eBPF 以其应用透明、高性能和低开销而闻名,因此云原生社区一直在探索其在无边车网格服务(service mesh without sidecar) 中的应用场景。Cilium 是一个为云原生环境如(Kubernetes 集群和其他容器编排平台)提供网络、安全性和可观察性的开源项目。Cilium 为路由或覆盖网络提供了一个简单的第三层网络,并且还支持 L7 协议。通过将安全性从寻址中解耦,Cilium 可以作为一种新的网络保护层发挥重要作用。我们已经看到一些云服务提供商采用了 Cilium,我们的一些项目中也使用了 Cilium。社区仍在讨论 eBPF 是否可以替代边车(sidecar),但似乎这已经达成共识,即某些网格功能不能或不应该在内核中执行。此外,使用 Cilium 还需要 eBPF 相关的经验。基于我们项目取得的良好成果,我们建议您亲自实践一下这项技术。
Traditional Linux network security approaches, such as iptables, filter on IP address and TCP/UDP ports. However, these IP addresses frequently churn in dynamic microservices environments. By leveraging Linux eBPF, Cilium provides API-aware networking and security by transparently inserting security in a way that is based on service, pod or container identity in contrast to IP address identification. By decoupling security from addressing, Cilium could play a significant role as a new network protection layer and we recommend you to check it out.
