深入了解Cilium多集群

最新推荐文章于 2024-08-07 09:30:06 发布
最新推荐文章于 2024-08-07 09:30:06 发布
阅读量829 收藏 3
点赞数 
 
 
640?wx_fmt=jpeg
 
 
 
  
作者:Cilium
译者:陆培尔
审校:孙海洲
原文链接:http://www.servicemesher.com/blog/envoy-feature-explain-outlier-detection/
 
 
 
 
本文是对ClusterMesh(Cilium的多集群实现)的深入研究。简而言之,ClusterMesh 提供:
 
 
 
  640?wx_fmt=png 
 
 
 
多集群功能以层为单位构建,您可以选择使用所有层,也可以仅选择和使用所需的层。
 
 
用例
 
 
在深入研究实现细节之前,让我们回顾一下连接多个Kubernetes集群的一些用例。
 
 
用例:高可用性
 
 
 
  640?wx_fmt=png 
 
 
 
对于大多数人来说,高可用性是最明显的用例。此用例包括在多个区域(regions)或可用区(availability zones)中运行Kubernetes集群,并在每个集群中运行相同服务的副本。一旦失败,请求可以故障转移到其他集群。此用例中涵盖的故障情形主要不是整个区域或故障域的完全不可用。更可能的情况是一个集群中资源暂时不可用或配置错误导致无法在一个集群中运行或扩展特定服务。
 
 
用例:共享服务
 
 
基于Kubernetes的平台的最初趋势是构建大型多租户Kubernetes集群。为每个租户构建单个集群或为不同类别的服务构建集群越来越普遍,例如, 不同级别的安全敏感度。
 
 
 
  640?wx_fmt=png 
 
 
 
但是,某些服务(如密钥管理,日志记录,监控或DNS)通常仍在所有集群之间共享。这避免了在每个租户集群中维护这些服务的操作开销。 
 
此模型的主要动机是租户集群之间的隔离,为了维持该目标,租户集群连接到共享服务集群但未连接到其他租户集群。
 
 
用例:拆分有状态和无状态服务
 
 
运行有状态或无状态服务的操作复杂性是非常不同的。无状态服务易于扩展,迁移和升级。完全使用无状态服务运行集群可使集群保持灵活和敏捷。从一个云提供商迁移到另一个云提供商非常简单。
 
 
有状态服务可能会引入潜在的复杂依赖链。迁移服务通常涉及存储迁移。
 
 
 
  640?wx_fmt=png 
 
 
 
为无状态和有状态分别运行独立的集群允许将依赖复杂性隔离到较少数量的集群,并使无状态集群依赖性保持自由。 
 
控制平面
 
 
要求
 
 
架构
 
 
控制平面基于etcd并尽可能保持简约:
 
 
 
  640?wx_fmt=png 
 
 
 
Pod IP 路由
 
 
pod IP路由是多集群能力的基础。它允许跨集群的pod通过其pod IP相互联系。Cilium可以在多种模式下运行以执行pod IP路由。所有这些模式都能够执行多集群pod IP路由。
 
 
隧道模式
 
 
 
  640?wx_fmt=png 
 
 
 
隧道模式将pod中发出的所有网络数据包封装在所谓的封包头中。封包头可以包含VXLAN或Geneve帧。然后通过标准UDP包头传输该封装帧。该概念类似于VPN隧道。
 
 
直接路由模式
 
 
 
  640?wx_fmt=png 
 
 
 
在直接路由模式中,所有网络数据包都直接路由到网络。这要求网络能够路由pod IP。可以使用多个选项实现跨节点传播pod IP路由信息:
 
 
当网络不再理解pod IP时,网络数据包地址需要伪装。
 
 
混合路由模式
 
 
混合路由模式允许在可用时使用直接路由,这通常在本地集群或同一VPC中的其他集群中,而当跨越VPC或云提供商时可以回退到隧道模式。这可以限制操作复杂性并且允许仅在需要时支付优化成本。
 
 
服务发现
 
 
Cilium的多集群模型的服务发现是使用标准的Kubernetes services 构建的,旨在对现有的Kubernetes应用程序部署完全透明:
 
 
apiVersion: v1   kind: Service   metadata:     name: rebel-base     annotations:       io.cilium/global-service: "true"   spec:     type: ClusterIP     ports:     - port: 80     selector:       name: rebel-base
   metadata:
     name: rebel-base
     annotations:
       io.cilium/global-service: "true"
   spec:
     type: ClusterIP
     ports:
     - port: 80
     selector:
       name: rebel-base
 
 
 
  640?wx_fmt=png 
 
 
 
frontend-1到ClusterIP 30.1.1.1的所有流量将自动负载均衡到集群1 的后端pod IP[10.0.0.1,10.0.0.2]以及集群2的后端pod IP[20.0.0.1,20.0.0.2]。每个集群将执行本地后端实例的运行状况检查,并在容器创建,销毁或变得不健康时通知其他集群。
 
