本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。
所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
轩辕镜像 - 国内开发者首选的专业 Docker 镜像下载加速服务平台 - 官方QQ群:13763429 👈点击免费获得技术支持。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站面向开发者与科研用户,提供开源镜像的搜索和下载加速服务。所有镜像均来源于原始开源仓库,本站不存储、不修改、不传播任何镜像内容。
本站支持搜索的镜像仓库:Docker Hub、gcr.io、ghcr.io、quay.io、k8s.gcr.io、registry.gcr.io、elastic.co、mcr.microsoft.com
docker-plugin Docker 镜像下载 - 轩辕镜像
docker-plugin 镜像详细信息和使用指南
docker-plugin 镜像标签列表和版本信息
docker-plugin 镜像拉取命令和加速下载
docker-plugin 镜像使用说明和配置指南
Docker 镜像加速服务 - 轩辕镜像平台
国内开发者首选的 Docker 镜像加速平台
极速拉取 Docker 镜像服务
相关 Docker 镜像推荐
热门 Docker 镜像下载
cilium/docker-plugin
自动构建
docker-plugin 镜像详细信息
docker-plugin 镜像标签列表
docker-plugin 镜像使用说明
docker-plugin 镜像拉取命令
Docker 镜像加速服务
轩辕镜像平台优势
镜像下载指南
相关 Docker 镜像推荐
Cilium是开源软件,为应用工作负载(如容器或进程)提供并透明保护网络连接与负载均衡,在3/4层提供传统网络和安全服务,在7层保护现代应用协议(如HTTP、gRPC、Kafka),基于eBPF技术,集成Kubernetes等编排框架。
0 次下载activecilium镜像
docker-plugin 镜像详细说明
docker-plugin 使用指南
docker-plugin 配置说明
docker-plugin 官方文档
Cilium Docker镜像文档
镜像概述和主要用途
Cilium是一款开源软件,用于为应用工作负载(如应用容器或进程)提供并透明地保护网络连接和负载均衡。Cilium在3/4层提供传统网络和安全服务,同时在7层保护现代应用协议(如HTTP、gRPC和Kafka)的使用安全。Cilium已集成到Kubernetes和Mesos等常见编排框架中。
Cilium的基础是名为eBPF_的新型Linux内核技术。它支持将eBPF字节码动态插入Linux内核的各个集成点(如网络IO、应用套接字和跟踪点),以实现安全、网络和可见性逻辑。eBPF具有高效性和灵活性。要了解更多关于eBPF的信息,请访问eBPF.io_。
!Cilium概述
稳定版本
Cilium社区为最新的三个主要版本维护次要稳定版本。更早的主要版本的稳定版本被视为已终止支持(EOL)。
如需升级到新的主要版本,请参考《Cilium升级指南》。
以下是当前积极维护的发布分支,包括其最新次要版本、对应的镜像拉取标签和发布说明:
| 版本分支 | 发布日期 | 镜像拉取标签 | 发布说明 | 公告 |
|---|---|---|---|---|
v1.8 | 2020-09-30 | docker.io/cilium/cilium:v1.8.4 | 发布说明 | 通用公告 |
v1.7 | 2020-09-30 | docker.io/cilium/cilium:v1.7.10 | 发布说明 | 通用公告 |
v1.6 | 2020-09-30 | docker.io/cilium/cilium:v1.6.12 | 发布说明 | 通用公告 |
核心功能和特性
透明保护API
能够保护现代应用协议(如REST/HTTP、gRPC和Kafka)的安全。传统防火墙在3/4层运行,特定端口上的协议要么完全受信任,要么被完全阻止。Cilium能够基于单个应用协议请求进行过滤,例如:
