在 Kubernetes 中管理 pod 时，Cilium 将为 Cilium 管理的每个 pod 创建一个 CiliumEndpoint （CEP）的自定义资源定义（CRD）。如果启用了 enable-cilium-endpoint-slice，那么 Cilium 还会创建一个 CiliumEndpointSlice （CES）类型的 CRD，将一组具有相同安全身份 的 CEP 对象分组到一个 CES 对象中，并广播 CES 对象来向其他代理传递身份，而不是通过广播 CEP 来实现。在大多数情况下，这减少了控制平面上的负载，可以使用相同的主资源维持更大规模的集群。

例如：

$ kubectl get ciliumendpointslices --all-namespaces
NAME                  AGE
ces-548bnpgsf-56q9f   171m
ces-dy4d8x6j2-qgc2z   171m
ces-f6qfylrxh-84vxm   171m
ces-k29rv92f5-qb4sw   171m
ces-m9gs68csm-w2qg8   171m