bitnamicharts/cilium

Bitnami Cilium 镜像文档

镜像概述和主要用途

Cilium 是一款基于 eBPF 的网络、可观测性和安全工具，适用于 Docker 和 Kubernetes 等 Linux 容器管理平台。Bitnami 提供的 Cilium Helm 图表经过精心设计和持续维护，可快速、轻松地在 Kubernetes 集群上部署容器，满足生产工作负载需求。

Cilium 官方概述

商标说明：本软件列表由 Bitnami 打包。所提及的商标分属各自公司所有，使用这些商标并不意味着任何关联或背书。

⚠️ 重要通知：Bitnami 镜像仓库即将变更

自 2025 年 8 月 28 日起，Bitnami 将升级其公共镜像仓库，通过新的 Bitnami Secure Images 计划 提供精选的强化、安全聚焦镜像。此次变更包括：

• 首次向社区用户开放热门容器镜像的安全优化版本。
• Bitnami 将逐步停止对免费 tier 中非强化的 Debian 基础软件镜像的支持，并从公共仓库中逐步移除非最新标签。社区用户将只能访问数量减少的强化镜像，这些镜像仅以 "latest" 标签发布，适用于开发环境。
• 自 8 月 28 日起，两周内所有现有容器镜像（包括旧版本或带版本号的标签，如 2.50.0、10.6）将从公共仓库（docker.io/bitnami）迁移至 "Bitnami Legacy" 仓库（docker.io/bitnamilegacy），且不再接收更新。
• 对于生产工作负载和长期支持，建议用户采用 Bitnami Secure Images，包括强化容器、更小的***面、CVE 透明度（通过 VEX/KEV）、SBOM 以及企业支持。

有关详细信息，请访问 https://github.com/bitnami/containers/issues/83267%E3%80%82

核心功能和特性

Cilium 核心功能

• 基于 eBPF 的高性能网络：利用 Linux 内核 eBPF 技术提供透明的网络连接，支持 L3/L4 网络策略和 L7 协议感知策略。
• 全面的可观测性：通过 Hubble 组件提供网络流量可视化、监控和故障排查能力。
• 强大的安全策略：支持基于身份的微分段、加密网络通信、容器级别的访问控制。
• 多平台兼容性：适用于 Kubernetes、Docker 等主流容器编排平台。

Bitnami Helm 图表特性

• 生产就绪：经过严格测试，支持高可用性和自动扩缩容。
• 灵活配置：支持外部键值存储、自定义 CNI 路径、TLS 加密、Prometheus 监控等高级功能。
• 安全强化：遵循容器安全最佳实践，可集成第三方安全工具。
• 简化部署：通过 Helm 一键部署，自动处理依赖和资源配置。

使用场景和适用范围

适用场景

• Kubernetes 集群网络：作为 CNI 插件替换默认网络插件（如 Calico、Flannel），提供更优性能和安全性。
• 微服务网络治理：实现服务间流量控制、负载均衡、流量加密和协议解析（HTTP、gRPC、Kafka 等）。
• 容器安全防护：通过网络策略限制 Pod 间通信，防止未授权访问和数据泄露。
• 分布式追踪与监控：结合 Hubble 和 Prometheus 实现网络流量可视化、性能指标采集和告警。

适用范围

• 开发/测试环境：快速搭建容器网络和安全策略原型。
• 生产环境：支持大规模 Kubernetes 集群，满足高可用性和低延迟要求。
• 多云/混合云环境：统一网络策略和可观测性标准，简化跨平台管理。

详细的使用方法和配置说明

前提条件

• Kubernetes 版本 1.23+
• Helm 版本 3.8.0+
• 节点 Linux 内核版本 ≥ 4.19.57 或等效版本（如 RHEL8 上的 4.18）

安装 Helm 图表

快速安装

console
helm install my-release oci://registry-1.docker.io/bitnamicharts/cilium

自定义安装

指定仓库和发布名称安装：

console
helm install my-release oci://REGISTRY_NAME/REPOSITORY_NAME/cilium

说明：需将 REGISTRY_NAME 和 REPOSITORY_NAME 替换为实际仓库地址，例如 Bitnami 官方仓库为 registry-1.docker.io/bitnamicharts。

核心配置说明

外部键值存储配置

默认情况下，图表会安装内部 etcd。如需使用外部键值存储（如托管服务），需禁用内部 etcd 并配置外部端点：

console
helm install my-release oci://registry-1.docker.io/bitnamicharts/cilium \
  --set etcd.enabled=false \
  --set externalKvstorehost.enabled=true \
  --set externalKvstorehost.endpoints[0]=external-kvstore-host-0:2379 \
  --set externalKvstorehost.endpoints[1]=external-kvstore-host-1:2379

