Cilium动手实验室: 精通之旅---14.Isovalent Enterprise for Cilium: Connectivity Visibility with Hubble

最新推荐文章于 2025-07-24 10:30:31 发布

上海运维Q先生

于 2025-06-09 08:39:47 发布

阅读量896

点赞数 16

CC 4.0 BY-SA版权

分类专栏： Cilium 文章标签： Cilium 云原生 K8s

本文链接：https://blog.csdn.net/qq_29974229/article/details/148522618

Cilium 专栏收录该内容

33 篇文章 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

Cilium动手实验室: 精通之旅---14.Isovalent Enterprise for Cilium: Connectivity Visibility with Hubble

1. 环境准备
2. 部署一个应用
3. 可视化架构
- 3.1 Cli 查看日志
- 3.2 Hubble 界面
4. Flows Tables
5. DNS可观察
6. HTTP 可观测性
7. 使用Hubble Timescape 查看历史数据
8. 测试

1. 环境准备

LAB环境地质

https://isovalent.com/labs/hubble-connectivity-visibility/
1

我们正在运行一个 Kind Kubernetes 集群，并在该 Cilium 之上。

在 Kind 集群完成启动的同时，让我们看看它的配置：

root@server:~# yq /etc/kind/${KIND_CONFIG}.yaml
---
kind: Cluster
apiVersion: kind.x-k8s.io/v1alpha4
nodes1
2
3
4

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

上海运维Q先生

关注关注

16
点赞
踩
19

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

Cilium动手实验室: 精通之旅---免费获取所有33个credly Cilium徽章

Q先生

06-03

578

目前备考CCA（Cilium Certified Associate）.在学习和备考的过程中发现,通过完成LAB可以免费获取credly的徽章.无疑这是一举两得的事情.我是个徽章收集爱好者.那么就开始边学习边收集徽章的学习之路吧.不得不说这些实操的Lab还是有一定难度的.通过16个渐进式实验掌握Cilium的核心能力，每个Lab完成将解锁专属徽章。每10个徽章能多领一个成就徽章。(后续还会增加)如果只为了徽章,可以只看每篇文章最后一章的最终实验,复制我的代码提交即可获取到对应徽章.

体验新时代的CNI--cilium

qq_40406649的博客

01-21

1473

本文将介绍笔者体验cilium的过程Cilium 的基础是一种新的 Linux 内核技术，称为 eBPF，它支持将强大的安全性、可见性和网络控制逻辑动态插入到 Linux 内核中。eBPF 用于提供高性能网络、多集群和多云能力、高级负载均衡、透明加密、广泛的网络安全功能、透明的可观测性等等。

参与评论您还未登录，请先登录后发表或查看评论

cilium插件测试_通过CNI Chaining 为k8s 插上Cilium翅膀

weixin_35241867的博客

01-09

355

在介绍CNI Chaining之前，我们先简单介绍一下Cilium。要说现在最火的容器网络，莫过于Cilium了。Cilium 是一个基于 eBPF 和 XDP 的高性能容器网络方案，代码开源在https://github.com/cilium/cilium。其主要功能特性包括安全上，支持 L3/L4/L7 安全策略，这些策略按照使用方法又可以分为基于身份的安全策略（security identi...

《Cloud Native》云原生技术汇总

静静是我女朋友

03-23

7686

An awesome &amp;amp; curated list of best applications and tools for Cloud Native. This Awesome Repository is highly inspired from cncf’s landscape &amp;amp; Awesome. Items marked with ![Op...

最Cool Kubernetes网络方案Cilium入门教程

Docker的专栏

04-24

972

最近业界使用范围最广的Kubernetes CNI网络方案Calico宣布支持eBPF[1]，而作为第一个通过eBPF实现了kube-proxy所有功能的Kubernetes网络方案——...

