bitnamicharts/cilium Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
bitnamicharts/ciliumbitnamicharts
Bitnami提供的Helm chart,用于简化基于eBPF的Kubernetes网络与服务网格解决方案Cilium的部署及管理。
下载次数: 0状态:社区镜像维护者:bitnamicharts仓库类型:镜像最近更新:6 个月前
Bitnami Cilium 镜像文档
镜像概述和主要用途
Cilium 是一款基于 eBPF 的网络、可观测性和安全工具,适用于 Docker 和 Kubernetes 等 Linux 容器管理平台。Bitnami 提供的 Cilium Helm 图表经过精心设计和持续维护,可快速、轻松地在 Kubernetes 集群上部署容器,满足生产工作负载需求。
Cilium 官方概述
商标说明:本软件列表由 Bitnami 打包。所提及的商标分属各自公司所有,使用这些商标并不意味着任何关联或背书。
⚠️ 重要通知:Bitnami 镜像仓库即将变更
自 2025 年 8 月 28 日起,Bitnami 将升级其公共镜像仓库,通过新的 Bitnami Secure Images 计划 提供精选的强化、安全聚焦镜像。此次变更包括:
- 首次向社区用户开放热门容器镜像的安全优化版本。
- Bitnami 将逐步停止对免费 tier 中非强化的 Debian 基础软件镜像的支持,并从公共仓库中逐步移除非最新标签。社区用户将只能访问数量减少的强化镜像,这些镜像仅以 "latest" 标签发布,适用于开发环境。
- 自 8 月 28 日起,两周内所有现有容器镜像(包括旧版本或带版本号的标签,如 2.50.0、10.6)将从公共仓库(docker.io/bitnami)迁移至 "Bitnami Legacy" 仓库(docker.io/bitnamilegacy),且不再接收更新。
- 对于生产工作负载和长期支持,建议用户采用 Bitnami Secure Images,包括强化容器、更小的***面、CVE 透明度(通过 VEX/KEV)、SBOM 以及企业支持。
有关详细信息,请访问 Bitnami Secure Images 公告。
核心功能和特性
Cilium 核心功能
- 基于 eBPF 的高性能网络:利用 Linux 内核 eBPF 技术提供透明的网络连接,支持 L3/L4 网络策略和 L7 协议感知策略。
- 全面的可观测性:通过 Hubble 组件提供网络流量可视化、监控和故障排查能力。
- 强大的安全策略:支持基于身份的微分段、加密网络通信、容器级别的访问控制。
- 多平台兼容性:适用于 Kubernetes、Docker 等主流容器编排平台。
Bitnami Helm 图表特性
- 生产就绪:经过严格测试,支持高可用性和自动扩缩容。
- 灵活配置:支持外部键值存储、自定义 CNI 路径、TLS 加密、Prometheus 监控等高级功能。
- 安全强化:遵循容器安全最佳实践,可集成第三方安全工具。
- 简化部署:通过 Helm 一键部署,自动处理依赖和资源配置。
使用场景和适用范围
适用场景
- Kubernetes 集群网络:作为 CNI 插件替换默认网络插件(如 Calico、Flannel),提供更优性能和安全性。
- 微服务网络治理:实现服务间流量控制、负载均衡、流量加密和协议解析(HTTP、gRPC、Kafka 等)。
- 容器安全防护:通过网络策略限制 Pod 间通信,防止未授权访问和数据泄露。
- 分布式追踪与监控:结合 Hubble 和 Prometheus 实现网络流量可视化、性能指标采集和告警。
适用范围
- 开发/测试环境:快速搭建容器网络和安全策略原型。
- 生产环境:支持大规模 Kubernetes 集群,满足高可用性和低延迟要求。
- 多云/混合云环境:统一网络策略和可观测性标准,简化跨平台管理。
详细的使用方法和配置说明
前提条件
- Kubernetes 版本 1.23+
- Helm 版本 3.8.0+
- 节点 Linux 内核版本 ≥ 4.19.57 或等效版本(如 RHEL8 上的 4.18)
安装 Helm 图表
快速安装
consolehelm install my-release oci://registry-1.docker.io/bitnamicharts/cilium
自定义安装
指定仓库和发布名称安装:
consolehelm install my-release oci://REGISTRY_NAME/REPOSITORY_NAME/cilium
说明:需将
REGISTRY_NAME和REPOSITORY_NAME替换为实际仓库地址,例如 Bitnami 官方仓库为registry-1.docker.io/bitnamicharts。
核心配置说明
外部键值存储配置
默认情况下,图表会安装内部 etcd。如需使用外部键值存储(如托管服务),需禁用内部 etcd 并配置外部端点:
consolehelm install my-release oci://registry-1.docker.io/bitnamicharts/cilium \ --set etcd.enabled=false \ --set externalKvstorehost.enabled=true \ --set externalKvstorehost.endpoints[0]=external-kvstore-host-0:2379 \ --set externalKvstorehost.endpoints[1]=external-kvstore-host-1:2379
