cilium/clustermesh-apiserver Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

Cilium 镜像文档

Cilium是开源软件，用于为应用工作负载（如应用容器或进程）提供网络连接和负载均衡，并透明地保护其安全。Cilium在第3/4层提供传统网络和安全服务，同时在第7层保护现代应用协议（如HTTP、gRPC和Kafka）的使用安全。Cilium已集成到Kubernetes和Mesos等常见编排框架中。

一项名为eBPF_的新Linux内核技术是Cilium的基础。它支持将eBPF字节码动态插入Linux内核的各个集成点（如网络IO、应用套接字和跟踪点），以实现安全、网络和可见性逻辑。eBPF高效且灵活。要了解更多关于eBPF的信息，请访问eBPF.io_。

!Cilium概述

稳定版本

Cilium社区为最新的三个主要版本维护次要稳定版本。更早的主要版本的稳定版本被视为EOL（生命周期结束）。

升级到新的主要版本请参考Cilium升级指南。

以下是当前维护的发布分支，以及它们的最新次要版本、对应的镜像拉取标签和发布说明：

功能概述

透明保护API

能够保护现代应用协议，如REST/HTTP、gRPC和Kafka。传统防火墙在第3层和第4层运行，特定端口上的协议要么完全受信任，要么被完全阻止。Cilium能够对单个应用协议请求进行过滤，例如：

• 允许所有方法为GET且路径为/public/.*的HTTP请求，拒绝所有其他请求。
• 允许service1在Kafka主题topic1上生产消息，service2消费topic1的消息，拒绝所有其他Kafka消息。
• 要求所有REST调用中必须包含HTTP头X-Token: [0-9]+。

有关支持的协议最新列表和使用示例，请参见文档中的第7层策略部分。

基于身份的服务间通信安全

现代分布式应用依赖应用容器等技术来促进部署灵活性和按需扩展。这导致在短时间内启动大量应用容器。典型的容器防火墙通过过滤源IP地址和目标端口来保护工作负载。这种概念要求每当集群中任何地方启动容器时，所有服务器上的防火墙都需要进行配置更改。

为避免这种限制扩展的情况，Cilium为共享相同安全策略的应用容器组分配安全身份。然后，该身份与应用容器发出的所有网络数据包相关联，允许在接收节点验证身份。安全身份管理通过键值存储执行。

外部服务的访问控制

基于标签的安全是集群内部访问控制的首选工具。为了保护与外部服务的进出访问，支持基于传统CIDR的入口和出口安全策略。这允许将应用容器的进出访问限制到特定IP范围。

简单网络

一个简单的扁平第3层网络，能够跨多个集群连接所有应用容器。通过使用主机范围分配器，IP分配保持简单。这意味着每个主机可以分配IP，无需主机之间的协调。

支持以下多节点网络模型：

• 覆盖网络（Overlay）：基于封装的虚拟网络，跨所有主机。目前内置支持VXLAN和Geneve，但可以启用Linux支持的所有封装格式。

  使用场景：此模式对基础设施和集成要求最低。几乎适用于任何网络基础设施，唯一要求是主机之间的IP连接（通常已满足）。

• 原生路由（Native Routing）：使用Linux主机的常规路由表。网络需要能够路由应用容器的IP地址。

  使用场景：此模式适用于高级用户，需要了解底层网络基础设施。适用于：

  • 原生IPv6网络
  • 与云网络路由器结合使用
  • 已运行路由守护进程的环境

负载均衡

Cilium为应用容器之间以及与外部服务的流量实现分布式负载均衡，能够完全替代kube-proxy等组件。负载均衡在eBPF中使用高效哈希表实现，可支持几乎无限扩展。

对于南北向负载均衡，Cilium的eBPF实现针对最大性能进行了优化，可附加到XDP（快速数据路径），并支持直接服务器返回（DSR）和Maglev一致性哈希（如果负载均衡操作不在源主机上执行）。

