图书
教程
Kubernetes 基础教程
Istio 基础教程
Envoy 基础教程
博客
社区
标签
关于
Cilium
概念
部署 标准 Cilium Kubernetes 部署的配置包括几个 Kubernetes 资源: DaemonSet 资源:描述部署到每个 Kubernetes 节点的 Cilium pod。这个 pod 运行 cilium-agent 和相关的守护进程。这个 DaemonSet 的配置包括指示 Cilium docker 容器的确切版本(例如 v1.0.0)的镜像标签和传递给 cilium-agent 的命令行选项。
网络
发布于 2022-06-17
基于身份
Kubernetes 等容器管理系统部署了一个网络模型,该模型为每个 pod(容器组)分配一个单独的 IP 地址。这确保了架构的简单性,避免了不必要的网络地址转换(NAT),并为每个单独的容器提供了全范围的端口号以供使用。这种模
网络
发布于 2022-06-17
七层可视性
虽然监控数据路径状态提供对数据路径状态的自省,但默认情况下它只会提供对三层/四层数据包事件的可视性。如果配置了 七层示例,则可以查看七层协议,但这需要编写每个选定端点的完整策略。为了在不配置完整策略的情
网络
发布于 2022-06-17
数据包流程
端点到端点 首先,我们使用可选的七层出口和入口策略显示本地端点到端点的流程。随后是启用了套接字层强制的同一端点到端点流。为 TCP 流量启用套接字层实施后,启动连接的握手将遍历端点策略对象,直到 TCP 状态为 ESTA
网络
发布于 2022-06-17
eBPF Map
所有 BPF Map 都是有使用容量上限的。超出限制的插入将失败,从而限制了数据路径的可扩展性。下表显示了映射的默认值。每个限制都可以在源代码中更改。如果需要,将根据要求添加配置选项。 Map 名称 范围 默认限制 规模影响 连接
网络
发布于 2022-06-17
IP 地址伪装
用于 Pod 的 IPv4 地址通常是从 RFC1918 私有地址块分配的,因此不可公开路由。Cilium 会自动将离开集群的所有流量的源 IP 地址伪装成节点的 IPv4 地址,因为节点的 IP 地址已经可以在网络上路由。 IP 地址伪装示意图 对于 IPv6 地址,只有在
网络
发布于 2022-06-17
策略执行
所有安全策略的描述都是假设基于会话协议的有状态策略执行。这意味着策略的意图是描述允许的连接建立方向。如果策略允许A => B,那么从 B 到 A 的回复数据包也会被自动允许。但是,并不自动允许 B 向 A 发起连接。如果希
网络
发布于 2022-06-17
端点生命周期
本节指定 Cilium 端点的生命周期。 Cilium 中的端点状态包括: restoring:端点在 Cilium 启动之前启动,Cilium 正在恢复其网络配置。 waiting-for-identity:Cilium 正在为端点分配一个唯一的身
网络
发布于 2022-06-17
多集群(集群网格)
集群网格将网络数据路径扩展到多个集群。它允许所有连接集群中的端点进行通信,同时提供完整的策略执行。负载均衡可通过 Kubernetes 注解获得。 请参阅如何设置集群网格的说明。
网络
发布于 2022-06-17
可观测性
可观测性由 Hubble 提供,它可以以完全透明的方式深入了解服务的通信和行为以及网络基础设施。Hubble 能够在多集群(集群网格) 场景中提供节点级别、集群级别甚至跨集群的可视性。有关 Hubble 的介绍以及它与 Cilium 的关系,请阅
网络
发布于 2022-06-17
««
«
1
2
3
4
»
»»
引用
×