cilium插件测试_通过CNI Chaining 为k8s 插上Cilium翅膀

最新推荐文章于 2024-07-15 13:04:44 发布
最新推荐文章于 2024-07-15 13:04:44 发布
阅读量236 收藏
点赞数
文章标签: cilium插件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39585761/article/details/112937697
版权
本文介绍了Cilium,一个基于eBPF和XDP的高性能容器网络方案,以及如何通过CNI Chaining将Cilium与AWS-CNI结合使用,实现在保持ENI高性能网络的同时,利用Cilium的高级功能如负载均衡和可观察性。详细步骤包括安装Cilium、配置CNI Chaining以及部署和验证连通性测试。
摘要由CSDN通过智能技术生成

在介绍CNI Chaining之前,我们先简单介绍一下Cilium。要说现在最火的容器网络,莫过于Cilium了。Cilium 是一个基于 eBPF 和 XDP 的高性能容器网络方案,代码开源在https://github.com/cilium/cilium。其主要功能特性包括安全上,支持 L3/L4/L7 安全策略,这些策略按照使用方法又可以分为基于身份的安全策略(security identity)

基于 CIDR 的安全策略

基于标签的安全策略

网络上,支持三层平面网络(flat layer 3 network),如覆盖网络(Overlay),包括 VXLAN 和 Geneve 等

Linux 路由网络,包括原生的 Linux 路由和云服务商的高级网络路由等

提供基于 BPF 的负载均衡

提供便利的监控和排错能力

此外最新版本的Cilium已经包含了Kube-proxy的功能。

CNI Chaining

今天我们试想一种场景:你的集群运行在公有云上,整个k8s的网络模型已经使用了公有云提供的ENI弹性网络,比如aws的aws-cni和阿里云的terway。ENI带给我们诸多好处,高性能,拉平了Pod网络。

但是我们却希望使用Cilium带来的高性能负载均衡和可观察性。

于是今天的主角CNI Chaining出场了。

CNI Chaining允许将Cilium与其他CNI插件结合使用。

通过Cilium CNI Chaining,基本网络连接和IP地址管理由非Cilium CNI插件管理,但是Cilium将BPF程序附加到由非Cilium插件创建的网络设备上,以提供L3/L4/L7网络可见性和策略强制执行和其他高级功能,例如透明加密。

目前Cilium支持与以下网络模型配合使用:

今天我们主要测试AWS-CNI。

Cilium与AWS eni

接下来主要介绍如何与aws-cni结合设置Cilium。在这种混合模式下,aws-cni插件负责通过ENI设置虚拟网络设备以及地址分配(IPAM)。安装程序中,调用Cilium CNI插件将BPF程序附加到aws-cni设置的网络设备上,以实施网络策略,执行负载平衡和加密。

关于EKS集群部署,本文不涉及。大家可以参考相关文档。

安装成功后,执行kubectl get nodes可以类似如下输出:

NAME STATUS ROLES AGE VERSION

ip-172-xx-56-151.ap-southeast-1.compute.internal Ready 10m v1.15.11-eks-af3caf

ip-172-xx-94-192.ap-southeast-1.compute.internal Ready 10m v1.15.11-eks-af3caf

部署helm3

执行

curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/master/scripts/get-helm-3

chmod 700 get_helm.sh

./get_helm.sh

看到如下输出,表明安装成功:

Helm v3.2.0 is available. Changing from version .

Downloading https://get.helm.sh/helm-v3.2.0-linux-amd64.tar.gz

Preparing to install helm into /usr/local/bin

helm installed into /usr/local/bin/helm

安装Cilium

增加Cilium helm repo:

helm repo add cilium https://helm.cilium.io/

通过Helm部署Cilium:

helm install cilium cilium/cilium --version 1.7.3 \

--namespace kube-system \

--set global.cni.chainingMode=aws-cni \

--set global.masquerade=false \

--set global.tunnel=disabled \

--set global.nodeinit.enabled=true

这将启用与aws-cni插件的chaining,也将禁用隧道。由于ENI IP地址可以直接在您的VPC中路由,因此不需要隧道,也可以出于相同原因禁用伪装。

看到如下类似输出,表明安装成功:

NAME: cilium

LAST DEPLOYED: Thu Apr 30 17:56:11 2020

NAMESPACE: kube-system

STATUS: deployed

REVISION: 1

TEST SUITE: None

NOTES:

You have successfully installed Cilium.

