Cilium是一種開源網絡實現方案,與其他網絡方案不同的是,Cilium着重強調了其在網絡安全上的優勢,可以透明的對Kubernetes等容器管理平台上的應用程序服務之間的網絡連接進行安全防護。
Cilium在設計和實現上,基於Linux的一種新的內核技術eBPF,可以在Linux內部動態插入強大的安全性、可見性和網絡控制邏輯,相應的安全策略可以在不修改應用程序代碼或容器配置的情況下進行應用和更新。
Cilium在其官網上對產品的定位稱為“API-aware Networking and Security”,因此可以看出,其特性主要包括這三方面:
提供Kubernetes中基本的網絡互連互通的能力,實現容器集群中包括Pod、Service等在內的基礎網絡連通功能;
依托eBPF,實現Kubernetes中網絡的可觀察性以及基本的網絡隔離、故障排查等安全策略;
依托eBPF,突破傳統主機防火牆僅支持L3、L4微隔離的限制,支持基於API的網絡安全過濾能力。Cilium提供了一種簡單而有效的方法來定義和執行基於容器/Pod身份(Identity Based)的網絡層和應用層(比如HTTP/gRPC/Kafka等)安全策略。
官網地址:
https://cilium.io/
https://docs.cilium.io/en/v1.10/
https://mp.weixin.qq.com/s/NrlxI5uMqQQ3sDrrPSKhZA
簡單介紹一下安裝:
參考官網用helm安裝
helm repo add cilium https://helm.cilium.io/
結合直接實際情況修改
我這邊默認用的就是10.0.0.0/8 的網段,所以不需要修改
helm install cilium cilium/cilium --namespace kube-system --set hubble.relay.enabled=true --set hubble.ui.enabled=true
我們使用Cilium,一個很大的原因,為了流量的可觀察性,所以我們部署Hubble。
Hubble是一個用於Cloud Native工作負載的完全分布式的網絡和安全性可觀察性平台,它基於Cilium和eBPF構建,以完全透明的方式實現對服務以及網絡基礎架構的通信和行為的深入可見性。
https://github.com/cilium/hubble
配置外部NG ,實現訪問SVC
最終的效果圖
參考文章:
https://www.jianshu.com/p/40dcebe7ca3c
https://mp.weixin.qq.com/s/NrlxI5uMqQQ3sDrrPSKhZA
https://davidlovezoe.club/wordpress/archives/851
https://www.cnblogs.com/charlieroro/p/12728891.html