蓝维洲 2021.10.16 cilium的网络加速秘诀 蓝维洲 网络组研发负责人 演讲人 cilium介绍 https://cilium.io https://github.com/cilium cilium是 kubernetes 的 CNI 网络解决方案，创新采用了 eBPF datapath，为 kubernetes网络和 linux 社区的 eBPF 发展，启动了 最要的推动作用。 最要的推动作用。 截止 2021.10 ，cilium github 项目已有 9.3K star，Contributors 316位 cilium的特色功能： • 网络功能 • 负载均衡 • 网络安全 • 可观察性 • 多集群连通 注：本 PPT 基于 cilium v1.10.4 进行分析 ��������������� ��������������� �������������������� �������������� ��������������������� �������������������� ���������������� ������������������������ Cilium加速网络 性能提升的主要表现： • 不同场景下，不同程度地降低了 网络数据包的“转发延时” • 不同场景下，不同程度地提升了 网络数据包的“吞吐量” • 不同场景下，不同程度地降低了

From Managed Kubernetes to App Platform: 1.5 Years of Cilium Usage at DigitalOcean Timo Reimann, DigitalOcean October 28, 2020 digitalocean.com History / Context ● DigitalOcean Kubernetes Service Service aka DOKS: our managed Kubernetes offering ● Started out using Flannel but decided to move to Cilium in late 2018 for a couple of reasons: ○ support for NetworkPolicies ○ feature-rich CNI implementation run on Cilium digitalocean.com ● cilium-agent managed as DaemonSet on each worker node ● cilium-operator managed as Deployment (2 replicas / HA mode in latest releases) on workers ● cilium-agent

Powers on ARM64 with Cilium Jianlin Lv Trevor Tao October 28, 2020 Preface Arm ecosystem of CNI Support Arm64 • Cilium enable on aarch64 • https://github.com/cilium/cilium/issues/9898 • Fix compiling compiling and runtime issue on Arm64; • Multi-arch support for cilium-related images • CI/CD • Travis • Unit test Travis CI • Arm64 Full VM • arm64-graviton2 • Refer to: • https://docs.travis-ci https://github.com/cilium/cilium/pull/13033 Docker Images • Github Action + Docker Buildx • Issue • https://github.com/cilium/proxy/runs/1250471418 Demo on Arm64 Future Work • Cilium benchmark on Arm64

Mermaid 44. Ruff 45. Snyk 试验 46. AWS Control Tower 47. Bloc 48. cdk-nag 49. Checkov 50. Chromatic 51. Cilium 52. 云服务的碳足迹 53. 容器结构测试 54. Devbox 55. DX DevEx 360 56. GitHub Copilot 57. Insomnia 58. IntelliJ HTTP Mermaid 44. Ruff 45. Snyk 试验 46. AWS Control Tower 47. Bloc 48. cdk-nag 49. Checkov 50. Chromatic 51. Cilium 52. 云服务的碳足迹 53. 容器结构测试 54. Devbox 55. DX DevEx 360 56. GitHub Copilot 57. Insomnia 58. IntelliJ HTTP 变更的功能让它非常实用。 51. Cilium 试验 eBPF 以其应用透明、高性能和低开销而闻名，因此云原生社区一直在探索其在无边车网格服务（service mesh without sidecar） 中的应用场景。Cilium 是一个为云原生环境如（Kubernetes 集群和其他容器编排平台）提 供网络、安全性和可观察性的开源项目。Cilium 为路由或覆盖网络提供了一个简单的第三层网络，并且还支

