           <none>
cilium-s4rdr                      1/1     Running   5 (3d4h ago)      7d4h   192.168.64.10   node3   <none>           <none>
cilium-v2dnw                      1/1     Running   15 (3d4h ago)     7d4h   192.168.64.9    node2   <none>           <none>
root@node1:~# kubectl exec -it -n kube-system cilium-qwkkf -- cilium status --verbose
Defaulted container "cilium-agent" out of: cilium-agent, mount-cgroup (init), apply-sysctl-overwrites (init), clean-cilium-state (init)
KVStore:                Ok   etcd: 3/3 connected, lease-ID=797e89450e0683a2, lock lease-ID=3f888935025bf628, has-quorum=true: https://192.168.64.10:2379 - 3.5.4; https://192.168.64.8:2379 - 3.5.4 (Leader); https://192.168.64.9:2379 - 3.5.4
Kubernetes:             Ok   1.24 (v1.24.6) [linux/amd64]
Kubernetes APIs:        ["cilium/v2::CiliumClusterwideNetworkPolicy", "cilium/v2::CiliumNetworkPolicy", "core/v1::Namespace", "core/v1::Node", "core/v1::Pods", "core/v1::Service", "discovery/v1::EndpointSlice", "networking.k8s.io/v1::NetworkPolicy"]
KubeProxyReplacement:   Probe   [enp0s2 192.168.64.8]
Host firewall:          Disabled
CNI Chaining:           none
Cilium:                 Ok   1.12.1 (v1.12.1-4c9a630)
NodeMonitor:            Disabled
Cilium health daemon:   Ok   
IPAM:                   IPv4: 4/254 allocated from 10.233.64.0/24, 
Allocated addresses:
  10.233.64.220 (kube-system/coredns-665c4cc98d-l7mwz[restored])
  10.233.64.236 (health)
  10.233.64.54 (kube-system/dns-autoscaler-6567c8b74f-ql5bw[restored])
  10.233.64.93 (router)
BandwidthManager:       Disabled
Host Routing:           BPF
Masquerading:           BPF       [enp0s2]   10.233.64.0/24 [IPv4: Enabled, IPv6: Disabled]
Clock Source for BPF:   jiffies   [250 Hz]
Controller Status:      38/38 healthy
  Name                                          Last success    Last error      Count   Message
  bpf-map-sync-cilium_lxc                       2s ago          never           0       no error   
  cilium-health-ep                              24s ago         76h35m46s ago   0       no error   
  dns-garbage-collector-job                     30s ago         never           0       no error   
  endpoint-1304-regeneration-recovery           never           never           0       no error   
  endpoint-2383-regeneration-recovery           never           never           0       no error   
  endpoint-2712-regeneration-recovery           never           never           0       no error   
  endpoint-356-regeneration-recovery            never           never           0       no error   
  endpoint-gc                                   35s ago         never           0       no error   
  ipcache-bpf-garbage-collection                4m55s ago       never           0       no error   
  ipcache-inject-labels                         3h35m34s ago    76h39m23s ago   0       no error   
  k8s-heartbeat                                 7s ago          never           0       no error   
  kvstore-etcd-lock-session-renew               12h20m8s ago    never           0       no error   
  kvstore-etcd-session-renew                    never           never           0       no error   
  kvstore-locks-gc                              26s ago         never           0       no error   
  kvstore-sync-store-cilium/state/nodes/v1      30s ago         never           0       no error   
  metricsmap-bpf-prom-sync                      2s ago          never           0       no error   
  propagating local node change to kv-store     76h39m22s ago   never           0       no error   
  resolve-identity-1304                         2m16s ago       never           0       no error   
  restoring-ep-identity (2383)                  76h38m9s ago    never           0       no error   
  restoring-ep-identity (2712)                  76h38m10s ago   never           0       no error   
