cilium/cilium-init

Cilium 镜像文档

镜像概述和主要用途

Cilium是一款开源软件，旨在为应用工作负载（如应用容器或进程）提供网络连接和负载均衡，并透明地保障其安全性。它在网络层（L3/4）提供传统网络和安全服务，同时在应用层（L7）保护现代应用协议（如HTTP、gRPC和Kafka）。Cilium已集成到Kubernetes、Mesos等常见编排框架中。

Cilium的核心基础是名为BPF的新型Linux内核技术，支持在网络IO、应用套接字、跟踪点等多个集成点动态插入BPF字节码，以实现安全、网络和可见性逻辑。BPF具有高效和灵活的特性。

核心功能和特性

透明保护API

能够保护REST/HTTP、gRPC和Kafka等现代应用协议。传统防火墙在L3/4运行，特定端口上的协议要么完全受信任，要么被完全阻止。Cilium允许对单个应用协议请求进行过滤，例如：

• 允许所有方法为GET且路径为/public/.*的HTTP请求，拒绝其他所有请求。
• 允许service1在Kafka主题topic1上生产消息，service2在topic1上消费消息，拒绝其他所有Kafka消息。
• 要求所有REST调用中必须包含HTTP头X-Token: [0-9]+。

基于身份的服务间通信安全

现代分布式应用依赖应用容器等技术实现部署敏捷性和按需扩展，导致短时间内启动大量应用容器。典型的容器防火墙通过过滤源IP地址和目标端口来保护工作负载，这需要在集群中任何地方启动容器时都操作所有服务器上的防火墙，限制了扩展性。

为避免这种情况，Cilium为共享相同安全策略的应用容器组分配安全身份，该身份与应用容器发出的所有网络数据包相关联，允许在接收节点验证身份。安全身份管理通过键值存储执行。

外部服务访问控制

基于标签的安全是集群内部访问控制的首选工具。为保护与外部服务的进出访问，支持传统的基于CIDR的入口和出口安全策略，允许将应用容器的进出访问限制在特定IP范围。

简单网络

一个简单的扁平L3网络，能够跨多个集群连接所有应用容器。通过使用主机范围分配器简化IP分配，意味着每个主机可以分配IP而无需主机间协调。

支持以下多节点网络模型：

• 覆盖网络（Overlay）：基于封装的虚拟网络，覆盖所有主机。目前内置支持VXLAN和Geneve，但可启用Linux支持的所有封装格式。适用场景：基础设施和集成要求最低，几乎适用于任何网络基础设施，只需主机间IP连接（通常已满足）。
• 原生路由（Native Routing）：使用Linux主机的常规路由表。网络需要能够路由应用容器的IP地址。适用场景：高级用户，需要了解底层网络基础设施，适用于原生IPv6网络、与云网络路由器结合使用或已运行路由守护进程的环境。

负载均衡

为应用容器之间以及到外部服务的流量提供分布式负载均衡。负载均衡使用BPF通过高效哈希表实现，支持几乎无限扩展，且如果负载均衡操作不在源主机上执行，支持直接服务器返回（DSR）。注意：负载均衡需要启用连接跟踪，这是默认设置。

监控和故障排除

获取可见性和排除问题的能力是任何分布式系统运行的基础。Cilium提供以下工具：

• 带元数据的事件监控：当数据包被丢弃时，不仅报告数据包的源和目标IP，还提供发送者和接收者的完整标签信息及其他大量信息。
• 策略决策跟踪：分析数据包被丢弃或请求被拒绝的原因。策略跟踪框架允许针对运行中的工作负载和基于任意标签定义跟踪策略决策过程。
• 通过Prometheus导出指标：关键指标通过Prometheus导出，以便与现有仪表板集成。

集成

• 网络插件集成：CNI、libnetwork
• 容器运行时事件：containerd
• Kubernetes：NetworkPolicy、Labels、Ingress、Service