云原生开源工具、软件、教程大全。

a1058926697的博客

05-08

2283

云原生开源工具、软件、教程大全

CNCF LandScape Summary

dechen6073的博客

08-18

4772

CNCF Cloud Native Interactive Landscape 1. App Definition and Development 1. Database Vitess:itess is a database clustering system for horizontal scaling of MySQ...

CNCF Landscape Summary

dechen6073的博客

05-26

3120

awesome-cloud-native awesome-cloudnative-cn landscape On Github cncf landscape CNCF Cloud Native Interactive Landscape 1. App Definition and Development 1.1 Data...

CNCF CloudNative Landscape

dechen6073的博客

04-21

3784

cncf landscape CNCF Cloud Native Interactive Landscape 1. App Definition and Development 1. Database Vitess:itess is a database clustering system for horizontal scaling of MySQL. Apache CarbonD...

【学习路线】Go语言云原生开发之路：从简洁语法到微服务架构

一个普通程序员的成长记录簿

07-23

493

本文系统性地介绍了Go语言的学习路径，分为五个阶段：1)基础入门(1-2个月)，包括环境搭建、语法基础和复合数据类型；2)核心特性(2-3个月)，涵盖接口、并发编程和错误处理；3)标准库与生态系统(2-3个月)，重点讲解I/O、网络编程和序列化；4)Web开发(3-4个月)，涉及主流框架、数据库操作和API开发；5)微服务与云原生(4-5个月)，讨论服务拆分、通信和部署。每个阶段都详细列出了关键知识点，为Go开发者提供了循序渐进的学习指南，特别强调了Web开发和微服务架构等企业级应用场景。

【Linux-云原生-笔记】Haproxy相关

2301_79850619的博客

07-23

762

实现基于请求内容（如 URL、Header、IP、路径等）的智能路由、过滤或决策。

云原生MySQL Operator开发实战（一）：Operator基础与CRD设计

Programming Talk

07-24

114

首先我们需要定义MySQL集群的自定义资源。副本数与拓扑结构存储配置资源配置（CPU/内存）备份策略监控配置// 副本配置// MySQL版本// 存储配置// 资源配置// 备份配置// 监控配置// 存储大小// 存储类// 是否保留数据// 是否启用自动备份// 备份周期// 备份保留天数// 集群状态// 就绪节点数// 当前版本// 条件列表本文我们完成了MySQL Operator开发的第一步：CRD设计。

【Linux-云原生-笔记】keepalived相关

2301_79850619的博客

07-23

841

高优先级节点恢复后，

Qt开发：XML文件读取、滚动区域控件布局与多Sheet Excel保存的界面设计实例

07-24

内容概要：本文介绍了基于Qt框架的界面设计例程，重点讲解了三个主要功能模块：一是利用XML文件进行配置信息的读取并初始化界面组件；二是实现了滚动区域内的灵活控件布局，在空间不足时自动生成滚动条以扩展显示范围；三是提供了将界面上的数据导出到带有多个工作表的Excel文件的功能。文中还提及了所用IDE的具体版本（Qt Creator 4.8.0 和 Qt 5.12.0），并且强调了这些技术的实际应用场景及其重要性。适合人群：对Qt有初步了解，希望深入学习Qt界面设计技巧的开发者。使用场景及目标：适用于需要快速构建复杂用户界面的应用程序开发，特别是那些涉及大量数据展示和交互的设计任务。通过学习本文提供的案例，可以提高对于Qt框架的理解，掌握更多实用技能。其他说明：为了帮助读者更好地理解和实践，作者推荐前往B站观看高清的教学视频，以便于更直观地感受整个项目的开发流程和技术细节。