  restoring-ep-identity (356)                   76h38m9s ago    never           0       no error   
  sync-IPv4-identity-mapping (1304)             1m49s ago       never           0       no error   
  sync-IPv4-identity-mapping (2383)             4m45s ago       never           0       no error   
  sync-IPv4-identity-mapping (356)              4m46s ago       never           0       no error   
  sync-endpoints-and-host-ips                   22s ago         never           0       no error   
  sync-lb-maps-with-k8s-services                76h38m9s ago    never           0       no error   
  sync-node-with-ciliumnode (node1)             76h39m24s ago   never           0       no error   
  sync-policymap-1304                           34s ago         never           0       no error   
  sync-policymap-2383                           31s ago         never           0       no error   
  sync-policymap-2712                           30s ago         never           0       no error   
  sync-policymap-356                            30s ago         never           0       no error   
  sync-to-k8s-ciliumendpoint (1304)             11s ago         never           0       no error   
  sync-to-k8s-ciliumendpoint (2383)             9s ago          never           0       no error   
  sync-to-k8s-ciliumendpoint (2712)             10s ago         never           0       no error   
  sync-to-k8s-ciliumendpoint (356)              9s ago          never           0       no error   
  template-dir-watcher                          never           never           0       no error   
  waiting-initial-global-identities-ep (2383)   76h38m9s ago    never           0       no error   
  waiting-initial-global-identities-ep (356)    76h38m9s ago    never           0       no error   
Proxy Status:            OK, ip 10.233.64.93, 0 redirects active on ports 10000-20000
Global Identity Range:   min 256, max 65535
Hubble:                  Disabled
KubeProxyReplacement Details:
  Status:                 Probe
  Socket LB:              Enabled
  Socket LB Protocols:    TCP, UDP
  Devices:                enp0s2 192.168.64.8
  Mode:                   SNAT
  Backend Selection:      Random
  Session Affinity:       Enabled
  Graceful Termination:   Enabled
  NAT46/64 Support:       Disabled
  XDP Acceleration:       Disabled
  Services:
  - ClusterIP:      Enabled
  - NodePort:       Enabled (Range: 30000-32767) 
  - LoadBalancer:   Enabled 
  - externalIPs:    Enabled 
  - HostPort:       Enabled
BPF Maps:   dynamic sizing: on (ratio: 0.002500)
  Name                          Size
  Non-TCP connection tracking   262144
  TCP connection tracking       524288
  Endpoint policy               65535
  Events                        2
  IP cache                      512000
  IP masquerading agent         16384
  IPv4 fragmentation            8192
  IPv4 service                  65536
  IPv6 service                  65536
  IPv4 service backend          65536
  IPv6 service backend          65536
  IPv4 service reverse NAT      65536
  IPv6 service reverse NAT      65536
  Metrics                       1024
  NAT                           131072
  Neighbor table                131072
  Global policy                 16384
  Per endpoint policy           65536
  Session affinity              65536
  Signal                        2
  Sockmap                       65535
  Sock reverse NAT              65536
  Tunnel                        65536
Encryption:           Disabled
Cluster health:       3/3 reachable   (2023-07-15T16:56:09Z)
  Name                IP              Node        Endpoints
  node1 (localhost)   192.168.64.8    reachable   reachable
  node2               192.168.64.9    reachable   reachable
  node3               192.168.64.10   reachable   reachable