Your release version is 1.7.3.

For any further help, visit https://docs.cilium.io/en/v1.7/gettinghelp

重启已经部署的Pod

新的CNIchaining配置将不适用于群集中已在运行的任何Pod。现有Pod将可以访问,Cilium将对其进行负载平衡,但策略实施将不适用于

最低0.47元/天 解锁文章
weixin_39585761
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s系列04-kubeadm部署cilium网络的k8s集群
tinychen
05-24 1724
本文主要在centos7系统上基于docker和cilium组件部署v1.23.6版本的k8s原生集群,由于集群主要用于自己平时学习和测试使用,加上资源有限,暂不涉及高可用部署。 此前写的一些关于k8s基础知识和集群搭建的一些方案,有需要的同学可以看一下。 1、准备工作 1.1 cilium-集群节点信息 机器均为8C8G的虚拟机,硬盘为100G。 IP Hostname 10.31.188.1 tiny-cilium-master-188-1.k8s.tcinternal 10.31.
群集服务验证失败_在NSX-T 3.0 VDS上部署vSphere 7 with kubernetes和Tanzu群集
weixin_39984105的博客
11-21 719
作者:Akide Liu behalf of LLYCLOUD ITSC首发地址:手把手教程 -- 在NSX-T 3.0 VDS上部署vSphere 7 with kubernetes和Tanzu群集​vmv.re在NSX-T 3.0 VDS上安装带有Kubernetes的Tanzu vSphere 7第1部分:概述,设计,网络拓扑,使用的硬件{% note success %}欢迎关注LLYCL...
K8S上部署Cilium组件,看这一篇干货就够了
最新发布
gjjumin的专栏
07-15 797
本文介绍在Kubernetes集群上部署Cilium的步骤,简单介绍了Cilium的运行状态,高级特性。
K8S学习指南(32)-k8s网络插件cilium
俞兆鹏的博客
12-22 1034
通过本文,我们深入了解了Kubernetes网络插件Cilium的特点、优势和劣势,并通过详细的示例演示了如何在Kubernetes集群中安装和配置Cilium。随着Kubernetes在容器编排领域的广泛应用,网络插件的选择对集群的性能、安全性和可管理性有着重要的影响。本文将深入研究Cilium的特点、优势、劣势,并通过详细的示例演示在Kubernetes集群中使用Cilium进行网络管理的过程。通过eBPF,Cilium能够在数据包经过内核网络栈的不同阶段注入自定义的逻辑,实现更高效的网络过滤和管理。
K8S系列】深入解析k8s网络插件Cilium
热门推荐
颜淡慕潇
09-02 3万+
总结起来,Cilium是一个强大的Kubernetes网络插件,通过eBPF技术提供高性能和高级的网络功能。 尽管它可能具有一定的学习曲线和复杂性,但对于需要高性能和安全性的组织来说,它是一个有价值的选择。 通过了解其概念、优缺点、实现原理、使用场景、使用方法以及解决常见问题的方法,可以更好地利用Cilium来管理和保护Kubernetes集群中的网络通信。
K8s 最强 CNI Cilium 网络故障排查指南
云原生实验室
12-16 950
❝本文转自掘金,原文:https://juejin.cn/post/7176184210284085285,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang我是 LEE,老李,一个在 IT 行业摸爬滚打 16 年的技术老兵。事件背景最近不少 k8s 底层网络模块都从 kubenet 升级到了 ciliumcilium 还是相对比较易用的,就是运维、监控和报警方...
cilium插件测试_Cilium使用 (Cilium 3)
weixin_35959421的博客
01-17 790
使用k3s测试Cilium,安装步骤可以参见官方文档Cilium安装使用docker安装使用如下命令安装最新版本的dockeryum install -y yum-utils \device-mapper-persistent-data \lvm2yum-config-manager \--add-repo \https://download.docker.com/linux/centos/doc...
cilium插件测试_Cilium Network Policy
weixin_29455479的博客
01-14 783
一、第三层配置示例1. 基于Label的策略使用busybox启动三个pod:box-a,box-b,box-c,测试a->b,c->b联通性入口策略配置基于label的策略:只允许a->bapiVersion: "cilium.io/v2"kind: CiliumNetworkPolicymetadata:name: "a-to-b-allow"spec:endpointSel...
cilium插件测试_[译] 基于 Envoy、Cilium 和 eBPF 实现透明的混沌测试(2019)
weixin_42323064的博客
01-14 899
