热门搜索:
cilium/clustermesh-apiserver
cilium
Cilium是基于eBPF技术的开源软件,为应用工作负载(如容器或进程)提供网络连接、负载均衡及透明安全防护,支持L3/L4传统网络安全和L7现代应用协议(HTTP、gRPC、Kafka等)保护,集成Kubernetes等编排框架。
下载次数: 0状态:社区镜像维护者:cilium仓库类型:镜像最近更新:30 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Cilium 镜像文档
Cilium是开源软件,用于为应用工作负载(如应用容器或进程)提供网络连接和负载均衡,并透明地保护其安全。Cilium在第3/4层提供传统网络和安全服务,同时在第7层保护现代应用协议(如HTTP、gRPC和Kafka)的使用安全。Cilium已集成到Kubernetes和Mesos等常见编排框架中。
一项名为eBPF_的新Linux内核技术是Cilium的基础。它支持将eBPF字节码动态插入Linux内核的各个集成点(如网络IO、应用套接字和跟踪点),以实现安全、网络和可见性逻辑。eBPF高效且灵活。要了解更多关于eBPF的信息,请访问eBPF.io_。
!Cilium概述
稳定版本
Cilium社区为最新的三个主要版本维护次要稳定版本。更早的主要版本的稳定版本被视为EOL(生命周期结束)。
升级到新的主要版本请参考Cilium升级指南。
以下是当前维护的发布分支,以及它们的最新次要版本、对应的镜像拉取标签和发布说明:
| 版本 | 发布日期 | 镜像拉取标签 | 发布说明 | 公告 |
|---|---|---|---|---|
| https://github.com/cilium/cilium/tree/v1.8 | 2020-09-30 | docker.io/cilium/cilium:v1.8.4 | https://github.com/cilium/cilium/releases/tag/v1.8.4 | 公告 |
| https://github.com/cilium/cilium/tree/v1.7 | 2020-09-30 | docker.io/cilium/cilium:v1.7.10 | https://github.com/cilium/cilium/releases/tag/v1.7.10 | 公告 |
| https://github.com/cilium/cilium/tree/v1.6 | 2020-09-30 | docker.io/cilium/cilium:v1.6.12 | https://github.com/cilium/cilium/releases/tag/v1.6.12 | 公告 |
功能概述
透明保护API
能够保护现代应用协议,如REST/HTTP、gRPC和Kafka。传统防火墙在第3层和第4层运行,特定端口上的协议要么完全受信任,要么被完全阻止。Cilium能够对单个应用协议请求进行过滤,例如:
- 允许所有方法为
GET且路径为/public/.*的HTTP请求,拒绝所有其他请求。 - 允许
service1在Kafka主题topic1上生产消息,service2消费topic1的消息,拒绝所有其他Kafka消息。 - 要求所有REST调用中必须包含HTTP头
X-Token: [0-9]+。
有关支持的协议最新列表和使用示例,请参见文档中的第7层策略部分。
基于身份的服务间通信安全
现代分布式应用依赖应用容器等技术来促进部署灵活性和按需扩展。这导致在短时间内启动大量应用容器。典型的容器防火墙通过过滤源IP地址和目标端口来保护工作负载。这种概念要求每当集群中任何地方启动容器时,所有服务器上的防火墙都需要进行配置更改。
为避免这种限制扩展的情况,Cilium为共享相同安全策略的应用容器组分配安全身份。然后,该身份与应用容器发出的所有网络数据包相关联,允许在接收节点验证身份。安全身份管理通过键值存储执行。
外部服务的访问控制
基于标签的安全是集群内部访问控制的首选工具。为了保护与外部服务的进出访问,支持基于传统CIDR的入口和出口安全策略。这允许将应用容器的进出访问限制到特定IP范围。
简单网络
一个简单的扁平第3层网络,能够跨多个集群连接所有应用容器。通过使用主机范围分配器,IP分配保持简单。这意味着每个主机可以分配IP,无需主机之间的协调。
支持以下多节点网络模型:
-
覆盖网络(Overlay):基于封装的虚拟网络,跨所有主机。目前内置支持VXLAN和Geneve,但可以启用Linux支持的所有封装格式。
使用场景:此模式对基础设施和集成要求最低。几乎适用于任何网络基础设施,唯一要求是主机之间的IP连接(通常已满足)。
-
原生路由(Native Routing):使用Linux主机的常规路由表。网络需要能够路由应用容器的IP地址。
使用场景:此模式适用于高级用户,需要了解底层网络基础设施。适用于:
- 原生IPv6网络
- 与云网络路由器结合使用
- 已运行路由守护进程的环境
负载均衡
Cilium为应用容器之间以及与外部服务的流量实现分布式负载均衡,能够完全替代kube-proxy等组件。负载均衡在eBPF中使用高效哈希表实现,可支持几乎无限扩展。
对于南北向负载均衡,Cilium的eBPF实现针对最大性能进行了优化,可附加到XDP(快速数据路径),并支持直接服务器返回(DSR)和Maglev一致性哈希(如果负载均衡操作不在源主机上执行)。
对于东西向负载均衡,Cilium在Linux内核的套接字层(如TCP连接时)直接执行高效的服务到后端转换,避免了较低层的每包NAT操作开销。
带宽管理
Cilium通过基于EDT(最早 departure 时间)的高效速率限制,使用eBPF为节点出口的容器流量实现带宽管理。与传统方法(如带宽CNI插件中使用的HTB(层次令牌桶)或TBF(令牌桶过滤器))相比,这可以显著减少应用的传输尾部延迟,并避免多队列NIC下的锁定问题。
监控和故障排除
获得可见性和排除问题的能力是任何分布式系统运行的基础。虽然我们喜欢tcpdump和ping等工具,但我们致力于提供更好的故障排除工具。这包括:
- 带元数据的事件监控:当数据包被丢弃时,工具不仅报告数据包的源和目标IP,还提供发送方和接收方的完整标签信息以及其他大量信息。
- 策略决策跟踪:为什么数据包被丢弃或请求被拒绝。策略跟踪框架允许跟踪运行中工作负载和基于任意标签定义的策略决策过程。
- 通过Prometheus导出指标:关键指标通过Prometheus导出,以便与现有仪表板集成。
- Hubble_:专为Cilium编写的可观测性平台,提供服务依赖图、操作监控和告警,以及基于流日志的应用和安全可见性。
快速开始
- 为什么选择Cilium?
