一、基础知识：eBPF和XDP1.1BPF全称为“BerkeleyPacketFilter”，于1997年自Linux2.1.75版本的内核引入。基于寄存器(CPU之上的小型存储空间)的虚拟机，运行于内核空间。主要功能包括：负责运行从用户空间(通过系统调用)注入的代码而无须对内核进行编程（开发内核模块）。使用自定义的64

使用go开发ebpf程序最常见的一个框架就是cilium。开发前需要了解ebpf，了解go语言的基础知识。在本地安装go之后下载bpf2gogogetgithub.com/cilium/ebpf/cmd/bpf2go从最简单的开发框架开始下载示例源码gitclonehttps://github.com/cilium/ebpf.git在ebpf/examples下是官方

在容器化网络中，如使用Cilium这类容器网络解决方案时，当数据包到达网络时，会经过以下处理流程：数据包到达:数据包（例如，TCP或UDP）到达物理服务器的网络接口卡（NIC）。目的地址检查:系统检查数据包的目的IP地址。如果这个地址是配置在负载均衡器（LB）中的虚拟IP（VIP），则表明这个

开源项目CyclopsCyclops是一个开源的开发工具，通过易于使用的用户界面简化了Kubernetes，使其更易上手。不再需要使用YAML创建和配置Kubernetes清单，可以使用Cyclops轻松配置和部署应用程序，还包括验证功能！KubetailKubetail是一个用于Kubernetes集群的私有实时日志查看

在Kubernetes（K8S）中，Calico和Cilium是两种流行的容器网络接口（CNI）插件，它们各自具有独特的特点和优势。下面将详细比较这两种CNI插件，并探讨Calico的IPIP模型和Cilium的VXLAN模型在数据处理上的差异。1.Calico与Cilium的区别CalicoCilium基础架构基于BGP的纯三层网络方案

CiliumGatewayAPI特性（转载）一、环境信息主机IPubuntu10.0.0.234软件版本docker26.1.4helmv3.15.0-rc.2kind0.18.0kubernetes1.23.4ubuntuosUbuntu22.04.6LTSkernel5.15.0-106二、CiliumGatewayAPI流程图Cilium现在

CiliumLBIPAM概念一、环境信息主机IPubuntu172.16.94.141软件版本docker26.1.4helmv3.15.0-rc.2kind0.18.0kubernetes1.23.4ubuntuosUbuntu20.04.6LTSkernel5.11.5内核升级文档二、CiliumLBIPAM概念说明参考官方文档

CiliumDSR（转载）一、环境信息主机IPubuntu10.0.0.234软件版本docker26.1.4helmv3.15.0-rc.2kind0.18.0kubernetes1.23.4ubuntuosUbuntu22.04.6LTSkernel5.15.0-106内核升级文档使用5.11.5内核版本的20.04版本，发起curl

CiliumSocketLB一、环境信息主机IPubuntu172.16.94.141软件版本docker26.1.4helmv3.15.0-rc.2kind0.18.0kubernetes1.23.4ubuntuosUbuntu20.04.6LTSkernel5.11.5内核升级文档二、CiliumSocketLB模式认知负载均衡的实

1.部署Cilium网络组件1.1在k8s-master节点上，下载安装helmwgethttps://mirrors.huaweicloud.com/helm/v3.15.2/helm-v3.15.2-linux-amd64.tar.gztar-zxvfhelm-v3.15.2-linux-amd64.tar.gzcplinux-amd64/helm/usr/bin/#helmversionversion.BuildInfo{Version:"v3.1

架构支持AMD64AArch64内核版本Linuxkernel>=4.19.57Linux发行版兼容性和注意事项发行版最低版本AmazonLinux2allBottlerocketOSallCentOS>=8.0Container-OptimizedOSallCoreOSallDebian>=10Buster

IntroductionClusterMesh主要处理集群间的通信、网络策略以及路由等问题。它能够处理跨多个Kubernetes集群的PodIP路由，通过隧道或直接路由实现无需网关或代理的跨集群通信，从而提高微服务架构的效率。CiliumClusterMesh可以连接多个集群的网络，只要所有集群都运行Ciliu