锂电池保护板方案：中颖SH367309原理图与PCB源代码详解及应用技巧

07-24

基于中颖SH367309芯片的锂电池保护板设计方案，涵盖原理图解析、PCB布局优化、硬件选型要点以及软件编程技巧。重点讨论了电流检测精度、过压保护阈值设定、通信协议处理和温度传感器布置等方面的实际开发经验和技术难点。文中还分享了一些实用的小贴士，如采用星型接地减少干扰、利用过孔阵列降低温升、为MOS管增加RC缓冲避免高频振荡等。适合人群：从事锂电池管理系统(BMS)开发的技术人员，尤其是有一定硬件设计基础并希望深入了解具体实现细节的工程师。使用场景及目标：帮助开发者掌握锂电池保护板的关键技术和常见问题解决方案，确保产品在各种工况下都能安全可靠运行，同时提高系统性能指标如效率、响应速度和稳定性。阅读建议：由于涉及较多底层硬件知识和实战案例，建议读者结合自身项目背景进行针对性学习，在遇到类似问题时能够快速定位原因并找到有效对策。此外，对于初学者来说，可以从简单的电路搭建开始逐步深入研究复杂的功能模块。

PHP资格证书查询系统：基于FastAdmin框架的二维码生成与表单验证

07-24

内容概要：本文介绍了基于PHP开发的资格证书查询系统，详细阐述了其核心功能和技术实现。系统主要功能包括自动生成二维码、支持导入导出功能、表单验证以及手机端查询和后端登录编辑。该系统采用FastAdmin框架开发，确保了高效的开发流程和良好的用户体验。此外，文中还提到了系统所需的环境要求，如PHP版本需>=7.1且<=5.5.3，支持InnoDB引擎和伪静态设置。最后，通过一段PHP代码示例展示了如何实现自动生成二维码的功能。适合人群：具备一定PHP开发经验的技术人员，尤其是对FastAdmin框架感兴趣的开发者。使用场景及目标：适用于需要管理和查询资格证书的企业和个人。目标是提高证书管理效率，增强用户体验，确保数据安全。其他说明：该系统不仅实现了基本的证书管理功能，还通过引入二维码技术和表单验证提升了系统的实用性和安全性。

PLC与ETHERCAT总线控制的H5U程序框架详解及其广泛应用

最新发布

07-24

H5U程序框架，这是一个针对PLC系统（如汇川、三菱、台达等）的通用模板，特别强调了对ETHERCAT总线的应用。文章解析了气缸控制、轴控制的状态机逻辑以及故障恢复机制，并展示了清晰的注释和硬件抽象层的设计。气缸控制部分涵盖了伸出、缩回、报警等功能，而轴控制则细分为多个步骤，包括通讯建立、使能、JOG、绝对定位等。此外，文中提供了具体的代码片段来解释各个功能模块的工作原理。适合人群：从事工业自动化领域的工程师和技术人员，尤其是那些需要理解和实施PLC控制系统的人群。使用场景及目标：①帮助工程师快速掌握H5U程序框架的使用方法；②为实际工程项目提供可靠的代码参考；③提高PLC程序的可移植性和维护性。其他说明：该框架因其良好的设计和详细的注释，在工控圈中备受推崇，被认为是‘万金油’级别的解决方案。

c语言学生信息系统.zip

07-24

C语言项目源码

apiVersion: cilium.io/v2 kind: CiliumNetworkPolicy metadata: name: allow-ingress-egress-within-namespace spec: egress: - toEndpoints: - {} endpointSelector: {} ingress: - fromEndpoints: - {}