mysql/pgsql/mongo/ redis 等多种数据库 数据库多主架构高 可用 数据库备份恢复， 故障自愈 数据库管理工具， 监控告警 Userlnterface API/CLI/GUI Cilium Gvisor/Containerd OpenEBS LVM local pv Bare metal / Ail Cloud / AWS / Google cloud Laf Function 使用 terraform 大概 3min，而 sealos 只需要 30s，不能 怪 terraform 某些底层 driver 写的不好 云驱动层 01 对接 firecracker cilium openebs 等技术 无性能损失的网络层计量 与隔离 rust 自研分布式文件系统 sealfs 直接对接 rustvmm 绕 开 fuse 02 client manger manger 分布式文件系统，避免 fuse 用户态内核态反复横跳 在 Sealos 上使用 GPU 在 Sealos 上利用 Cilium + BPF 实现流量统计 Slide source credit to: How to Make Linux Microservice-Aware with Cilium and eBPF (InfoQ, 2019) 集群生命周期管理 创建集群 装其它应用 增删集群节点

org/wiki/File:Pictofigo-Scalability.png 6 Evaluating eBPF CNI Offerings 7 8 9 10 Evaluating Cilium and Hubble 11 Cilium Benefits TIP: To change picture:Right click on image > Replace image > Select file 13 CiliumNetworkPolicies Layer 7 HTTP Filtering Outbound to DNS Name Clusterwide Policy 14 Cilium CLI commands Listing Endpoints on a Node Traffic Denied by Policy Traffic Allowed by Policy 15

15 页 产品逻辑架构 云原生网络 DCE 5.0 云原生网络基于多个开源技术构建，不仅提供单个 CNI 网络支持， 也提供多个 CNI 网络的组合方案。具体方案如下： Cilium + MacVLAN/SR-IOV/IPVLAN + SpiderPool + Multus 此方案适用于高内核版本（4.19.57+）的 Linux 操作系统。 方案以 Multus 为 调度核心，搭配多 CNI，可以不安装 SpiderPool。 3. Cilium 作为高性能 Overlay CNI，提供 eBPF 内核加速，实现跨集群 Pod 通 信和跨集群 Service 通信，以及支持灵活的细粒度网络策略下发和丰富的流 量观测能力。 版权 © 2023 DaoCloud 第 16 页 在此方案组合中，Cilium 为必备的网络 CNI。 4. 通过 MacVLAN

flexibility making it ready for the cloud-native world. Projects using eBPF for networking include Cilium and Katran, for example. System calls So many messages! At times, some would get lost, Or the engines Commons Attribution-ShareAlike 2.0 (CC-BY-SA-2.0). See https://www.gnu.org/graphics/agnuhead The Cilium logo (hexagons) is a trademark of the Linux Foundation. Many thanks to Daniel Borkmann, Karen Chu

扩展方案评估 Envoy 社区讨论 MOE 背景介绍 — 方案评估 结论 综合稳定性、性能、成本、社区生态等因素评估，MOE 解决方案无论在当前阶段还是未来都具备一定优势 NanoVisor Cilium NginxUnit Dragonboat Badger Go with OpenCV etc CGO 是 Go 官方出品 用到 CGO 的一些项目 社区 CGO 维护频度 Go 1.16 extension filter 的 proxy_golang API 进行封装，通过 CGO 通知 MOSN 侧 GoLang L7 extension SDK 获取处理 同 Envoy、Cilium、WASM 社区合作 共建 API 规范： MOE 方案介绍 — MOSN 和 Envoy 内存如何管理 【请求链路】将 Envoy 中的请求信息拷 贝一份传递给 MOSN ? 需要额外内存

扩展方案评估 Envoy 社区讨论 MoE 背景介绍 — 方案分析 结论 综合稳定性、性能、成本、社区生态等因素评估，MoE 解决方案无论在当前阶段还是未来都具备一定优势 NanoVisor Cilium NginxUnit Dragonboat Badger Go with OpenCV etc CGO 是 Go 官方出品 用到 CGO 的一些项目 社区 CGO 维护频度 Go 1.16 Release MoE Request 2 CGO request 4 CGO response 1 Request before go 5 Request after go 同 Envoy、Cilium、WASM 社区合作共建 API 规范： MoE 方案介绍 — MOSN 和 Envoy 内存如何管理 【请求链路】将 Envoy 中的请求信息拷贝一 份传递给 MOSN ? 需要额外内存分配和拷