 
透明加密
 
 
Cilium 1.4中引入的透明加密与多集群兼容。确保使用公共密钥配置所有集群中的所有节点,如此节点之间的所有通信都会自动加密。
 
 
 
  640?wx_fmt=png 
 
 
 
多集群的网络策略
 
 
简单版本是您从单个集群中熟悉的策略实施将简单地扩展并跨集群工作。由于策略是使用pod标签指定的,因此允许frontendbackend通信的策略将应用于集群流量,就像流量跨越集群一样。
 
 
Cilium不会跨集群自动传播NetworkPolicy或CiliumNetworkPolicy。用户有责任将策略导入所有集群。这是有意为之,因为这意味着每个集群都可以决定是否允许集群接收来自远程集群的通信或者发出到远程集群的通信。
 
 
允许特定集群的交叉路径
 
 
可以仅建立适用于特定集群中的pod的策略。集群名称由Cilium表示为每个pod上的标签,允许匹配的集群名称可以是endpointSelector或者是由toEndpointsfromEndpoints构造的matchLabels标签:
 
 
apiVersion: "cilium.io/v2"kind: CiliumNetworkPolicymetadata:  name: "allow-cross-cluster"  description: "Allow x-wing in cluster1 to contact rebel-base in cluster2"spec:  endpointSelector:    matchLabels:      name: x-wing      io.cilium.k8s.policy.cluster: cluster1  egress:  - toEndpoints:    - matchLabels:        name: rebel-base        io.cilium.k8s.policy.cluster: cluster2
metadata:
  name: "allow-cross-cluster"
  description: "Allow x-wing in cluster1 to contact rebel-base in cluster2"
spec:
  endpointSelector:
    matchLabels:
      name: x-wing
      io.cilium.k8s.policy.cluster: cluster1
  egress:
  - toEndpoints:
    - matchLabels:
        name: rebel-base
        io.cilium.k8s.policy.cluster: cluster2
 
 
上面的示例策略将允许cluster1中的x-wing与cluster2中的rebel-base对话。除非存在将通信列入白名单的附加策略,否则x-wing将无法与本地集群中的rebel-base通信。
 
 
与Istio多集群的关系
 
 
这两个项目都是独立的,但可以很好地相互补充。组合Cilium和Istio多集群的常用方法是使用Cilium的多集群Pod IP路由层来满足Istio多集群指南的以下要求:
 
 
 
  
每个集群中的所有pod CIDR必须可以相互路由。
 
 
 
 
此外,Cilium策略执行功能可用于保护与Istio控制平面之间的通信,以及通过不支持的协议(如UDP或IPV6)保护sidecar的旁路尝试,以及防止受损的sidecar代理。
 
 
还可以同时运行全局Istio服务和Cilium全局服务。所有Istio托管服务都可以获得Cilium的全局服务,因为它们可以像常规服务一样通过DNS发现。
 
 
准备开始
 
 
要开始使用,请按照手把手的ClusterMesh教程进行操作,该教程将指导您完成将集群连接在一起的过程。请务必加入我们的Slack频道,提出问题并展示您的设置。
 
 
 
  640?wx_fmt=png 
 
 
 
 推荐阅读 
 
 
Cilium架构设计与概念解析
 
 
使用Cilium增强Istio|通过Socket感知BPF程序
 
 
Cilium——具备API感知的网络和安全性管理软件
 
 
Cilium 1.4 发布,新功能一览
 
 
640?wx_fmt=jpeg
 
 
点击 阅读原文 查看更多
 
 

 


                

        

        

    

  


    

      

        

            

              
                
                  weixin_38754564
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
干货 | 携程 Cilium+BGP 云原生网络实践

				
			

			

				

					携程技术
				

				

					11-19
					
					3282
					
				

			

		

		

			
				
作者简介Arthur,Stephen,Jaff,Weir,几位均来自携程云平台基础设施和网络研发团队,目前专注于网络和云原生安全相关的开发。Cilium 是近两年最火的云原生网络方案之...