CNI 插件配置
图表默认在节点上安装 Cilium CNI 插件。如需自定义:
- 禁用 CNI 安装:
--set agent.cniPlugin.install=false - 自定义路径:
yaml
agent: cniPlugin: hostCNIBinDir: "/opt/cni/bin" # CNI 二进制文件路径 hostCNINetDir: "/etc/cni/net.d" # CNI 配置文件路径
TLS 加密通信
通过 Hubble 组件加密通信需启用 TLS 并配置证书:
- 手动创建证书密钥:
console
kubectl create secret generic ca-tls-secret --from-file=./tls.crt --from-file=./tls.key - 启用 TLS 并引用密钥:
yaml
hubble: tls: enabled: true existingCASecret: "ca-tls-secret" peers: existingSecret: "peers-tls-secret" relay: existingSecret: "relay-tls-secret" client: existingSecret: "client-tls-secret" - 自动生成证书:
- Helm 生成:
--set hubble.tls.autoGenerated.enabled=true --set hubble.tls.autoGenerated.engine=helm - CertManager 生成(需集群已安装 CertManager):
yaml
hubble: tls: autoGenerated: enabled: true engine: cert-manager certManager: existingIssuer: "my-issuer" existingIssuerKind: "ClusterIssuer"
- Helm 生成:
Prometheus 指标集成
启用各组件指标采集并暴露给 Prometheus:
yamlagent: metrics: enabled: true # 启用 Cilium Agent 指标 service: annotations: prometheus.io/scrape: "true" prometheus.io/port: "9090" hubble: peers: metrics: enabled: true # 启用 Hubble Peers 指标 relay: metrics: enabled: true # 启用 Hubble Relay 指标 envoy: metrics: enabled: true # 启用 Envoy 指标 operator: metrics: enabled: true # 启用 Operator 指标
前提:集群需已安装 Prometheus 或 Prometheus Operator,推荐使用 Bitnami Prometheus Helm 图表。
Ingress 配置(Hubble UI)
通过 Ingress 暴露 Hubble UI(需集群已安装 Ingress 控制器,如 NGINX Ingress):
yamlhubble: ui: enabled: true ingress: enabled: true hostname: hubble.example.com # 自定义域名 tls: - hosts: - hubble.example.com secretName: hubble-tls-secret # TLS 密钥名称
外部环境变量与 Sidecar 容器
- 添加环境变量:
yaml
agent: extraEnvVars: - name: LOG_LEVEL value: "error" # 调整日志级别 # 或从 ConfigMap/Secret 导入 extraEnvVarsCM: "my-configmap" # 包含环境变量的 ConfigMap 名称 extraEnvVarsSecret: "my-secret" # 包含环境变量的 Secret 名称 - 添加 Sidecar 容器(如日志/指标采集器):
yaml
agent: sidecars: - name: "log-exporter" image: "busybox:latest" command: ["sh", "-c", "tail -f /var/log/cilium.log"] # 暴露 Sidecar 端口 service: extraPorts: - name: "log-port" port: 8080 targetPort: 8080
备份与恢复
使用 Velero 工具备份和恢复 Helm 部署的持久化卷:
- 安装 Velero:参考 Velero 官方文档
- 备份 Cilium 部署:
console
velero backup create cilium-backup --include-resources pods,pv,pvc,configmaps,secrets --selector app.kubernetes.io/instance=my-release - 恢复部署:
