cilium 标签归档

共 6 篇文章 · 返回首页

【零信任安全架构】微分段深度拆解：从 VLAN 到 eBPF 的访问控制演化

2026-06-12 | architecture · security | #microsegmentation #cilium #istio #network-policy #ebpf #authorization-policy #zero-trust #kubernetes

微分段是零信任在网络层的核心机制——从传统 VLAN 的广播域隔离，到 Kubernetes NetworkPolicy 的 IP 级别过滤，再到 Cilium 基于身份的 eBPF 执行和 Istio 的 L7 策略。本文拆解四层微分段技术的实现原理、性能差异和适用场景，以及从'全通'到'全白名单'的策略制定流程。

【可观测性工程】网络可观测性：Cilium Hubble、Pixie、DeepFlow、Tetragon

2026-04-22 | architecture · observability | #network-observability #cilium #hubble #tetragon #pixie #deepflow #ebpf #bpftrace #kfree-skb-reason #flow-log #service-topology #tls-decryption #http2

从 L3/L4/L7 三层观测视角出发，讲 eBPF socket filter / tc / XDP 数据采集与 Cilium Hubble 流日志、Tetragon 安全可观测、Pixie 协议自动解析、DeepFlow 架构；展开 bpftrace + kfree_skb_reason 的内核丢包定位、TLS 解密、HTTP/2 解析与服务拓扑自动发现。

Linux 内核与 eBPF 工程索引

2026-04-22 | linux | #linux #ebpf #cilium #allocator #io_uring

汇总本站 Linux 内核工程相关文章，覆盖 eBPF、bpftrace、Cilium、io_uring 协同以及内存分配器实践。

【网络工程】eBPF 可编程网络：从包过滤到流量工程

2025-08-05 | network | #ebpf #xdp #cilium #networking #programmable-networking #bpf

eBPF 正在重新定义网络工程——从传统的 iptables/netfilter 规则堆砌，到可编程、可观测、高性能的网络数据平面。本文系统讲解 eBPF 网络程序类型（XDP/TC/Socket）、Map 数据结构、Cilium 的 eBPF 数据平面实现，以及 eBPF 在负载均衡、可观测性和网络安全中的工程实践。

【从零造容器】容器网络性能真相：veth vs macvlan vs eBPF 数据面

2026-04-11 | linux · containers · networking | #veth #macvlan #ipvlan #ebpf #cilium #iptables #container-networking #cni #benchmark #xdp

容器网络为什么比裸机慢？veth + bridge 每个包经过两次 netfilter，macvlan 跳过了 bridge，Cilium 用 eBPF 替掉了 iptables。到底慢多少？我们用 iperf3、wrk 和自定义 echo server 实测。

【eBPF 系列】eBPF + 容器：Cilium 的数据面为什么不再需要 iptables

2026-06-25 | linux | #cilium #ebpf #kubernetes #iptables #kube-proxy #service-mesh #networking #xdp #container

5000 个 Service、十万条 iptables 规则、一次更新锁五秒——这就是 kube-proxy 的现实。Cilium 用 eBPF Map 的 O(1) 查找干掉了整条 KUBE-SERVICES 链，顺便把 sidecar 也一起埋了。