			
		

	



                

              
                



	

		

			

				
					
Cilium集群 ClusterMesh 介绍

				
			

			

				

					Maisuluo的博客
				

				

					05-12
					
					314
					
				

			

		

		

			
				
Cluster Mesh 是 Cilium 的多集群实现,可以帮助 Cilium 实现跨数据中心、跨 VPC 的多 Kubernetes 集群管理,ClusterMesh 主要有以下功能:

1.通过隧道或直接路由的方式,在多个 Kubernetes 集群间进行 Pod IP 路由,而无需任何网关或代理。
	2.使用标准 Kubernetes 服务发现机制。
	3.跨多个集群的网络策略。策略可以使用 Kubernetes 原生的 NetworkPolicy 资源或者扩展的 CiliumNetworkPoli

			
		

	



                


  
              

                


	

		

			

				
					
探索Cilium:新一代的网络、可观测性和安全性解决方案

					
最新发布

				
			

			

				

					gitblog_00630的博客
				

				

					08-07
					
					260
					
				

			

		

		

			
				
探索Cilium:新一代的网络、可观测性和安全性解决方案
 ciliumCilium 是一个开源的网络和存储编排工具,用于容器网络、负载均衡和网络安全。  * 用于容器网络、负载均衡和网络安全、支持多种编程语言和框架、容器网络。  * 有什么特点:支持多种编程语言和框架项目地址:https://gitcode.com/gh_mirrors/ci/cilium 
项目简介
Cilium是一个创新的开...

			
		

	





	

		

			

				
					
cilium系列之五: 配置外部可达的clusterip服务

				
			

			

				

					李炜伦的博客
				

				

					05-07
					
					1054
					
				

			

		

		

			
				
external-access-to-clusterip-services
cilium helm配置里面有一个bpf.lbExternalClusterIP的选项,官网里面只是简单提了
As per k8s Service, Cilium’s eBPF kube-proxy replacement by default disallows access to a ClusterIP service from outside the cluster. This can be allowed by setti

			
		

	



		

			
		



	

		

			

				
					
Cilium 1.7发布:Hubble UI、全集群网络策略、基于eBPF的Direct Server Return以及更多

				
			

			

				

					Docker的专栏
				

				

					02-20
					
					2235
					
				

			

		

		

			
				
在这里,我们要向大家高兴地宣布,Cilium 1.7版本正式发布了!在本轮更新周期当中,由141位开发者组成的项目社区共完成了1551项提交,而且很多朋友是第一次为Cilium项目提交贡...

			
		

	





	

		

			

				
					
深入理解Kubernetes集群架构与工作原理

				
			

			

				

					
				

			

		

		

			
				
Kubernetes(K8s)是一个开源的容器集群管理平台,由Google设计并捐赠给Cloud Native Computing Foundation(CNCF)管理。它的目标是消除部署、扩展和运维容器化应用程序的复杂性,实现容器化应用的自动化部署、扩展...

			
		

	





	

		

			

				
					
Cilium的网络加速秘诀.7z

				
			

			

				

					06-20
				

			

		

		

			
				
6. **性能监控与调试**:Cilium 提供丰富的监控和调试工具,如XDP(eXpress Data Path)探针和BPF Trace工具,帮助管理员深入了解网络行为,及时发现和解决问题。  综上所述,Cilium通过充分利用BPF技术,实现了网络...

			
		

	





	

		

			

				
					
cilium插件测试_[译] 基于 Envoy、Cilium 和 eBPF 实现透明的混沌测试(2019)

				
			

			

				

					weixin_42323064的博客
				

				

					01-14
					
					933
					
				

			

		

		

			
				
[译] 基于 Envoy、Cilium 和 eBPF 实现透明的混沌测试(2019)Published at 2019-06-02 | Last Update 2019-06-04译者序本文内容来自 2019 年的一个技术分享 Transparent Chaos Testing with Envoy, Ciliumand eBPF,演讲嘉宾是 Cilium 项目的创始人和核心开发者,演讲为英文。本...

			
		

	





	

		

			

				
					
虚拟网络之Kubernetes Cilium CNI 快速部署实操

				
			

			

				

					海渊_haiyuan的博客
				

				

					11-30
					
					2296
					
				

			

		

		

			
				
文章目录虚拟网络之Kubernetes Cilium CNI 快速部署实操前言卸载Flannel CNIInstall Cilium CNI
虚拟网络之Kubernetes Cilium CNI 快速部署实操
前言
在之前部署的kubernetes 集群,这里想把已部署的Flannel CNI 更换为 Cilium CNI,本篇记录下实操记录;
之前部署的记录见博客《记一次实操部署Kubernetes_v1.19.2》
卸载Flannel CNI
# 一般生产环境是不会这样操作的,因为一旦把 cni 卸载后

			
		

	





	

		

			

				
					
cilium-testings:使用Cilium进行调查和测试

				
			

			

				

					04-01
				

			

		

		

			
				
纤毛测试
目标
该项目旨在研究Cilium的工作方式,以及如何将其与Junos cRPD集成。
测试基础架构
测试基础结构是具有2 * 10 CPU / 256G内存的基本服务器,在该服务器上部署了一组虚拟机。
 使用ubuntu Focus进行基本节点配置
root@5b11s15:~# cat /etc/os-release 
NAME="Ubuntu"
VERSION="20.04.1 LTS (Focal Fossa)"
ID=ubuntu
通过快照安装多通道虚拟机实例化
apt install snapd -y
snap install multipass
启动3个Ubuntu VM
 multipass launch -n ubuntu1 --cpus 6 --mem 8G --disk 30G
multipass launch -n ubuntu2 --cpus 6 --me