console
velero restore create --from-backup cilium-backup
详细指南:使用 Velero 备份和恢复 Kubernetes 部署
配置参数
全局参数
| 参数名 | 描述 | 默认值 |
|---|---|---|
global.imageRegistry | 全局 Docker 镜像仓库地址 | "" |
global.imagePullSecrets | 全局镜像拉取密钥数组 | [] |
global.defaultStorageClass | 持久化卷默认存储类 | "" |
global.security.allowInsecureImages | 是否允许跳过镜像验证 | false |
global.compatibility.openshift.adaptSecurityContext | 适配 OpenShift 安全上下文(auto/force/disabled) | auto |
通用参数
| 参数名 | 描述 | 默认值 |
|---|---|---|
kubeVersion | 覆盖 Kubernetes 版本 | "" |
nameOverride | 部分覆盖资源名称前缀 | "" |
fullnameOverride | 完全覆盖资源全名 | "" |
commonLabels | 所有资源通用标签 | {} |
commonAnnotations | 所有资源通用注解 | {} |
clusterDomain | Kubernetes 集群域名 | cluster.local |
diagnosticMode.enabled | 启用诊断模式(禁用探针并覆盖命令) | false |
Cilium Agent 参数
| 参数名 | 描述 | 默认值 |
|---|---|---|
agent.image.registry | Agent 镜像仓库 | REGISTRY_NAME |
agent.image.repository | Agent 镜像路径 | REPOSITORY_NAME/cilium |
agent.image.pullPolicy | 镜像拉取策略 | IfNotPresent |
agent.image.pullSecrets | 镜像拉取密钥 | [] |
agent.cniPlugin.install | 是否安装 CNI 插件 | true |
注意:完整参数列表请参见 Bitnami Cilium 图表 GitHub 文档。
卸载说明
卸载 Helm 发布:
consolehelm uninstall my-release
注意:卸载不会自动删除持久化卷和密钥,需手动清理:
consolekubectl delete pvc -l app.kubernetes.io/instance=my-release kubectl delete secret -l app.kubernetes.io/instance=my-release
cilium/cilium
cilium
Cilium是基于eBPF数据平面的容器网络、可观测性和安全解决方案,支持多集群L3网络(覆盖网络/原生路由模式),提供L3-L7基于身份的网络策略,实现分布式负载均衡并可替代kube-proxy,具备API保护、带宽管理及深度可观测性(如Hubble)。
16 次收藏1亿+ 次下载
11 天前更新
cilium/operator
cilium
Cilium operator是Kubernetes环境中基于eBPF技术的Cilium网络解决方案控制器,负责管理网络策略、服务发现及负载均衡等资源,保障容器网络的自动化配置与安全运行。
2 次收藏1000万+ 次下载
11 天前更新
cilium/operator-generic
cilium
cilium/operator-generic 是 Cilium 基于 eBPF 的容器网络解决方案中的通用操作员镜像,作为核心控制组件负责协调网络策略、节点配置及服务发现。在 Kubernetes 环境中,它实时监控集群状态,动态管理网络资源,确保网络策略精准执行、负载均衡高效配置及跨节点网络连通性稳定维护,有效提升容器网络的可靠性与安全性。
100万+ 次下载
11 天前更新
cilium/starwars
cilium
死星即服务 (Deathstar as a Service)
1 次收藏100万+ 次下载
10 个月前更新
bitnami/cilium
bitnami
Bitnami为Cilium提供的安全镜像,用于容器网络与微服务安全,具备可靠部署特性和安全加固,支持基于eBPF的高性能网络连接及安全策略实施。
10万+ 次下载
6 个月前更新
cilium/hubble-relay
cilium
cilium/hubble-relay是Cilium可观测性平台Hubble的核心中继组件Docker镜像,专为分布式云原生环境设计,负责跨集群聚合、转发eBPF采集的网络流量与安全事件数据。它支持多集群部署架构,通过轻量级容器化方式提供高可用数据中继能力,帮助用户实时监控服务间通信、追踪网络策略执行情况,快速定位网络故障与安全威胁,是构建云原生网络可观测性体系的关键工具。
50万+ 次下载
11 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"