Cilium 深入 - souloss

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1942 字

6 分钟

Cilium 深入

2026-03-04

eBPF

/

底层原理

Cilium 是 eBPF 技术在云原生领域最成功的实践——它不仅替代了 kube-proxy 和 iptables，更重新定义了 Kubernetes 网络安全模型。从 Google、Apple、Meta 到字节跳动、阿里巴巴，Cilium 已成为大规模 Kubernetes 集群网络的事实标准。

这一章的主角是Cilium 的核心架构——理解它如何用 eBPF 构建高性能、可编程、身份驱动的网络方案。

一、Cilium 架构总览#

1.1 核心组件#

flowchart TB subgraph CiliumAgent["Cilium Agent（每个 Node）"] API["Cilium API"] KVSTORE["KV Store Cluster Mesh"] IDENTITY["Identity Manager 身份管理"] POLICY["Policy Engine 策略引擎"] PROXY["Envoy Proxy L7 策略"] end subgraph eBPF管线["eBPF 管线"] XDP["XDP 程序 DDoS/LB"] TC_IN["TC ingress 连接跟踪/NAT"] TC_OUT["TC egress SNAT/策略"] end subgraph Operator["Cilium Operator"] IPAM["IPAM IP 地址管理"] CG["Cilium Gateway Gateway API"] end subgraph Hubble["Hubble"] HSRV["Hubble Server"] HRELAY["Hubble Relay"] HUI["Hubble UI"] end K8S["Kubernetes API"] --> CiliumAgent CiliumAgent --> eBPF管线 CiliumAgent --> Hubble Operator --> K8S style eBPF管线 fill:#c8e6c9,stroke:#2e7d32 style Hubble fill:#bbdefb,stroke:#1565c0

1.2 Cilium 的 eBPF 管线#

Cilium 在每个 Node 上部署一组 eBPF 程序，形成完整的网络处理管线：

阶段	eBPF 程序	功能
XDP	xdp.c	DDoS 防护、NodePort 加速
TC ingress	bpf_lxc.c	连接跟踪、DNAT、策略检查
TC egress	bpf_lxc.c	SNAT、策略检查
Socket	bpf_sock.c	Socket 短路优化

二、身份安全模型#

2.1 传统 IP vs Cilium 身份#

传统网络安全基于 IP 地址——防火墙规则匹配源/目标 IP。但在 Kubernetes 中，Pod IP 是动态的，基于 IP 的安全规则不可靠。

Cilium 引入了**基于身份（Identity）**的安全模型：

flowchart TB subgraph 传统模型["传统模型（基于 IP）"] FW1["防火墙规则 src=10.0.1.5 → ALLOW"] FW2["问题：Pod 重建后 IP 变化 规则失效"] end subgraph 身份模型["Cilium 模型（基于身份）"] ID1["身份 = 标签组合 app=frontend → Identity 10001"] ID2["eBPF 规则 Identity 10001 → Identity 10002 → ALLOW"] ID3["优势：Pod 重建后身份不变 规则始终有效"] end style 传统模型 fill:#ffcdd2,stroke:#c62828 style 身份模型 fill:#c8e6c9,stroke:#2e7d32

2.2 身份的工作原理#

身份分配：Cilium 根据 Pod 的标签（Labels）计算身份 ID
身份传播：身份信息通过 KV Store 在集群中传播
eBPF 查找：eBPF 程序根据数据包的源/目标 IP 查找身份
策略匹配：基于身份匹配 NetworkPolicy 规则

1
# 查看 Cilium 身份
2
cilium identity list
3

4
# 输出示例：
5
# ID    LABELS
6
# 1     reserved:host
7
# 2     reserved:world
8
# 10001 app=frontend,env=prod
9
# 10002 app=backend,env=prod
10
# 10003 app=database,env=prod

2.3 NetworkPolicy 实现#

1
# Cilium NetworkPolicy（基于身份）
2
apiVersion: cilium.io/v2
3
kind: CiliumNetworkPolicy
4
metadata:
5
  name: frontend-to-backend
6
spec:
7
  endpointSelector:
8
    matchLabels:
9
      app: backend
10
  ingress:
11
  - fromEndpoints:
12
    - matchLabels:
13
        app: frontend
14
    toPorts:
15
    - ports:
16
      - port: "8080"
17
        protocol: TCP

