cilium/hubble-relay Docker Image Overview

cilium/hubble-relay

cilium

cilium/hubble-relay是Cilium可观测性平台Hubble的核心中继组件Docker镜像，专为分布式云原生环境设计，负责跨集群聚合、转发eBPF采集的网络流量与安全事件数据。它支持多集群部署架构，通过轻量级容器化方式提供高可用数据中继能力，帮助用户实时监控服务间通信、追踪网络策略执行情况，快速定位网络故障与安全威胁，是构建云原生网络可观测性体系的关键工具。

下载次数: 0状态：社区镜像维护者：cilium仓库类型：镜像最近更新：9 天前

使用轩辕镜像，把时间还给真正重要的事。点击查看

中文简介版本下载

使用轩辕镜像，把时间还给真正重要的事。点击查看

Cilium 简介

Cilium 是一款开源软件，用于为应用工作负载（如容器或进程）提供网络连接、负载均衡，并透明地保障其安全性。它在网络层（L3/4）提供传统网络和安全服务，同时在应用层（L7）保护 HTTP、gRPC、Kafka 等现代应用协议。Cilium 已集成到 Kubernetes、Mesos 等主流编排框架中。

其核心技术基于 Linux 内核的 eBPF 技术，支持在网络 IO、应用套接字、跟踪点等内核集成点动态插入 eBPF 字节码，实现安全、网络和可观测性逻辑。eBPF 兼具高效性和灵活性，更多信息可参考 eBPF.io。

稳定版本

Cilium 社区会维护最近三个主要版本的次要稳定版，更早的版本将停止支持（EOL）。升级至新主要版本可参考 Cilium 升级指南。

以下是当前活跃维护的版本分支及其最新次要版本信息：

版本分支	发布日期	镜像拉取标签	发布说明	发布公告
v1.8	2020-09-30	`docker.io/cilium/cilium:v1.8.4`	Release Notes	发布公告
v1.7	2020-09-30	`docker.io/cilium/cilium:v1.7.10`	Release Notes	发布公告
v1.6	2020-09-30	`docker.io/cilium/cilium:v1.6.12`	Release Notes	发布公告

功能概述

透明保护 API

支持对 HTTP、gRPC、Kafka 等现代协议的细粒度访问控制，突破传统 L3/4 防火墙仅基于端口过滤的限制。例如：

允许 HTTP 的 GET 方法访问 /public/.* 路径，拒绝其他请求；
限制 service1 向 Kafka 主题 topic1 生产消息，service2 消费 topic1，拒绝其他消息；
要求所有 REST 请求必须包含 HTTP 头 X-Token: [0-9]+。

更多支持的协议和示例可参考文档 L7 策略。

基于身份的服务间通信安全

现代分布式应用通过容器快速扩缩容，导致集群内容器数量激增。传统容器防火墙基于源 IP 和目标端口过滤，需在容器启停时频繁更新所有节点的防火墙规则，限制了扩展性。

Cilium 为具有相同安全策略的容器组分配「安全身份」，并将身份关联到容器发出的所有网络包，接收节点可直接验证身份。身份管理通过键值存储实现，无需频繁更新防火墙。

外部服务访问控制

集群内服务通过标签实现访问控制，而外部服务访问则支持基于 CIDR 的传统安全策略（入站/出站），可限制容器与特定 IP 段的通信。

简单网络

采用扁平 L3 网络连接所有容器，支持跨集群部署。IP 分配通过主机级分配器实现，各主机独立分配 IP，无需协调。

支持两种多节点网络模式：

覆盖网络（Overlay）：基于封装的虚拟网络（内置 VXLAN、Geneve，支持所有 Linux 封装格式）。适用于基础设施要求低的场景，仅需主机间 IP 连通性。
原生路由（Native Routing）：使用 Linux 主机的常规路由表，要求底层网络能路由容器 IP。适用于 IPv6 网络、云路由器环境或已运行路由守护进程的场景。

负载均衡

Cilium 实现分布式负载均衡，可完全替代 kube-proxy 等组件。基于 eBPF 高效哈希表，支持近乎无限扩展：

南北向负载均衡：通过 XDP（快速数据路径）优化性能，支持直接服务器返回（DSR）和 Maglev 一致性哈希（非源主机负载均衡场景）。
东西向负载均衡：在 Linux 内核套接字层（如 TCP 连接建立时）完成服务到后端的转换，避免底层网络的逐包 NAT 开销。

带宽管理

通过基于 EDT（最早 departure 时间）的 eBPF 速率限制实现容器出口带宽管理，相比传统 HTB（层次令牌桶）或 TBF（令牌桶过滤器），可显著降低传输延迟，避免多队列网卡下的锁竞争。

监控与故障排除

提供丰富的可观测工具：

带元数据的事件监控：丢包时不仅报告源/目标 IP，还提供发送方和接收方的完整标签信息；
策略决策追踪：分析包丢弃或请求拒绝的原因，支持基于实时工作负载或任意标签的策略测试；
Prometheus 指标：导出关键指标，集成现有监控面板；
Hubble：Cilium 专用可观测平台，提供服务依赖图、运行监控、告警及基于流日志的应用/安全可视化（Hubble 项目）。

集成

网络插件：CNI、libnetwork；
容器运行时：containerd；
Kubernetes：NetworkPolicy、标签、Ingress、Service。

快速入门

为什么选择 Cilium？
快速开始
架构与概念
安装指南
常见问题
贡献指南

eBPF 与 XDP 简介

eBPF（扩展 Berkeley 包过滤器）是 Linux 内核字节码解释器，最初用于包过滤（如 tcpdump），现已扩展支持哈希表、数组等数据结构，可实现包修改、转发、封装等功能。通过 LLVM 编译器，可使用 C 编写 eBPF 程序，内核验证器确保安全性，JIT 编译器将字节码转换为原生指令以提高效率。Cilium 需 Linux 内核 4.8.0 及以上版本（支持 eBPF 核心功能）。

XDP（快速数据路径）是 eBPF 的扩展，允许在网络驱动层直接访问数据包 DMA 缓冲区运行 eBPF 程序，是内核网络数据路径中最早的可编程处理点，性能极高。

更多技术细节可参考 BPF 与 XDP 参考指南。