使用 Cilium 进行网络策略

本页面展示了如何使用 Cilium 来实现 NetworkPolicy。

有关 Cilium 的背景信息，请阅读 Cilium 简介。

准备工作

你需要拥有一个 Kubernetes 集群，并且 kubectl 命令行工具已配置为与你的集群通信。建议在至少有两个不是控制平面主机节点的集群上运行本教程。如果你还没有集群，可以使用 minikube 创建一个，或者使用这些 Kubernetes 游乐场之一

• iximiuz Labs
• Killercoda
• KodeKloud
• Play with Kubernetes

要检查版本，请输入 kubectl version。

在 Minikube 上部署 Cilium 进行基本测试

要轻松熟悉 Cilium，你可以按照 Cilium Kubernetes 入门指南 在 minikube 中执行 Cilium 的基本 DaemonSet 安装。

要启动 minikube，所需的最低版本为 >= v1.5.2，请使用以下参数运行

minikube version

minikube version: v1.5.2

minikube start --network-plugin=cni

对于 minikube，你可以使用其 CLI 工具安装 Cilium。为此，首先使用以下命令下载 CLI 的最新版本

curl -LO https://github.com/cilium/cilium-cli/releases/latest/download/cilium-linux-amd64.tar.gz

然后使用以下命令将下载的文件解压到你的 /usr/local/bin 目录

sudo tar xzvfC cilium-linux-amd64.tar.gz /usr/local/bin
rm cilium-linux-amd64.tar.gz

运行上述命令后，你现在可以使用以下命令安装 Cilium

cilium install

Cilium 将自动检测集群配置，并创建和安装成功安装所需的相应组件。这些组件是

• 秘密 cilium-ca 中的证书颁发机构 (CA) 以及 Hubble（Cilium 的可观测性层）的证书。
• 服务帐户。
• 集群角色。
• ConfigMap。
• Agent DaemonSet 和 Operator Deployment。

安装完成后，你可以使用 cilium status 命令查看 Cilium 部署的总体状态。请参阅 此处 的 status 命令的预期输出。

入门指南的其余部分解释了如何使用示例应用程序强制执行 L3/L4（即 IP 地址 + 端口）安全策略以及 L7（例如 HTTP）安全策略。

部署 Cilium 用于生产

有关部署 Cilium 用于生产的详细说明，请参阅：Cilium Kubernetes 安装指南。此文档包括详细的要求、说明和示例生产 DaemonSet 文件。

了解 Cilium 组件

使用 Cilium 部署集群会在 kube-system 命名空间中添加 Pod。要查看此 Pod 列表，请运行

kubectl get pods --namespace=kube-system -l k8s-app=cilium

你将看到一个类似于此的 Pod 列表

NAME           READY   STATUS    RESTARTS   AGE
cilium-kkdhz   1/1     Running   0          3m23s
...

一个 cilium Pod 在集群中的每个节点上运行，并使用 Linux BPF 对该节点上 Pod 的进出流量强制执行网络策略。

下一步

集群运行后，你可以按照 声明网络策略 尝试使用 Cilium 实现 Kubernetes NetworkPolicy。玩得开心，如果你有问题，请通过 Cilium Slack Channel 联系我们。