Cilium 将此策略编译为 eBPF 规则：

1
Identity 10001 (frontend) → Identity 10002 (backend) : TCP/8080 → ALLOW
2
其他 → Identity 10002 (backend) : DROP

2.4 L7 策略与 Envoy 集成#

L3/L4 策略仅能基于 IP 和端口做访问控制，但生产环境往往需要 HTTP 路径、gRPC 方法等应用层维度的精细策略。Cilium 通过嵌入 Envoy 代理实现 L7 策略：

当 TC eBPF 程序检测到某个连接命中了 L7 策略，会通过 Socket 级重定向将流量导入 Envoy。Envoy 解析 HTTP/gRPC 协议后，根据 Cilium 下发的 L7 规则做路径匹配、方法过滤、Header 检查，最终决定放行或拒绝。整个过程对应用透明——应用代码无需任何修改。

2.5 身份分配详解#

Cilium 的身份 ID 是一个 32 位无符号整数，由标签组合的哈希值决定。分配算法的核心流程：

收集 Pod 的全部标签，按字典序排列
对排序后的标签字符串计算 SHA256 哈希
取哈希值的前 32 位作为身份 ID
若与已有身份冲突，递增重试

属性	说明
身份范围	1–65535（保留 1–255 给系统身份）
保留身份	1=host, 2=world, 3=cluster, 4=health
冲突概率	标签组合空间远大于 65536，实际冲突率低
传播方式	通过 etcd/KV Store 在集群间同步

Warning

身份 ID 上限为 65535。在标签组合极多的大规模集群中（如多租户平台），可能面临身份耗尽。监控 cilium identity list | wc -l，当接近上限时需要合并标签策略以减少身份数量。

三、Cilium eBPF 管线详解#

3.1 数据包处理流程#

sequenceDiagram participant NIC as 网卡 participant XDP as XDP participant TC as TC ingress participant CT as 连接跟踪 participant POL as 策略引擎 participant NAT as NAT participant STACK as 协议栈 NIC->>XDP: 数据包到达 XDP->>XDP: DDoS 检查 XDP->>TC: XDP_PASS TC->>CT: 查找连接跟踪表 alt 已有连接 CT->>NAT: 直接转发 else 新连接 CT->>POL: 策略检查 POL->>POL: 身份查找 + 规则匹配 alt 允许 POL->>NAT: DNAT 到后端 NAT->>CT: 记录连接 else 拒绝 POL->>TC: DROP end end NAT->>STACK: 交给协议栈

3.2 连接跟踪表#

Cilium 维护自己的连接跟踪表（而非使用 Netfilter conntrack）：

1
// Cilium 连接跟踪条目（简化）
2
struct ct_entry {
3
    __u16 src_port;
4
    __u16 dst_port;
5
    __u32 src_ip;
6
    __u32 dst_ip;
7
    __u8 protocol;
8
    __u8 state;          // SYN_ESTABLISHED, ESTABLISHED, FIN, etc.
9
    __u32 src_identity;  // 源身份 ID
10
    __u32 dst_identity;  // 目标身份 ID
11
    __u64 last_seen;     // 最后活跃时间
12
    __u32 backend_ip;    // 后端 IP（DNAT）
13
    __u16 backend_port;  // 后端端口
14
};

3.3 eBPF Map 结构#

Map	类型	用途
CT_MAP	LRU_HASH	连接跟踪表
LB_MAP	HASH	Service 负载均衡
IDENTITY_MAP	HASH	IP → 身份映射
POLICY_MAP	HASH	身份 → 策略规则
METRICS_MAP	PERCPU_ARRAY	统计指标
TUNNEL_MAP	HASH	隧道端点映射
NODE_MAP	HASH	节点信息

3.4 Egress 数据路径#

出方向处理是 Cilium 管线中容易忽视的环节。当 Pod 发出的数据包离开节点时，TC egress 程序依次执行：

策略检查：基于源身份和目标身份匹配 egress 规则
SNAT：将 Pod IP 替换为节点 IP（跨节点通信时）
连接跟踪记录：写入 egress 方向的 CT 条目，用于回程匹配
Bandwidth Manager：应用 EDT 时间戳进行速率控制

1
// egress 方向简化处理逻辑
2
SEC("tc")
3
int tc_egress(struct __sk_buff *skb)
4
{
5
    // 查找源身份
6
    __u32 src_id = lookup_identity(skb->local_ip4);
7
    __u32 dst_id = lookup_identity(skb->remote_ip4);
8

9
    // egress 策略检查
10
    if (!policy_allow(src_id, dst_id, skb->protocol))
11
        return TC_ACT_SHOT;
12

