Cilium v1.6 Documentation

《Cilium v1.6 文档》总结： ### 1. **Cilium 简介** - **定义**：Cilium 是一个开源项目，用于透明地保护基于 Linux 容器（如 Docker、Kubernetes）部署的应用服务之间的网络连接。 - **核心技术**：基于 Linux 内核的 BPF（Berkeley Packet Filter）技术，实现实时插入安全策略，无需修改应用代码或容器配置。 ### 2. **主要功能** - **网络安全性**：通过 BPF 技术实现微服务之间的网络访问控制和加密。 - **透明加密**：支持基于 IPsec 的透明加密，使用 Kubernetes Secret 分发密钥，加密容器间及主机间的流量。 - **动态微服务架构**：支持高度动态的微服务环境，解决传统iptables在容器频繁变化中的性能问题。 - **可观察性**：提供实时监控和调试功能，帮助用户了解网络流量和安全策略执行情况。 ### 3. **架构与技术** - **BPF 技术**：直接在 Linux 内核运行安全策略，实现低延迟和高效率。 - **CNI 插件集成**：支持多种容器网络接口（CNI）插件，提供灵活的网络配置。 - **Kubernetes 集成**：与 Kubernetes 生态系统无缝集成，支持 ServiceAccount、Namespace 等 Kubernetes 资源进行策略管理。 ### 4. **安装与配置** - **安装方式**： - 使用 Helm 安装：通过 Helm 模板生成部署 YAML 文件，快速安装 Cilium。 - 手动安装：下载 Cilium 发布包，配置并部署到 Kubernetes 集群。 - **配置选项**： - **CNI Chaining Mode**：支持多种 CNI 插件链配置，增强网络功能。 - **加密配置**：通过 Kubernetes Secret 管理 IPsec 密钥，实现透明加密。 - **监控与指标**：配置 metrics collection 以监控 Cilium 的运行状态。 ### 5. **新增功能与改进** - **透明加密（Beta）**：支持 IPsec 基于 Kubernetes Secret 的密钥管理，所有 Cilium 管理的端点和主机流量均可加密。 - **CNI 配置优化**：默认启用 CNI 链接模式，支持更复杂的网络插件组合。 - **监控增强**：默认启用更高效的监控聚合模式，减少 CPU 使用。 - **新 ConfigMap 选项**： - `cni-chaining-mode`：自动配置 CNI 插件链。 - `identity-allocation-mode`：支持多种标识分配方式，默认为 CRD。 ### 6. **使用场景** - **微服务安全**：在 Kubernetes 集群中实现微服务间的细粒度访问控制。 - **混合云与多集群**：支持跨云和多集群部署，提供统一的安全策略。 - **高性能网络**：通过 BPF 技术实现低延迟、高吞吐量的网络通信。 ### 7. **文档结构** - **入门指南**：快速上手，包括安装、配置和验证。 - **概念与架构**：详细解释 Cilium 的组件和工作原理。 - **故障排除**：提供常见问题的解决方案。 - **开发者指南**：为贡献代码或文档的开发者提供背景信息。 ### 8. **注意事项** - **版本升级**：建议从旧版本升级到最新 1.5.x 版本以减少服务中断。 - **兼容性**：默认不再依赖容器运行时的特定标签，建议根据需求配置。 总结：Cilium 是一个基于 BPF 技术的开源网络和安全工具，专注于 Kubernetes 环境下的微服务安全，支持透明加密、动态策略管理和高性能网络通信。