Encapsulation(隧道封装)当未提供配置时，Cilium会自动以这种模式运行，因为这种模式对底层网络基础设施的要求最少。在这种模式下，所有集群节点使用基于UDP的封装协议VXLAN或Geneve形成隧道网格。所有Cilium节点之间的流量都被封装。对网络的要求封装依赖于正常的节点之间的连通

cilium概述Cilium是一种网络、可观察性和安全解决方案，具有基于eBPF的数据平面。它提供了一个简单的扁平第3层网络，能够以本机路由或覆盖模式跨越多个集群。它具有L7协议感知能力，可以使用与网络寻址分离的基于身份的安全模型在L3-L7上实施网络策略。Cilium为Pod之间

ServiceMesh介绍ServiceMesh关注于集群内部的微服务通信、控制和监控。它提供诸如负载均衡、故障恢复、安全性增强、监控和跟踪等功能。ServiceMesh可以帮助管理复杂的微服务架构，实现服务之间的可靠通信，并提供各种附加功能来增强系统的可观测性和安全性。随着分布式应用程

cilium组件架构图CiliumAgentCiliumagent(cilium-agent)在集群中的每个节点上运行。在较高级别上，代理通过Kubernetes或API接受配置，这些配置描述了网络、服务负载平衡、网络策略以及可观测性和监控要求。Ciliumagent侦听来自Kubernetes等编排系统的事件，以了解容

 一、集群信息操作系统：ubuntu22.04内核：5.15.0-105-genericcontainerd版本：1.6.31kubernetes版本：1.28.9网络插件：ciliumcilium版本：1.15.3pod负载均衡:metallbmetallb版本：0.14.5 1.1、节点准备k8s-cilium-master-01172.16.88.614vcpu8G50Gk8s-cilium-master-02

ebpf在Android安全上的应用：ebpf的一些基础知识(上篇)一、ebpf介绍eBPF是一项革命性的技术，起源于Linux内核，它可以在特权上下文中（如操作系统内核）运行沙盒程序。它用于安全有效地扩展内核的功能，而无需通过更改内核源代码或加载内核模块的方式来实现。（PS：介绍来源于https://ebpf.i

 http://arthurchiao.art/blog/trip-stepping-into-cloud-native-networking-era-zh/ Thispostalsoprovidesan Englishversion.本文是我们的前一篇博客 Trip.com:FirstSteptowardsCloudNativeNetworking 的后续，介绍自上一篇博客以来我们在基于Cilium的

Hubble概述Hubble是一个完全分布式网络和安全可观测平台。它构建在Cilium和eBPF之上，能够以完全透明的方式深入了解服务的通信和行为以及网络基础设施。通过构建在Cilium之上，Hubble可以利用eBPF来提高可观测性。通过依赖eBPF，所有可观测性都是可编程的，并允许采用动态

开源项目推荐kubernetes-reflectorReflector是一个Kubernetes的插件，旨在监视资源（secrets和configmaps）的变化，并将这些变化反映到同一命名空间或其他命名空间中的镜像资源中。LingoLingo是适用于K8s的OpenAI兼容LLM代理和自动缩放器。canary-checkercanary-checke

Flannel常见采取UDPOverlay方案，VxLAN性能比TUN强一点，一个是内核态一个是用户态。Calico是一个纯三层的方案，不需要Overlay，基于Etcd维护网络准确性，也基于Iptables增加了策略配置Cilium就厉害了，基于eBPF和XDP的方案，eBPF/XDP处理数据包的速度可以和DPDK媲美，零拷

本文分享自华为云社区《容器网络Cilium入门系列之DualStack双栈特性分析》，作者：可以交个朋友。一、关于IPV6/IPV4双栈目前很多公司开始将自己的业务由ipv4切换成ipv6，或者ipv4,ipv6共存。ipv4ipv6共存（DualStack）有两种方式:一个网卡上有两个IP地址，一个是ipv4，一个是ipv6。

开源项目推荐ReloaderReloader是一个Kubernetes控制器，用于监控ConfigMap和Secrets中的变化，并对Pod及其相关部署、StatefulSet、DaemonSet和DeploymentConfig进行滚动升级！SpegelSpegel在瑞典语中意为镜像，是一种无状态集群本地OCI注册镜像。Spegel使Kubernete

系列文章Cilium系列文章前言今天我们进入Cilium安全相关主题,基于Cilium官方的《星球大战》Demo做详细的CiliumNetworkPolicy实战演练。场景您是帝国(Empire)的平台工程团队的一员，负责开发死星(DeathStar)API并将其部署到帝国银河Kubernetes服务(Imperial