cilium/operator-generic Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
cilium/operator-genericcilium
cilium/operator-generic 是 Cilium 基于 eBPF 的容器网络解决方案中的通用操作员镜像,作为核心控制组件负责协调网络策略、节点配置及服务发现。在 Kubernetes 环境中,它实时监控集群状态,动态管理网络资源,确保网络策略精准执行、负载均衡高效配置及跨节点网络连通性稳定维护,有效提升容器网络的可靠性与安全性。
下载次数: 0状态:社区镜像维护者:cilium仓库类型:镜像最近更新:12 天前
Cilium 介绍
概述
Cilium 是一款开源软件,用于为应用工作负载(如容器或进程)提供网络连接、负载均衡,并透明地保障其安全性。它同时在网络层(L3/4)提供传统网络与安全服务,在应用层(L7)保护 HTTP、gRPC、Kafka 等现代协议。Cilium 已集成 Kubernetes、Mesos 等主流编排框架,其核心基于 Linux 内核新技术 eBPF,可动态将 eBPF 字节码插入内核的网络 IO、应用 socket、跟踪点等位置,实现高效灵活的安全、网络与可观测性逻辑。了解更多 eBPF 信息可访问 eBPF.io。
稳定版本
Cilium 社区会为最近三个主要版本维护次要稳定版,更早版本视为 EOL(生命周期结束)。升级至新版本可参考 Cilium 升级指南。以下是当前维护的版本信息:
| 版本分支 | 发布日期 | 镜像拉取标签 | 发布说明 | 版本公告 |
|---|---|---|---|---|
| v1.8 | 2020-09-30 | docker.io/cilium/cilium:v1.8.4 | Release Notes | 发布公告 |
| v1.7 | 2020-09-30 | docker.io/cilium/cilium:v1.7.10 | Release Notes | 发布公告 |
| v1.6 | 2020-09-30 | docker.io/cilium/cilium:v1.6.12 | Release Notes | 发布公告 |
核心功能
透明保护应用层 API
传统防火墙仅基于 L3/4 端口过滤,Cilium 可深入 L7 协议层,按请求细节控制流量,例如:
- 允许 HTTP
GET /public/.*请求,拒绝其他方法或路径; - 限制 Kafka 中
service1生产、service2消费topic1,拦截其他消息; - 要求所有 REST 调用必须包含 HTTP 头
X-Token: [0-9]+。
支持的协议与配置示例可参考文档 L7 策略。
基于身份的服务通信安全
现代分布式应用依赖容器快速扩缩容,传统基于 IP+端口的防火墙需频繁更新规则,难以扩展。Cilium 为具有相同安全策略的容器组分配“安全身份”,并将身份关联到网络包,接收端可直接验证身份(无需依赖 IP)。身份管理通过键值存储实现,避免跨主机规则同步。
外部服务访问安全
集群内访问控制推荐基于标签的策略,对外服务则支持传统 CIDR 规则(入站/出站),可限制容器仅能访问特定 IP 范围。
简化网络
Cilium 采用扁平化 L3 网络,支持跨集群通信,IP 分配通过主机本地分配器实现(无需主机间协调)。支持两种多节点网络模式:
-
Overlay 模式:基于封装的虚拟网络(默认 VXLAN/Geneve,支持所有 Linux 封装格式)。
适用场景:基础设施要求低,仅需主机间 IP 连通(多数环境已满足),兼容性强。 -
原生路由模式:使用 Linux 主机路由表,需底层网络能路由容器 IP。
适用场景:高级用户,需网络支持容器 IP 路由,如 IPv6 网络、云路由器环境或已部署路由守护进程的场景。
负载均衡
Cilium 基于 eBPF 实现分布式负载均衡,可替代 kube-proxy 等组件,通过高效哈希表支持大规模扩展:
- 南北向流量:优化性能,支持 XDP 挂载点、直接服务器返回(DSR)和 Maglev 一致性哈希;
- 东西向流量:在 Linux 内核 socket 层(如 TCP 连接阶段)完成服务到后端的转换,避免底层逐包 NAT 开销。
带宽管理
通过 eBPF 实现基于 EDT(最早 departure 时间)的速率限制,用于容器出流量控制。相比传统 HTB/TBF 方法,可显著降低传输尾延迟,避免多队列网卡下的锁竞争。
监控与故障排除
提供超越传统 tcpdump/ping 的工具链,包括:
- 带元数据的事件监控(如丢包时显示发送/接收端标签);
- 策略决策追踪(分析流量被拒绝的原因);
- Prometheus 指标导出(集成现有监控面板);
- Hubble 可观测性平台(提供服务依赖图、流量日志、安全可见性)。
集成能力
- 网络插件:CNI、libnetwork;
- 容器运行时:containerd;
- Kubernetes:NetworkPolicy、标签、Ingress、Service。
快速入门
- 为什么选择 Cilium?
