本文分享自华为云社区《容器网络Cilium入门系列之DualStack双栈特性分析》，作者：可以交个朋友。一、关于IPV6/IPV4双栈目前很多公司开始将自己的业务由ipv4切换成ipv6，或者ipv4,ipv6共存。ipv4ipv6共存（DualStack）有两种方式:一个网卡上有两个IP地址，一个是ipv4，一个是ipv6。标准实现方式。两个同样功能的网卡接口，一个提供ipv4，一个提供ipv6。通过负载均衡机制，将对应地址的请求发送到对应的网卡。目前k8s集群已经支持ipv4/ipv6双栈，从1.21的alpha版本到如今1.23的stable版本。同样ciliumcni也对双栈技术做了

开源项目推荐ReloaderReloader是一个Kubernetes控制器，用于监控ConfigMap和Secrets中的变化，并对Pod及其相关部署、StatefulSet、DaemonSet和DeploymentConfig进行滚动升级！SpegelSpegel在瑞典语中意为镜像，是一种无状态集群本地OCI注册镜像。Spegel使Kubernetes集群中的每个节点都能充当本地注册镜像，允许节点之间共享镜像。一个节点已提取的任何映像都可供集群中的任何其他节点提取。kr8s这是一个用于Kubernetes的简单、可扩展的Python客户端库，对于已经知道如何使用kubectl的人来说，感觉

序言做一件事并不难，难的是在于坚持。坚持一下也不难，难的是坚持到底。文章标记颜色说明：黄色：重要标题红色：用来标记结论绿色：用来标记论点蓝色：用来标记论点在现代容器化应用程序的世界中，容器编排平台Kubernetes已经成为标准。为了支持复杂的应用和微服务架构，网络是Kubernetes集群中不可或缺的一部分。本文将深入解析一种Kubernetes网络插件-Cilium，从多个方面进行详细介绍，包括概念介绍、优缺点、实现原理、使用场景、具体使用方法、常见问题以及解决方案。希望这篇文章能让你不仅有一定的收获，而且可以愉快的学习，如果有什么建议，都可以留言和我交流 专栏介绍这是这篇文章所在的专栏，

系列文章Cilium系列文章前言今天我们进入Cilium安全相关主题,基于Cilium官方的《星球大战》Demo做详细的CiliumNetworkPolicy实战演练。场景您是帝国(Empire)的平台工程团队的一员，负责开发死星(DeathStar)API并将其部署到帝国银河Kubernetes服务(ImperialGalacticKubernetesService,IGKS)。你已经部署了这项服务，但你需要确保只有帝国的铁甲战机(TIEfighters)才能通过HTTPPOST方法调用死星API进行登陆(landing)请求，而不能在API的任何其他路径（如排气口(exhaust)路径.😂

系列文章Cilium系列文章前言今天我们进入Cilium安全相关主题,介绍CiliumNetworkPolicies相比于Kubernetes网络策略最大的不同:7层网络策略能力.CiliumNetworkPolicy7层能力CiliumNetworkPolicy与标准NetworkPolicy的最大区别之一是支持L7协议感知规则。在Cilium中，可以为不同的协议（包括HTTP、Kafka和DNS）制定特定于协议的L7策略。第7层策略规则扩展了第4层策略的toPorts部分，可用于Ingress和Egress.📝Notes目前只支持L3/L4策略的编辑和制作,可以先用可视化编辑器制作L4的C

系列文章Cilium系列文章前言今天我们进入Cilium安全相关主题,介绍Kubernetes网络策略以及CiliumNetworkPolicies额外支持的内容。网络策略(NetworkPolicy)的类型默认情况下，Kubernetes集群中的所有pod都可被其他pod和网络端点访问。网络策略允许用户定义Kubernetes集群允许哪些流量,禁止哪些流量。传统的防火墙是根据源或目标IP地址和端口来配置允许或拒绝流量的(五元组)，而Cilium则使用Kubernetes的身份信息（如标签选择器、命名空间名称，甚至是完全限定的域名）来定义允许和不允许的流量规则。这样，网络策略就能在Kubern

系列文章Cilium系列文章前言将Kubernetes的CNI从其他组件切换为Cilium,已经可以有效地提升网络的性能.但是通过对Cilium不同模式的切换/功能的启用,可以进一步提升Cilium的网络性能.具体调优项包括不限于:启用本地路由(NativeRouting)完全替换KubeProxyIP地址伪装(Masquerading)切换为基于eBPF的模式KubernetesNodePort实现在DSR(DirectServerReturn)模式下运行绕过iptables连接跟踪(BypassiptablesConnectionTracking)主机路由(HostRouting)切换为基

系列文章Cilium系列文章前言将Kubernetes的CNI从其他组件切换为Cilium,已经可以有效地提升网络的性能.但是通过对Cilium不同模式的切换/功能的启用,可以进一步提升Cilium的网络性能.具体调优项包括不限于:启用本地路由(NativeRouting)完全替换KubeProxyIP地址伪装(Masquerading)切换为基于eBPF的模式KubernetesNodePort实现在DSR(DirectServerReturn)模式下运行绕过iptables连接跟踪(BypassiptablesConnectionTracking)主机路由(HostRouting)切换为基

系列文章Cilium系列文章前言将Kubernetes的CNI从其他组件切换为Cilium,已经可以有效地提升网络的性能.但是通过对Cilium不同模式的切换/功能的启用,可以进一步提升Cilium的网络性能.具体调优项包括不限于:启用本地路由(NativeRouting)完全替换KubeProxyIP地址伪装(Masquerading)切换为基于eBPF的模式KubernetesNodePort实现在DSR(DirectServerReturn)模式下运行绕过iptables连接跟踪(BypassiptablesConnectionTracking)主机路由(HostRouting)切换为基

系列文章Cilium系列文章前言将Kubernetes的CNI从其他组件切换为Cilium,已经可以有效地提升网络的性能.但是通过对Cilium不同模式的切换/功能的启用,可以进一步提升Cilium的网络性能.具体调优项包括不限于:启用本地路由(NativeRouting)完全替换KubeProxyIP地址伪装(Masquerading)切换为基于eBPF的模式KubernetesNodePort实现在DSR(DirectServerReturn)模式下运行绕过iptables连接跟踪(BypassiptablesConnectionTracking)主机路由(HostRouting)切换为基