使用场景和适用范围

Cilium适用于需要在容器化或微服务环境中实现网络连接、安全防护和负载均衡的场景，特别是：

• 基于Kubernetes、Mesos等编排平台的容器集群
• 需要对HTTP、gRPC、Kafka等现代应用协议进行细粒度访问控制的环境
• 大规模分布式应用，需要高效、动态的网络安全策略管理
• 要求高网络性能和低延迟的应用场景，得益于BPF技术的高效性

使用方法和配置说明

前提条件

• Linux内核版本4.8.0或更高（推荐4.9.x及以上），可通过uname -a检查内核版本
• 支持BPF的Linux发行版（如CoreOS、Debian、Fedora、openSUSE、Ubuntu等）

安装步骤

Kubernetes环境部署

Cilium通常作为Kubernetes网络插件部署，推荐使用Helm：

bash
# 添加Cilium Helm仓库
helm repo add cilium https://helm.cilium.io/

# 安装Cilium
helm install cilium cilium/cilium --version 1.14.0 --namespace kube-system

手动部署（Docker）

bash
# 运行Cilium容器
docker run -d --name cilium \
  --privileged \
  --net=host \
  --restart=always \
  -v /var/run/cilium:/var/run/cilium \
  -v /lib/modules:/lib/modules \
  -v /sys/fs/bpf:/sys/fs/bpf \
  cilium/cilium:latest

配置说明

Cilium的主要配置通过环境变量或配置文件进行，关键配置参数包括：

• CILIUM_CLUSTER_NAME：集群名称，用于标识Cilium集群
• CILIUM_K8S_API_SERVER：Kubernetes API服务器地址
• CILIUM_IPAM_MODE：IP地址分配模式（如host-scope、kubernetes）
• CILIUM_TUNNEL：隧道模式（如vxlan、geneve或disabled表示原生路由）

详细配置可参考官方文档。

eBPF和XDP简介

Berkeley Packet Filter（BPF）是Linux内核字节码解释器，最初用于过滤网络数据包（如tcpdump和套接字过滤器）。BPF指令集和架构最近经过重大改进，增加了哈希表、数组等数据结构用于状态保持，以及数据包修改、转发、封装等操作。LLVM编译器后端允许用C编写程序并编译为BPF指令，内核验证器确保BPF程序安全运行，JIT编译器将BPF字节码转换为CPU架构特定指令以实现原生执行效率。BPF程序可在内核的多个挂钩点运行，如入站数据包、出站数据包、系统调用、kprobes、uprobes、跟踪点等。

Cilium利用BPF执行核心数据路径过滤、修改、监控和重定向，需要Linux内核4.8.0或更高版本的BPF功能。

XDP是进一步的演进，允许在网络驱动程序中运行特定类型的BPF程序，直接访问数据包的DMA缓冲区，是软件栈中最早可附加程序的点，实现Linux内核网络数据路径中的可编程高性能数据包处理。

社区

Slack

加入Cilium Slack频道，与Cilium开发人员和其他用户交流。

特别兴趣小组（SIG）

有关所有SIG及其会议时间的列表，请参见特别兴趣小组。

每周开发者会议

• 开发者社区每周通过Zoom交流，欢迎所有人参加
• 时间：每周一，9:00 am PT，12:00 pm（中午）ET，6:00 pm CEST
• 加入Zoom

许可证

Cilium用户空间组件采用Apache License, Version 2.0许可。BPF代码模板采用General Public License, Version 2.0许可。

进一步阅读

相关资料

• https://github.com/jessfraz/k8s-***
• 使用Cilium实现NetworkPolicy：Kubernetes文档介绍如何使用Cilium实现NetworkPolicy

演示文稿

• DockerCon, Austin TX, Apr 2017 - Cilium - Network and Application Security with BPF and XDP: 幻灯片，视频
• CNCF/KubeCon Meetup, Berlin, Mar 2017 - Linux Native, HTTP Aware Network Security: 幻灯片，视频

播客

• Software Gone Wild by Ivan Pepelnjak, Oct 2016: 博客，MP3
• OVS Orbit by Ben Pfaff, May 2016: 博客，MP3

社区博客文章

• Cilium for Network and Application Security with BPF and XDP, Apr 2017
• Cilium, BPF and XDP, Google Open Source Blog, Nov 2016