对于东西向负载均衡，Cilium在Linux内核的套接字层（如TCP连接时）直接执行高效的服务到后端转换，避免了较低层的每包NAT操作开销。

带宽管理

Cilium通过基于EDT（最早 departure 时间）的高效速率限制，使用eBPF为节点出口的容器流量实现带宽管理。与传统方法（如带宽CNI插件中使用的HTB（层次令牌桶）或TBF（令牌桶过滤器））相比，这可以显著减少应用的传输尾部延迟，并避免多队列NIC下的锁定问题。

监控和故障排除

获得可见性和排除问题的能力是任何分布式系统运行的基础。虽然我们喜欢tcpdump和ping等工具，但我们致力于提供更好的故障排除工具。这包括：

• 带元数据的事件监控：当数据包被丢弃时，工具不仅报告数据包的源和目标IP，还提供发送方和接收方的完整标签信息以及其他大量信息。
• 策略决策跟踪：为什么数据包被丢弃或请求被拒绝。策略跟踪框架允许跟踪运行中工作负载和基于任意标签定义的策略决策过程。
• 通过Prometheus导出指标：关键指标通过Prometheus导出，以便与现有仪表板集成。
• Hubble_：专为Cilium编写的可观测性平台，提供服务依赖图、操作监控和告警，以及基于流日志的应用和安全可见性。

快速开始

• 为什么选择Cilium？
• 快速开始
• 架构和概念
• 安装Cilium
• 常见问题
• 贡献指南

什么是eBPF和XDP？

Berkeley Packet Filter（BPF）是Linux内核字节码解释器，最初用于过滤网络数据包（如tcpdump和套接字过滤器）。BPF指令集和周围架构最近进行了重大改进，增加了哈希表和数组等数据结构用于保存状态，以及支持数据包修改、转发、封装等附加操作。此外，LLVM的编译器后端允许用C编写程序并编译为BPF指令。内核验证器确保BPF程序安全运行，JIT编译器将BPF字节码转换为特定CPU架构的指令以实现原生执行效率。BPF程序可以在内核的多个挂钩点运行，如入站数据包、出站数据包、系统调用、kprobes、uprobes、跟踪点等。

BPF随着每个新Linux版本不断发展并获得更多功能。Cilium利用BPF执行核心数据路径过滤、修改、监控和重定向，需要Linux内核4.8.0或更高版本中的BPF功能（最新稳定Linux内核为4.14.x）。

许多Linux发行版（包括CoreOS、Debian、Docker的LinuxKit、Fedora、openSUSE和Ubuntu）已 shipping 内核版本≥4.8.x。您可以通过运行uname -a检查Linux内核版本。如果尚未运行足够新的内核，请查看Linux发行版的文档，了解如何运行Linux内核4.9.x或更高版本。

有关运行BPF运行时所需的内核版本，请参见先决条件部分。

!BPF概述

XDP是进一步的演进，允许从网络驱动程序运行特定类型的BPF程序，直接访问数据包的DMA缓冲区。这在软件栈中是最早的可能点，程序可以附加到此处，以在Linux内核网络数据路径中实现可编程的高性能数据包处理器。

有关面向开发人员的BPF和XDP的更多信息，请参见BPF和XDP参考指南。

社区

Slack

加入Cilium Slack频道，与Cilium开发人员和其他用户交流。这是了解Cilium、提问和分享经验的好地方。

特别兴趣小组（SIG）

有关所有SIG及其会议时间的列表，请参见特别兴趣小组。

每周开发者会议

• 开发社区每周通过Zoom进行交流，欢迎所有人参加。
• 每周一，上午8:00（太平洋时间），上午11:00（东部时间），下午5:00（中欧夏令时间）
• 加入Zoom

许可证

Cilium用户空间组件根据Apache许可证2.0版授权。BPF代码模板根据GNU通用公共许可证2.0版授权。

.. _eBPF: [] .. _eBPF.io: [] .. _Hubble: [***]