13
    // SNAT：Pod IP → Node IP
14
    if (needs_snat(skb))
15
        do_snat(skb);
16

17
    return TC_ACT_OK;
18
}

3.5 Bandwidth Manager 与 EDT#

Cilium 的 Bandwidth Manager 使用 EDT（Earliest Departure Time）机制实现容器速率限制，比传统的 TBF（Token Bucket Filter）和 HTB 更高效：

传统方式在每个 qdisc 中排队数据包，EDT 则为每个数据包打上一个时间戳，表示”最早可发送时间”。网卡驱动在发送时检查时间戳，未到时间的包延迟发送。这种方式避免了 qdisc 排队带来的额外延迟和锁竞争。

1
# 启用 Bandwidth Manager
2
helm install cilium cilium/cilium \
3
    --set bandwidthManager.enabled=true \
4
    --set bandwidthManager.bbr=true

机制	原理	优势	限制
TBF/HTB	令牌桶排队	成熟稳定	多 qdisc 锁竞争
EDT	时间戳调度	无锁、低延迟	需要 5.1+ 内核

四、Hubble：网络可观测性#

4.1 Hubble 架构#

flowchart TB subgraph 每个Node AGENT["Cilium Agent"] --> HSRV["Hubble Server eBPF 事件流"] end HSRV -->|"gRPC"| HRELAY["Hubble Relay 聚合多节点"] HRELAY --> HUI["Hubble UI 可视化"] HRELAY --> CLI["hubble CLI 命令行"] HRELAY --> PROM["Prometheus 指标"] style HSRV fill:#c8e6c9,stroke:#2e7d32 style HRELAY fill:#bbdefb,stroke:#1565c0 style HUI fill:#fff9c4,stroke:#f9a825

4.2 Hubble 事件类型#

事件	来源	信息
DROP	TC eBPF	丢弃原因、身份、策略
TRACE	TC eBPF	数据包路径追踪
L7	Envoy	HTTP/gRPC 请求/响应
DEBUG	各组件	调试信息

4.3 Hubble CLI 使用#

1
# 查看 Pod 间流量
2
hubble observe --since 1m
3

4
# 过滤特定 Pod 的流量
5
hubble observe --to-pod app=backend
6

7
# 查看 DROP 事件
8
hubble observe --type drop
9

10
# 查看特定身份的流量
11
hubble observe --from-identity 10001
12

13
# 输出 JSON 格式
14
hubble observe -o json

五、ClusterMesh：多集群网络#

5.1 ClusterMesh 架构#

flowchart TB subgraph Cluster1["集群 A"] C1A["Cilium Agent"] --> KV1["etcd"] C1B["Cilium Agent"] --> KV1 end subgraph Cluster2["集群 B"] C2A["Cilium Agent"] --> KV2["etcd"] C2B["Cilium Agent"] --> KV2 end KV1 <-->|"身份传播 跨集群路由"| KV2 C1A <-->|"隧道/VXLAN"| C2A style Cluster1 fill:#e3f2fd,stroke:#1565c0 style Cluster2 fill:#e8f5e9,stroke:#2e7d32

5.2 ClusterMesh 的能力#

能力	说明
跨集群 Pod 通信	Pod 可以直接访问其他集群的 Service
跨集群 NetworkPolicy	策略可以引用其他集群的身份
全局 Service	Service 可以跨集群负载均衡
身份全局一致	同一标签在不同集群有相同身份 ID

5.3 ClusterMesh 部署#

1
# 启用 ClusterMesh
2
cilium clustermesh enable
3

4
# 连接两个集群
5
cilium clustermesh connect --destination-context cluster-b
6

7
# 验证连接
8
cilium clustermesh status
9
cilium clustermesh vm list

5.4 ClusterMesh 限制与调试#

ClusterMesh 在实际部署中存在一些限制，需要提前了解：

限制	说明
跨集群延迟	隧道封装增加 ~0.5–2ms 延迟，取决于物理距离
最大集群数	官方测试至 255 个集群，生产建议 ≤ 10
etcd 认证	跨集群 etcd 访问需要配置 TLS 证书
身份冲突	不同集群的标签策略必须协调，避免身份 ID 碰撞