- 允许所有方法为
GET且路径为/public/.*的HTTP请求,拒绝所有其他请求。 - 允许
service1向Kafka主题topic1生产消息,service2从topic1消费消息,拒绝所有其他Kafka消息。 - 要求所有REST调用中必须包含HTTP头
X-Token: [0-9]+。
有关支持的协议最新列表和使用示例,请参阅文档中的[7层策略]_部分。
基于身份的服务间通信安全
现代分布式应用依赖应用容器等技术来实现部署敏捷性和按需扩展。这导致在短时间内启动大量应用容器。典型的容器防火墙通过过滤源IP地址和目标端口来保护工作负载。这种方式要求集群中任何地方启动容器时,所有服务器上的防火墙都要进行配置,从而限制了扩展性。
为避免这种限制扩展性的情况,Cilium为共享相同安全策略的应用容器组分配安全身份。该身份随后与应用容器发出的所有网络数据包相关联,允许在接收节点验证身份。安全身份管理通过键值存储执行。
保护与外部服务的进出访问
基于标签的安全是集群内部访问控制的首选工具。为保护与外部服务的进出访问,支持传统的基于CIDR的入口和出口安全策略。这允许将应用容器的进出访问限制在特定IP范围内。
简单网络
一个简单的扁平3层网络,能够跨多个集群连接所有应用容器。通过使用主机范围分配器,IP分配保持简单,这意味着每个主机可以分配IP而无需主机之间的协调。
支持以下多节点网络模型:
-
覆盖网络(Overlay):基于封装的虚拟网络,跨所有主机。目前内置VXLAN和Geneve,但支持Linux支持的所有封装格式。
使用场景:此模式对基础设施和集成要求最低。几乎适用于任何网络基础设施,唯一要求是主机之间的IP连接(通常已满足)。
-
原生路由(Native Routing):使用Linux主机的常规路由表。网络需要能够路由应用容器的IP地址。
使用场景:此模式适用于高级用户,需要了解底层网络基础设施。适用于:
- 原生IPv6网络
- 与云网络路由器结合使用
- 已运行路由守护进程的环境
负载均衡
Cilium为应用容器之间以及与外部服务的流量实现分布式负载均衡,能够完全替代kube-proxy等组件。负载均衡在eBPF中使用高效哈希表实现,支持几乎无限扩展。
对于南北向负载均衡,Cilium的eBPF实现针对性能优化,可附加到XDP(快速数据路径),并支持直接服务器返回(DSR)和Maglev一致性哈希(如果负载均衡操作不在源主机上执行)。
对于东西向负载均衡,Cilium在Linux内核的套接字层(如TCP连接时)执行高效的服务到后端转换,避免了低层每包NAT操作的开销。
带宽管理
Cilium通过基于EDT(最早 departure 时间)的高效速率限制,为节点出口的容器流量实现带宽管理。与带宽CNI插件使用的传统HTB(层次令牌桶)或TBF(令牌桶过滤器)相比,这显著降低了应用的传输尾部延迟,并避免了多队列NIC下的锁定问题。
监控和故障排除
获得可见性和故障排除能力是任何分布式系统运行的基础。虽然我们喜爱tcpdump和ping等工具,但我们致力于提供更好的故障排除工具,包括:
- 带元数据的事件监控:丢包时,工具不仅报告数据包的源和目的IP,还提供发送方和接收方的完整标签信息等。
- 策略决策跟踪:分析数据包被丢弃或请求被拒绝的原因。策略跟踪框架允许基于运行中的工作负载和任意标签定义跟踪策略决策过程。
- Prometheus指标导出:通过Prometheus导出关键指标,集成到现有仪表板。
- Hubble_:专为Cilium编写的可观测性平台,提供服务依赖图、操作监控和告警,以及基于流日志的应用和安全可见性。
集成
- 网络插件集成:CNI_、libnetwork_
- 容器运行时事件:containerd_
- Kubernetes:NetworkPolicy_、Labels_、Ingress_、Service_
入门指南
- [为什么选择Cilium?]_
- [入门指南]_
- [架构和概念]_
- [安装Cilium]_
- [常见问题]_
- 贡献_
什么是eBPF和XDP?
