kubernetes使用cilium网络插件替换kube proxy
eBPF是extended BPF的简称eBPF起源于BPF它提供了内核的数据包过滤机制其扩充了BPF的功能丰富了指令集.在Cilium出现之前Service由kube proxy来实现实现方式有userspace iptables ipvs三种模式.Cilium是基于eBpf的一种开源网络实现通过在Linux内核动态插入强大的安全性可见性和网络控制逻辑提供网络互通服务负载均衡安全和可观测性等解决方案.简单来说可以理解为Kube proxy CNI网络实现.Cilium位于容器编排系统和LinuxKernel之间向上可以通过编排平台为容器进行网络以及相应的安全配置向下可以通过在Linux内核挂载eBPF程序来控制容器网络的转发行为以及安全策略执行.
用户评论