- 快速开始
- 架构与概念
- 安装指南
- 常见问题
eBPF 与 XDP 技术背景
Cilium 核心依赖 Linux eBPF 技术。eBPF 是内核字节码解释器,支持动态插入程序到内核(如网络 IO、跟踪点),通过 LLVM 编译 C 代码生成 eBPF 字节码,内核验证器确保安全性,JIT 编译提升执行效率。Cilium 要求 Linux 内核 ≥ 4.8.0(推荐 ≥ 4.9.x)。
XDP 是 eBPF 的扩展,允许在网络驱动直接访问 DMA 缓冲区时运行 eBPF 程序,是内核网络数据路径中最早的可编程处理点,性能极高。
社区参与
- Slack:加入 Cilium Slack 频道,与开发者和用户交流。
- 兴趣小组(SIG):详情见 SIG 列表(含会议时间)。
- 每周开发者会议:
时间:每周一 8:00 AM PT / 11:00 AM ET / 5:00 PM CEST
参与链接:Zoom 会议
许可证
- 用户空间组件:Apache License 2.0
- BPF 代码模板:GPL v2.0
cilium/cilium
cilium
Cilium是基于eBPF数据平面的容器网络、可观测性和安全解决方案,支持多集群L3网络(覆盖网络/原生路由模式),提供L3-L7基于身份的网络策略,实现分布式负载均衡并可替代kube-proxy,具备API保护、带宽管理及深度可观测性(如Hubble)。
16 次收藏1亿+ 次下载
12 天前更新
cilium/operator
cilium
Cilium operator是Kubernetes环境中基于eBPF技术的Cilium网络解决方案控制器,负责管理网络策略、服务发现及负载均衡等资源,保障容器网络的自动化配置与安全运行。
2 次收藏1000万+ 次下载
12 天前更新
bitnamicharts/cilium
bitnamicharts
Bitnami提供的Helm chart,用于简化基于eBPF的Kubernetes网络与服务网格解决方案Cilium的部署及管理。
50万+ 次下载
6 个月前更新
cilium/starwars
cilium
死星即服务 (Deathstar as a Service)
1 次收藏100万+ 次下载
10 个月前更新
bitnami/cilium
bitnami
Bitnami为Cilium提供的安全镜像,用于容器网络与微服务安全,具备可靠部署特性和安全加固,支持基于eBPF的高性能网络连接及安全策略实施。
10万+ 次下载
6 个月前更新
cilium/hubble-relay
cilium
cilium/hubble-relay是Cilium可观测性平台Hubble的核心中继组件Docker镜像,专为分布式云原生环境设计,负责跨集群聚合、转发eBPF采集的网络流量与安全事件数据。它支持多集群部署架构,通过轻量级容器化方式提供高可用数据中继能力,帮助用户实时监控服务间通信、追踪网络策略执行情况,快速定位网络故障与安全威胁,是构建云原生网络可观测性体系的关键工具。
50万+ 次下载
12 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"