understanding-the-buzz-around-cilium-introduction-and-in-production-at-alibaba-ji-ciliumdie-zha-daepnanoqiang-tang-zha-tao-rechang-bo-kang-li-alibabacloud-liyi-huang-cisco.pdf

1、深入了解Cilium背后的热潮：在阿里巴巴的实践Liyi Huang,Isovalent&Bokang Li,Alibaba Cloud 议程Cilium 基本介绍浅谈ACK上的network policy阿里云上的CNI阿里云上的规模化实践在阿里云上完整的cilium有什么额外功能1.16 新版本发布的亮眼特性提问时间-Networking-Security-Observability-Service Mesh&Ingress-based:FoundationTechnology4Over 120 USERS.md entries -Networking-Security-Observabi

2、lity-Service Mesh&Ingress-based:FoundationTechnology5 使 Linux 内核可以安全高效地编程。JavaScript之于浏览器，eBPF之于Linux内核ProcessSchedulerexecve()LinuxKernelSyscallKubernetes Network policy同一 Kubernetes 集群中的 Pod 可以不受限制地相互通信。如果要限制 Pod 之间的流量，则需要使用network policy。您可以在创建 ACK 群集时勾选框来启用network policy，如下图所示。Kubernetes Network

3、 policyPod A和B是否可以通信？一个基本的network policyKubernetes Network policy这对 Linux 主机到底意味着什么？需要查看主机上的 iptables 表/规则和 ipset。我发现在我的 KIND 集群上，只有 2 个 pod 和 3 个节点（1 个controller和 2 个workers），而且没有用户定义的服务，就有大约 300 条规则（包括 kube-proxy 的规则）。如何通过 iptable 规则知道是否有数据丢失？需要使用其他非标准network policy实现将流量记录到文件中查询的时间复杂度是 O(n)。Kubern

4、etes Network policy同样的策略对于cilium来说意味着什么Kubernetes Network policycilium 的network policy 时间复杂度为 O1。使用 cilium 工具可以轻松观测。我们稍后会介绍更高级的cilium network policy。Hubble 介绍12我们仍然需要进入 cilium 容器运行 cilium monitor 命令。如果我们有一个工具可以查看一个集群甚至更多集群上的所有流量日志呢？我们能将所有日志导出到 SIEM 吗？我们能否根据流量数据生成network policy？Hubble 总览13Hubble CLI1

5、4观测整个集群的流量过滤方式 ip/pod/svc/namespace/fqdn/http/type 等Hubble 图形化界面15Hubble metrics16关于阿里云No.1Market Share in the Asia Pacific89可用区30地域容器服务 alibabacloud阿里云上的CNIACK FlannelTerway网网络类络类型型VPC 路由ECS ENI（弹性网卡）网网络络加速加速Noneipvlan&eBPF,datapath V2规规模模200 节点(最多 1000 节点)5000 节点(最多 15000 节点)安全安全NonePod安全组,Network

6、Policy,ACK GlobalNetworkPolicyIPAM每个节点固定大小弹性，可随时扩容。支持固定IPNFVNoneRDMA,eRDMA,SMC-R,SRIOV,DPDK.Pod 南北向暴露南北向暴露NoneEIP,DNAT Gateway,IPv6 Gateway(配合 ack-extend-netwokr-controller)Loadbalancer 后端后端NodePortPod IP普通网络模式下的开销造成开销的原因是数据封包和内核路径的 长度普通网络模式下的开销vethvetheth1NodePodnetfilter&routeStander datapathIPvla