Berkeley Packet Filter(BPF)是Linux内核字节码解释器,最初用于过滤网络数据包(如tcpdump和套接字过滤器)。BPF指令集和相关架构最近经过重大改进,增加了哈希表和数组等数据结构(用于保存状态)以及支持数据包修改、转发、封装等的操作。此外,LLVM的编译器后端允许用C编写程序并编译为BPF指令。内核验证器确保BPF程序安全运行,JIT编译器将BPF字节码转换为CPU架构特定指令以实现原生执行效率。BPF程序可在内核的多个挂钩点运行,如入站数据包、出站数据包、系统调用、kprobes、uprobes、跟踪点等。
BPF随着每个Linux版本不断发展并获得更多功能。Cilium利用BPF执行核心数据路径过滤、修改、监控和重定向,需要Linux内核4.8.0或更高版本的BPF功能(最新稳定Linux内核为4.14.x)。
许多Linux发行版(包括CoreOS、Debian、Docker的LinuxKit、Fedora、openSUSE和Ubuntu)已 shipping 内核版本≥4.8.x。可通过运行uname -a检查Linux内核版本。如未运行足够新版本的内核,请参考Linux发行版文档了解如何运行Linux内核4.9.x或更高版本。
有关运行BPF运行时所需的内核版本,请参阅前提条件_部分。
!BPF概述
XDP是进一步的演进,允许从网络驱动程序运行特定类型的BPF程序,直接访问数据包的DMA缓冲区。这是软件栈中最早的可编程高性能数据包处理点。
有关面向开发人员的BPF和XDP更多信息,请参阅[BPF和XDP参考指南]_。
社区
Slack
加入Cilium Slack频道,与Cilium开发人员和其他用户交流。这是了解Cilium、提问和分享经验的好地方。
特别兴趣小组(SIG)
有关所有SIG及其会议时间的列表,请参阅特别兴趣小组。
每周开发者会议
- 开发者社区每周通过Zoom交流,欢迎所有人参加。
- 每周一,上午8:00(太平洋时间)、上午11:00(东部时间)、下午5:00(中欧夏令时间)
- 加入Zoom
许可证
Cilium用户空间组件采用Apache许可证2.0版授权。BPF代码模板采用GNU通用公共许可证2.0版授权。
.. _Hubble: []
.. _CNI: []
.. _libnetwork: []
.. _containerd: []
.. _Service: []
.. _Ingress: []
.. _NetworkPolicy: []
.. _Labels: []
.. _7层策略: []
.. _为什么选择Cilium?: []
.. _入门指南: []
.. _架构和概念: []
.. _安装Cilium: []
.. _常见问题: []
.. _贡献: []
.. _前提条件: []
.. _BPF和XDP参考指南: []
.. _eBPF: []
.. _eBPF.io: [***]
常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 加速,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像免费版与专业版有分别支持哪些镜像?
免费版仅支持 docker.io;专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
轩辕镜像下载加速使用手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录方式进行 Docker 镜像下载加速教程
通过 Docker 登录方式配置轩辕镜像加速服务,包含7个详细步骤
Linux Docker 镜像下载加速教程
在 Linux 系统上配置轩辕镜像源,支持主流发行版
Windows/Mac Docker 镜像下载加速教程
在 Docker Desktop 中配置轩辕镜像加速,适用于桌面系统
Docker Compose 镜像下载加速教程
在 Docker Compose 中使用轩辕镜像加速,支持容器编排
K8s containerd 镜像下载加速教程
在 k8s 中配置 containerd 使用轩辕镜像加速
宝塔面板 Docker 镜像下载加速教程
在宝塔面板中配置轩辕镜像加速,提升服务器管理效率
群晖 NAS Docker 镜像下载加速教程
在 Synology 群晖NAS系统中配置轩辕镜像加速
飞牛fnOS Docker 镜像下载加速教程
在飞牛fnOS系统中配置轩辕镜像加速
极空间 NAS Docker 镜像下载加速教程
在极空间NAS中配置轩辕镜像加速
爱快路由 ikuai Docker 镜像下载加速教程
在爱快ikuai系统中配置轩辕镜像加速
绿联 NAS Docker 镜像下载加速教程
在绿联NAS系统中配置轩辕镜像加速
威联通 NAS Docker 镜像下载加速教程
在威联通NAS系统中配置轩辕镜像加速
Podman Docker 镜像下载加速教程
在 Podman 中配置轩辕镜像加速,支持多系统
ghcr、Quay、nvcr、k8s、gcr 等仓库下载镜像加速教程
配置轩辕镜像加速9大主流镜像仓库,包含详细配置步骤
专属域名方式进行 Docker 镜像下载加速教程
无需登录即可使用轩辕镜像加速服务,更加便捷高效
需要其他帮助?请查看我们的 常见问题 或 官方QQ群: 13763429