All In CNI

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

Cilium 控制平面

在这里插入图片描述

Cilium 数据平面

VxLAN Mode

在这里插入图片描述

ipvs/iptables (Legacy数据转发模式)

在这里插入图片描述

eBPF (BPF数据转发模式)

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

Native Routing Mode

在这里插入图片描述在这里插入图片描述

Cilium Operator

在这里插入图片描述cilium 的 operator是为了解决多集群互联问题的方案,使用前提是:

  • 所有集群中的Pod CIDR范围必须不冲突,需提前规划好;
  • 各集群的三层网络必须是互通的;
  • 开放cilium-etcd到其他集群的agent可访问,这里的etcd是cilium自己的;

Cilium Network Policy

L3 filtering (IP)

在这里插入图片描述

L4 filtering (Port)

在这里插入图片描述

L7 filtering (HTTP、Kafka)

在这里插入图片描述

Yuan_sr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【理解 Cilium 系列文章】(一) 初识 Cilium
云原生Serverless的专栏
08-28 3501
Knative 定期发布 Knative 最新资讯,汇集 云原生 & Serverless 技术最全内容,用户最佳落地实践。关注 Knative 趋势,更关注你落地实践中的遇到的困惑和问题。 ...
Cilium架构设计与概念解析
weixin_34198453的博客
11-11 1005
作者:宋净超本文来自:ServiceMesher 社区Cilium 要求 Linux kernel 版本在 4.8.0 以上,Cilium 官方建议 kernel 版本至少在 4.9.17 以上,高版本的 Ubuntu 发行版中 Linux 内核版本一般在 4.12 以上,如使用 CentOS7 需要升级内核才能运行 Cilium。KV 存储数据库用存储以下状态:策略身份,Label 列表 &lt...
Cilium架构:提供并透明地保护应用程序工作负载之间的网络连接和负载平衡
RToax
10-30 1066
本文档介绍了Cilium体系结构。它着重于记录用于实现Cilium数据路径的BPF数据路径挂钩,Cilium数据路径如何与容器编排层集成以及在层之间共享的对象(例如BPF数据路径和Cilium代理)。 数据路径 Linux内核在网络堆栈中支持一组BPF挂钩,可用于运行BPF程序。Cilium数据路径使用这些挂钩来加载BPF程序,这些程序一起使用时会创建更高级别的网络结构。 以下是Cilium使用的钩子的列表和简要说明。有关每个挂钩的详细信息,请参阅《BPF和XDP参考指南》。 XDP:X...
kubernetes/k8s概念】Cilium架构与概念
zhonglinzhang
07-14 9303
Cilium着重强调了其在网络安全上的优势,可以透明的对Kubernetes容器管理平台上的应用程序服务之间的网络连接进行安全防护。 Cilium在设计和实现上,基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全性、可见性和网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。 1. Cilium 架构 ...
Cilium 多集群 ClusterMesh 介绍
cr7258的博客
05-11 1498
Cluster Mesh 是 Cilium 的多集群实现,可以帮助 Cilium 实现跨数据中心、跨 VPC 的多 Kubernetes 集群管理,ClusterMesh 主要有以下功能: 1.通过隧道或直接路由的方式,在多个 Kubernetes 集群间进行 Pod IP 路由,而无需任何网关或代理。 2.使用标准 Kubernetes 服务发现机制。 3.跨多个集群的网络策略。策略可以使用 Kubernetes 原生的 NetworkPolicy 资源或者扩展的 CiliumNetworkPolicy
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 9643
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
kind-cilium-tutorial
04-02
带有cilium cni插件的同类HA K8s集群。预先要求码头工人转到1.11+准备安装: $ GO111MODULE= " on " go get sigs.k8s.io/kind@v0.10.0 安装 : $ curl -LO " https://dl.k8s.io/release/ $( curl -L -s ...
extra-cilium-metrics:Prometheus格式的额外Cilium指标的导出器
04-14
Prometheus格式的额外Cilium指标的导出器。 extra-cilium-metrics的目的是提供未提供的额外cilium指标。 我们根据其对我们的有用性来挑选额外的指标。 它们的数据由Cilium API提供,但未作为Prometheus指标公开。 ...
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
Cilium 出现之前, Service 由 kube-proxy 来实现,实现方式有 userspace,iptables,ipvs 三种模式。 Cilium 是基于 eBpf 的一种开源网络实现,通过在 Linux 内核动态插入强大的安全性、可见性和网络控制逻辑,...
cilium.tgz
12-04
cilium.tgz
cilium-testings:使用Cilium进行调查和测试
04-01