[译] 基于 Envoy、Cilium 和 eBPF 实现透明的混沌测试(2019)Published at 2019-06-02 | Last Update 2019-06-04译者序本文内容来自 2019 年的一个技术分享 Transparent Chaos Testing with Envoy, Ciliumand eBPF,演讲嘉宾是 Cilium 项目的创始人和核心开发者,演讲为英文。本...
K8S 生态周报| Cilium v1.10.0 有史以来性能最优
k8s 生态
05-25 401
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”KIND v0.11.0 正式发布KIND (Kubern...
使用 CiliumK8s 数据平面提供强大的带宽管理功能
云原生实验室
10-31 1463
❝本文转自赵亚楠的博客,原文:https://arthurchiao.art/blog/better-bandwidth-management-with-ebpf-zh/,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang本文翻译自 KubeCon+CloudNativeCon Europe 2022 的一篇分享:Better Bandwidth Managemen...
基于eBPF的k8s网络插件Cilium部署与流量治理浅尝
11-13 1751
1环境准备基于 ebpf的kubernetes 的 CNI 插件 cilium 最近的关注度也越来越高,并且有配套的可观测平台hubble,为流量治理、可视化追踪有很大帮助,本文先将k8s的网络插件改为 cilium 并将 hubble 进行部署使用,具体原理请期待下篇。Cilium 要求 Linux kernel 版本在 4.8.0 以上,Cilium 官方建议 kernel 版本至少在 ...
【kubernetes/k8s概念】Cilium架构与概念
zhonglinzhang
07-14 9360
Cilium着重强调了其在网络安全上的优势,可以透明的对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。 Cilium在设计和实现上,基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全性、可见性和网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。 1. Cilium 架构 ...
K8S 生态周报| Cilium 新版本发布默认开启 ICMP 策略防护
k8s 生态
07-11 241
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。你有没有考虑过,也许作为工程师,我们的设备可以更简单?最近两周我进行了一些不开电脑的尝试。尤其是本周,我的大多数工作都是用 iPad 完成的。具体而言,在写代码和测试方面,我使用了 GitHub 的 Codespaces, ...
[译] Cilium 未来数据平面:支撑 100Gbit/s k8s 集群(KubeCon, 2022)(本文来自陈大佬)
cp_dvd的博客
11-13 1188
今天的大部分 K8s 用户使用的还是纯 IPv4 网络(IPv4-only),或称IPv4 单栈网络;也有一些用户正在从 IPv4 单栈迁移到IPv4/IPv6 双栈上, 最终目标是实现 IPv6 单栈网络,或称纯 IPv6 网络纯 IPv6 网络的 k8s 集群不仅 IPAM 更加灵活,集群规模更大,而且可以解锁很多新的网络和 eBPF 特性,能更好地满足数据密集型应用的需求。本文将展示纯 IPv6 k8s 集群的优势以其面临的问题,以及 Cilium 的数据平面是如何解决这些问题的。支持;
Kubernetes 最强云原生网络组件 Cilium 常用故障排查中文指南
easylife206的专栏
12-22 840
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !我是 LEE,老李,一个在 IT 行业摸爬滚打 16 年的技术老兵。事件背景最近不少 k8s 底层网络模块都从 kubenet 升级到了 ciliumcilium 还是相对比较易用的,就是运维、监控和报警方案需要花点时间来适应。但是最近我们有一组 k8s 结构比较特殊,导致它在从 kubenet 升级到 cil...
NSX界面报VTEP IP is missing on the ESXi host
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-21 585
问题描述 某次租户访问异常,在NSX vc子页面Logical Network Preparation > VXLAN Transport > Cluster & Host > Configuration处看到报错:Error:Some VTEP is missiong(not created) on the host;主机准备vxlan状态显示红色异常。 处理 1)查看主机准备所涉及集群各主机vtep配置(需手动点开),发现: 如上所述,该报错是由于主机2的vtep异常所致
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值