			
		

	





	

		

			

				
					
Cilium 1.2发布—DNS安全性策略、EKS支持、ClusterMesh、kube-router集成等

				
			

			

				

					weixin_33695082的博客
				

				

					08-28
					
					490
					
				

			

		

		

			
				
本文转载自:www.servicemesher.com/blog/cilium…我们很高兴地宣布推出Cilium 1.2。该版本引入了几个新功能实现了Cilium用户和社区成员最迫切想要的功能。其中最吸引人的功能之一是引入基于DNS 名称的安全策略,目的是保护对集群外服务的访问。另一个最受关注的问题是加入了连接和保护多个Kubernetes集群的能力。我们将ClusterMesh功能进入Alpha...

			
		

	





	

		

			

				
					
使用Cilium增强Istio—通过Socket感知BPF程序

				
			

			

				

					Innocence_0的博客
				

				

					02-13
					
					480
					
				

			

		

		

			
				
使用Cilium增强Istio—通过Socket感知BPF程序

			
		

	





	

		

			

				
					
使用Calico、Flannel、Weave和Cilium的终极指南

				
			

			

				

					琦彦
				

				

					03-14
					
					6633
					
				

			

		

		

			
				
即使对于经验丰富的 Kubernetes 用户来说,Kubernetes 网络也可能是一个令人生畏的话题。在这篇文章中,我们将深入探讨可用于 Kubernetes 的最流行的容器网络解决方案。在深入研究每个网络解决方案的细节之前,我们将粗略地了解一下 Kubernetes 网络和容器网络接口 (CNI) 规范。我们将讨论为什么网络是一个复杂的问题,以及 CNI 规范如何允许在 Kubernetes 项目之外开发专门的解决方案。
一旦我们对 Kubernetes 网络和 CNI 规范有了很好的了解,我们将剖.

			
		

	





	

		

			

				
					
云原生网络利器--Cilium Service Mesh

				
			

			

				

					flynetcn的专栏
				

				

					08-23
					
					696
					
				

			

		

		

			
				
本篇技术文章主要从 Cilium 的技术视角出发,通过分析 Service Mesh 的相关技术,来了解一下基于 eBPF 技术的网络方案 Cilium,拥有怎样处理微服务治理的相关能力。

			
		

	





	

		

			

				
					
【谐云课堂】Cilium 流量治理功能与部署实践

				
			

			

				

					HarmonyCloud_的博客
				

				

					07-01
					
					667
					
				

			

		

		

			
				
本期课堂由谐云研发工程师叶元鹏作为讲师,带来《Cilium 流量治理功能概述及部署实践》分享,围绕Cilium进行了详细介绍,并对其组件、安装方式及路径功能等进行了深入讲解。01 Cilium 概述Cilium是一个具备API感知的网络和安全的开源软件,用于透明保护使用Docker和Kubernetes等Linux容器管理平台部署的应用程序服务之间的网络连接。Cilium的基础是一种称为BPF的新Linux内核技术,该技术可在Linux自身内部动态插入强大的安全可见性和控制逻辑。由于BPF在Linux内核中

			
		

	





	

		

			

				
					
Cilium 容器网络的落地实践

				
			

			

				

					Tommy Xiao
				

				

					10-28
					
					583
					
				

			

		

		

			
				
随着越来越多的企业采用 Kubernetes,围绕多云、安全、可见性和可扩展性等新要求,可编程数据平面的需求用例范围越来越广。此外,服务网格和无服务器等新技术对 Kubernetes 底层提出了更多的定制化要求。这些新需求都有一些共同点:它们需要一个更可编程的数据平面,能够在不牺牲性能的情况下执行 Kubernetes 感知的网络数据操作。
Cilium 项目通过引入扩展的伯克利数据包过滤器(eB...

			
		

	





	

		

			

				
					
K8S 生态周报| Google 选择 Cilium 作为 GKE 下一代数据面

				
			

			

				

					k8s 生态
				

				

					08-24
					
					373
					
				

			

		

		

			
				
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”Google 选择 Cilium 作为 GKE 网络的数...

			
		

	





	

		

			

				
					
Kubernetes集群搭建完全指南:基于Kubeadm

				
			

			

				

					
				

			

		

		

			
				
"Kubernetes集群搭建教程,基于Kubeadm,包括环境准备、Docker环境构建、Kubernetes组件安装及Master节点配置。"  在搭建Kubernetes集群时,使用Kubeadm作为工具可以简化部署过程。以下是根据标题和描述详细阐述的...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值