CNI 插件配置

图表默认在节点上安装 Cilium CNI 插件。如需自定义：

• 禁用 CNI 安装：--set agent.cniPlugin.install=false
• 自定义路径：

  yaml
  agent:
    cniPlugin:
      hostCNIBinDir: "/opt/cni/bin"  # CNI 二进制文件路径
      hostCNINetDir: "/etc/cni/net.d"  # CNI 配置文件路径
  

TLS 加密通信

通过 Hubble 组件加密通信需启用 TLS 并配置证书：

1. 手动创建证书密钥：

   console
   kubectl create secret generic ca-tls-secret --from-file=./tls.crt --from-file=./tls.key
   

2. 启用 TLS 并引用密钥：

   yaml
   hubble:
     tls:
       enabled: true
       existingCASecret: "ca-tls-secret"
       peers:
         existingSecret: "peers-tls-secret"
       relay:
         existingSecret: "relay-tls-secret"
       client:
         existingSecret: "client-tls-secret"
   

3. 自动生成证书：
   • Helm 生成：--set hubble.tls.autoGenerated.enabled=true --set hubble.tls.autoGenerated.engine=helm
   • CertManager 生成（需集群已安装 CertManager）：

     yaml
     hubble:
       tls:
         autoGenerated:
           enabled: true
           engine: cert-manager
           certManager:
             existingIssuer: "my-issuer"
             existingIssuerKind: "ClusterIssuer"
     

Prometheus 指标集成

启用各组件指标采集并暴露给 Prometheus：

yaml
agent:
  metrics:
    enabled: true  # 启用 Cilium Agent 指标
    service:
      annotations:
        prometheus.io/scrape: "true"
        prometheus.io/port: "9090"
hubble:
  peers:
    metrics:
      enabled: true  # 启用 Hubble Peers 指标
  relay:
    metrics:
      enabled: true  # 启用 Hubble Relay 指标
envoy:
  metrics:
    enabled: true  # 启用 Envoy 指标
operator:
  metrics:
    enabled: true  # 启用 Operator 指标

前提：集群需已安装 Prometheus 或 Prometheus Operator，推荐使用 https://github.com/bitnami/charts/tree/main/bitnami/prometheus%E3%80%82

Ingress 配置（Hubble UI）

通过 Ingress 暴露 Hubble UI（需集群已安装 Ingress 控制器，如 NGINX Ingress）：

yaml
hubble:
  ui:
    enabled: true
    ingress:
      enabled: true
      hostname: hubble.example.com  # 自定义域名
      tls:
        - hosts:
            - hubble.example.com
          secretName: hubble-tls-secret  # TLS 密钥名称

外部环境变量与 Sidecar 容器

• 添加环境变量：

  yaml
  agent:
    extraEnvVars:
      - name: LOG_LEVEL
        value: "error"  # 调整日志级别
    # 或从 ConfigMap/Secret 导入
    extraEnvVarsCM: "my-configmap"  # 包含环境变量的 ConfigMap 名称
    extraEnvVarsSecret: "my-secret"  # 包含环境变量的 Secret 名称
  

• 添加 Sidecar 容器（如日志/指标采集器）：

  yaml
  agent:
    sidecars:
      - name: "log-exporter"
        image: "busybox:latest"
        command: ["sh", "-c", "tail -f /var/log/cilium.log"]
    # 暴露 Sidecar 端口
    service:
      extraPorts:
        - name: "log-port"
          port: 8080
          targetPort: 8080
  

备份与恢复

使用 Velero 工具备份和恢复 Helm 部署的持久化卷：

1. 安装 Velero：参考 Velero 官方文档
2. 备份 Cilium 部署：

   console
   velero backup create cilium-backup --include-resources pods,pv,pvc,configmaps,secrets --selector app.kubernetes.io/instance=my-release
   

3. 恢复部署：

   console
   velero restore create --from-backup cilium-backup
   

详细指南：使用 Velero 备份和恢复 Kubernetes 部署

配置参数

全局参数

通用参数

Cilium Agent 参数

注意：完整参数列表请参见 https://github.com/bitnami/charts/blob/main/bitnami/cilium/README.md%E3%80%82

卸载说明

卸载 Helm 发布：

console
helm uninstall my-release

注意：卸载不会自动删除持久化卷和密钥，需手动清理：

console
kubectl delete pvc -l app.kubernetes.io/instance=my-release
kubectl delete secret -l app.kubernetes.io/instance=my-release