纤毛测试 目标 该项目旨在研究Cilium的工作方式,以及如何将其与Junos cRPD集成。 测试基础架构 测试基础结构是具有2 * 10 CPU / 256G内存的基本服务器,在该服务器上部署了一组虚拟机。 使用ubuntu Focus进行基本节点配置 root@5b11s15:~# cat /etc/os-release NAME="Ubuntu" VERSION="20.04.1 LTS (Focal Fossa)" ID=ubuntu 通过快照安装多通道虚拟机实例化 apt install snapd -y snap install multipass 启动3个Ubuntu VM multipass launch -n ubuntu1 --cpus 6 --mem 8G --disk 30G multipass launch -n ubuntu2 --cpus 6 --me
Cilium系列-1-Cilium特色 功能及适用场景
east4ming的博客
07-20 388
Cilium 是一个开源的云原生解决方案,用于提供、保护(安全功能)和观察(监控功能)工作负载之间的网络连接,由革命性的内核技术eBPF提供动力。Cilium 主要使用场景是在 Kubernetes中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
Cilium & Hubble
喝醉酒的小白
07-17 1534
Cilium在第3/4层运行,以提供传统的网络和安全服务,还在第7层运行,以保护现代应用协议(如HTTP,gRPC和Kafka)的使用。Hubble是建立在Cilium和eBPF之上,以一种完全透明的方式,提供网络基础设施通信以及应用行为的深度可视化,是一个应用于云原生工作负载,完全分布式的网络和安全可观察性平台。Cilium是一个用于容器网络领域的开源项目,主要是面向容器而使用,用于提供并透明地保护应用程序工作负载(如应用程序容器或进程)之间的网络连接和负载均衡。.........
Cilium——具备API感知的网络和安全性管理软件
GJ_ia的博客
01-09 262
能够保护现代应用程序协议,如REST/HTTP、gRPC和Kafka。传统防火墙在第3层和第4层运行,在特定端口上运行的协议要么完全受信任,要么完全被阻止。允许所有带有方法GET和路径/public/.*的HTTP请求。拒绝所有其他请求。* 允许service1在Kafka topic上生成topic1service2消费topic1。拒绝所有其他Kafka消息。* 要求HTTP标头出现在所有REST调用中。详情请参考7层协议。
Cilium CNI深度指南
最新发布
残星说梦话
02-08 1664
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。然而,这样的限制增加了复杂性和处理成本。我们的长期目标包括为pod提供一种机制来选择对等身份验证,支持可插拔的证书管理系统(如SPIFFE、Vault、SMI、Istio、cert-manager等),提供可配置的证书粒度,以及利用现有的对数据平面的加密协议支持。
体验新时代的CNI--cilium
qq_40406649的博客
01-21 1084
本文将介绍笔者体验cilium的过程Cilium 的基础是一种新的 Linux 内核技术,称为 eBPF,它支持将强大的安全性、可见性和网络控制逻辑动态插入到 Linux 内核中。eBPF 用于提供高性能网络、多集群和多云能力、高级负载均衡、透明加密、广泛的网络安全功能、透明的可观测性等等。
Cilium 开源 Tetragon – 基于 eBPF 的安全可观测性 & 运行时增强
云原生实验室
05-18 1033
❝原文链接????:https://isovalent.com/blog/post/2022-05-16-tetragon译文原文链接????:https://icloudnative.io/posts/tetragon/ 请复制到浏览器打开译者:米开朗基杨、范彬Isovalent Cilium 企业版[1] 包含一个基于 eBPF 的实时安全可观测性和运行时增强(runtime e...
logging 详解第三期:Logging 不为人知的二三事
qq_39967751的博客
04-26 400
我们在之前的两篇文章中介绍了配置 Logging 的流程,然而除此之外,Logging 还有一些高级用法,如果不了解的话,可能会产生意想不到的 Bug。 今天的文章,我们就来详细解析一下这些高级用法。 OpenMMLab:logging 详解第一期:是谁偷偷动了我的 logger​zhuanlan.zhihu.com/p/481383590?utm_source=zhihu&utm_medium=social&utm_oi=889589031917219840正在上传…重新上传取消 Op
Cilium网络概述
Docker的专栏
08-12 4365
K8s已经成为一线大厂分布式平台的标配技术。你是不是还在惆怅怎么掌握它?来这里,大型互联网公司一线工程师亲授,不来虚的,直接上手实战,3天时间带你搭建K8s平台,快速学会K8s,点击下方...
cilium插件测试_Cilium使用 (Cilium 3)
06-02
您好!感谢您对Cilium的关注。那我就简单介绍一下如何使用Cilium插件进行测试。 Cilium插件是一个基于Kubernetes网络策略的测试框架,可以帮助您测试Cilium网络功能是否正常。以下是使用Cilium插件进行测试的步骤: 1. 安装Cilium插件 您可以通过以下命令安装Cilium插件: ``` kubectl apply -f https://raw.githubusercontent.com/cilium/cilium/v1.9/install/kubernetes/quick-install.yaml ``` 2. 创建测试资源 您需要创建一些测试资源,例如Pod、Service等,以便测试Cilium网络功能是否正常。 3. 运行测试 运行以下命令以运行测试: ``` cilium test ``` 该命令会运行一系列测试,以确保Cilium网络功能正常。您可以通过以下命令查看测试结果: ``` cilium test --output=json | jq . ``` 以上就是使用Cilium插件进行测试的步骤。希望对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值