- 快速开始
- 架构和概念
- 安装Cilium
- https://github.com/cilium/cilium/issues?utf8=%E2%9C%93&q=is%3Aissue+label%3Akind%2Fquestion+
- 贡献指南
什么是eBPF和XDP?
Berkeley Packet Filter(BPF)是Linux内核字节码解释器,最初用于过滤网络数据包(如tcpdump和套接字过滤器)。BPF指令集和周围架构最近进行了重大改进,增加了哈希表和数组等数据结构用于保存状态,以及支持数据包修改、转发、封装等附加操作。此外,LLVM的编译器后端允许用C编写程序并编译为BPF指令。内核验证器确保BPF程序安全运行,JIT编译器将BPF字节码转换为特定CPU架构的指令以实现原生执行效率。BPF程序可以在内核的多个挂钩点运行,如入站数据包、出站数据包、系统调用、kprobes、uprobes、跟踪点等。
BPF随着每个新Linux版本不断发展并获得更多功能。Cilium利用BPF执行核心数据路径过滤、修改、监控和重定向,需要Linux内核4.8.0或更高版本中的BPF功能(最新稳定Linux内核为4.14.x)。
许多Linux发行版(包括CoreOS、Debian、Docker的LinuxKit、Fedora、openSUSE和Ubuntu)已 shipping 内核版本≥4.8.x。您可以通过运行uname -a检查Linux内核版本。如果尚未运行足够新的内核,请查看Linux发行版的文档,了解如何运行Linux内核4.9.x或更高版本。
有关运行BPF运行时所需的内核版本,请参见先决条件部分。
!BPF概述
XDP是进一步的演进,允许从网络驱动程序运行特定类型的BPF程序,直接访问数据包的DMA缓冲区。这在软件栈中是最早的可能点,程序可以附加到此处,以在Linux内核网络数据路径中实现可编程的高性能数据包处理器。
有关面向开发人员的BPF和XDP的更多信息,请参见BPF和XDP参考指南。
社区
Slack
加入Cilium Slack频道,与Cilium开发人员和其他用户交流。这是了解Cilium、提问和分享经验的好地方。
特别兴趣小组(SIG)
有关所有SIG及其会议时间的列表,请参见特别兴趣小组。
每周开发者会议
- 开发社区每周通过Zoom进行交流,欢迎所有人参加。
- 每周一,上午8:00(太平洋时间),上午11:00(东部时间),下午5:00(中欧夏令时间)
- 加入Zoom
许可证
Cilium用户空间组件根据Apache许可证2.0版授权。BPF代码模板根据GNU通用公共许可证2.0版授权。
.. _eBPF: []
.. _eBPF.io: []
.. _Hubble: https://github.com/cilium/hubble/
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 clustermesh-apiserver 镜像标签
docker pull docker.xuanyuan.run/cilium/clustermesh-apiserver:<标签>
DockerHub 原生拉取命令
docker pull cilium/clustermesh-apiserver:<标签>
更多 clustermesh-apiserver 镜像推荐
giantswarm/clustermesh-apiserver
giantswarm
暂无描述
46 次下载
2 年前更新
rancher/mirrored-cilium-clustermesh-apiserver
rancher
暂无描述
10万+ 次下载
30 天前更新
dependencytrack/apiserver
dependencytrack
Dependency-Track API Server是一个智能组件分析平台,通过软件物料清单(SBOM)识别和降低软件供应链风险,监控组件使用,采用API优先设计,适用于CI/CD环境。
22 次收藏1000万+ 次下载
27 天前更新
linode/kube-apiserver-amd64
linode
暂无描述
10万+ 次下载
1 个月前更新
rancher/mirrored-calico-apiserver
rancher
暂无描述
50万+ 次下载
1 个月前更新
docker/desktop-kubernetes-apiserver
Docker 官方工具与组件镜像
k8s.gcr.io/kube-apiserver选定标签的镜像,用于提供Kubernetes API服务器组件的指定版本
2 次收藏1000万+ 次下载
9 个月前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"