调试 ClusterMesh 连接问题的常用命令：

1
# 检查跨集群连通性
2
cilium clustermesh connectivity status
3

4
# 查看远程集群的身份同步
5
cilium identity list --cluster
6

7
# 检查 etcd 连接状态
8
cilium clustermesh status --verbose

六、Cilium 替代 kube-proxy#

6.1 替代模式#

模式	说明
disabled	不替代，保留 kube-proxy
partial	部分 Service 由 eBPF 处理
strict	完全替代，移除 kube-proxy

6.2 完全替代的配置#

1
# Helm 安装 Cilium，完全替代 kube-proxy
2
helm install cilium cilium/cilium \
3
    --set kubeProxyReplacement=strict \
4
    --set hubble.enabled=true \
5
    --set hubble.relay.enabled=true \
6
    --set hubble.ui.enabled=true \
7
    --namespace kube-system

Warning

完全替代 kube-proxy（strict 模式）需要内核 5.10+ 和 BTF 支持。在生产环境部署前，务必在测试环境验证所有 Service 类型（ClusterIP、NodePort、LoadBalancer、ExternalName）的功能。

七、动手实践#

7.1 部署 Cilium#

1
# 使用 Helm 部署 Cilium
2
helm repo add cilium https://helm.cilium.io/
3
helm install cilium cilium/cilium \
4
    --set kubeProxyReplacement=partial \
5
    --set hubble.enabled=true \
6
    --namespace kube-system
7

8
# 验证 Cilium 状态
9
cilium status
10
cilium connectivity test

7.2 使用 Hubble 可观测性#

1
# 启用 Hubble
2
cilium hubble port-forward&
3

4
# 查看实时流量
5
hubble observe --since 1m
6

7
# 查看 DROP 事件
8
hubble observe --type drop
9

10
# 查看 DNS 查询
11
hubble observe --type l7 --verdict ERROR

7.3 Cilium NetworkPolicy#

1
# 创建 CiliumNetworkPolicy
2
kubectl apply -f - <<EOF
3
apiVersion: cilium.io/v2
4
kind: CiliumNetworkPolicy
5
metadata:
6
  name: l7-rule
7
spec:
8
  endpointSelector:
9
    matchLabels:
10
      app: backend
11
  ingress:
12
  - fromEndpoints:
13
    - matchLabels:
14
        app: frontend
15
    toPorts:
16
    - ports:
17
      - port: "80"
18
        protocol: TCP
19
      rules:
20
        http:
21
        - method: GET
22
          path: "/api/.*"
23
EOF
24

25
# 验证策略
26
cilium policy get

7.4 故障排查#

Cilium 集群的常见问题排查流程：

1
# 1. 检查 Cilium Agent 状态
2
cilium status
3

4
# 2. 查看 eBPF 程序加载情况
5
cilium bpf lb list       # Service 负载均衡规则
6
cilium bpf ct list global # 全局连接跟踪表
7
cilium bpf tunnel list    # 隧道映射
8

9
# 3. 导出连接跟踪表
10
cilium bpf ct dump global
11

12
# 4. 查看身份映射
13
cilium bpf identity list

7.5 cilium bpf 调试命令参考#

命令	用途
`cilium bpf lb list`	列出 Service 负载均衡规则
`cilium bpf ct list global`	查看连接跟踪表
`cilium bpf ct dump global`	导出完整连接跟踪数据
`cilium bpf tunnel list`	查看隧道端点映射
`cilium bpf identity list`	查看 IP → 身份映射
`cilium bpf policy list`	查看已加载的策略规则
`cilium bpf endpoint list`	查看端点信息
`cilium bpf ipcache list`	查看 IP 缓存（含身份和节点信息）

八、本章小结#

上一章建立了eBPF 可观测性工具的认知框架。

主题	关键要点
身份安全模型	基于标签的身份替代 IP 地址，Pod 重建后策略不变；L7 策略通过 Envoy 集成实现
身份分配	SHA256 哈希生成，上限 65535，大规模集群需监控耗尽风险
eBPF 管线	XDP → TC ingress → 连接跟踪 → 策略 → NAT → 协议栈 → TC egress
Egress 路径	策略检查 → SNAT → CT 记录 → EDT 速率控制
Bandwidth Manager	EDT 时间戳调度替代传统令牌桶，无锁低延迟
Hubble	实时网络可观测性，可视化 Pod 间流量
ClusterMesh	多集群网络，全局身份和跨集群 Service，注意延迟和规模限制
kube-proxy 替代	eBPF Map 查找替代 iptables 线性匹配
故障排查	`cilium bpf` 系列命令是调试的核心工具