04-09

<think>好的，我现在需要回答用户关于CiliumNetworkPolicy的YAML配置的问题。用户给出的YAML看起来是关于Cilium的网络策略，用于定义Kubernetes集群中的网络流量规则。首先，我要确定用户的问题是什么，他们可能想了解这个配置的作用、各个字段的含义，或者如何应用到他们的集群中。首先，我应该解析这个YAML文件的结构。看到apiVersion是cilium.io/v2，说明这是Cilium的CRD（自定义资源定义），属于Cilium的第二个版本。kind是CiliumNetworkPolicy，这是Cilium用来定义网络策略的资源类型。metadata中的name是这个策略的名称，spec部分包含了具体的规则。接下来分析spec部分。这里有egress、ingress和endpointSelector三个主要部分。egress的出站规则中的toEndpoints设置为空对象{}，这可能意味着允许所有出站流量到任何端点。同样，ingress的fromEndpoints也是空对象，可能允许所有入站流量来自任何端点。而endpointSelector也是空，这代表这个策略应用到所有端点（即所有Pod）。但是，Cilium的NetworkPolicy中，空的选择器是否真的匹配所有端点呢？需要确认Cilium的文档。例如，endpointSelector: {}通常会选择所有的Pod，因为没有匹配条件。同样，在toEndpoints和fromEndpoints中的空选择器可能表示允许所有目标或来源。然后，我需要解释这个策略的作用。如果这个策略允许所有入站和出站流量在同一个命名空间内，那可能用户希望隔离不同命名空间之间的流量，但允许内部自由通信。不过根据当前配置，似乎允许所有流量，而不仅仅是同一命名空间内的。可能用户提供的YAML有误，或者需要进一步的条件限制，比如matchLabels来指定命名空间。另外，用户可能混淆了命名空间内的流量控制。正确的做法可能是在endpointSelector中添加namespace标签，或者在toEndpoints/fromEndpoints中添加对应的命名空间选择器。例如，使用matchLabels: {"k8s:io.kubernetes.pod.namespace": "my-namespace"}来限制同一命名空间。可能用户的问题在于如何配置允许同一命名空间内的入站和出站流量，而当前配置可能过于宽松，允许所有流量。需要指出这一点，并提供修正后的示例。最后，要提醒用户应用策略时的注意事项，比如Cilium的安装和配置是否正确，策略的应用范围等。然后根据用户的问题，提出相关的后续问题，比如Cilium的策略工作原理，与其他网络策略的区别，如何调试策略等。</think><< 您提供的YAML配置是Cilium的集群级网络策略（CiliumNetworkPolicy），用于定义Kubernetes集群中的网络流量规则。以下是配置的逐层解析： 1. **核心字段解析**： ```yaml apiVersion: cilium.io/v2 # 使用Cilium CRD v2版本 kind: CiliumNetworkPolicy # 资源类型为集群级网络策略 metadata: name: allow-ingress-egress-within-namespace # 策略名称 spec: endpointSelector: {} # 选择所有Pod（空选择器匹配全部） egress: - toEndpoints: [{}] # 允许到所有Pod的出站流量 ingress: - fromEndpoints: [{}] # 允许来自所有Pod的入站流量 ``` 2. **实际效果**： - 该策略会创建完全开放的网络环境： - 允许所有Pod接收来自任意来源的流量（包括跨Namespace） - 允许所有Pod向外发送流量到任意目的地 - 相当于禁用网络隔离，不建议在生产环境使用 3. **修正版（实现命名空间内自由通信）**： ```yaml apiVersion: cilium.io/v2 kind: CiliumNetworkPolicy metadata: name: namespace-internal-access spec: endpointSelector: matchLabels: "k8s:io.kubernetes.pod.namespace": "dev" # 选择特定命名空间 egress: - toEndpoints: - matchLabels: "k8s:io.kubernetes.pod.namespace": "dev" # 只允许出站到同命名空间 ingress: - fromEndpoints: - matchLabels: "k8s:io.kubernetes.pod.namespace": "dev" # 只允许入站来自同命名空间 ``` 4. **关键注意事项**： - 空选择器 `{}` 在Cilium中表示"匹配所有" - 策略优先级：多个策略同时匹配时会合并规则 - 必须启用Cilium的Kubernetes CNI组件 - 建议通过`cilium connectivity test`验证策略效果

关于我们
招贤纳士
商务合作
寻求报道
400-660-0108
kefu@csdn.net
在线客服
工作时间 8:30-22:00

公安备案号11010502030143
京ICP备19004658号
京网文〔2020〕1039-165号
经营性网站备案信息
北京互联网违法和不良信息举报中心
家长监护
网络110报警服务
中国互联网举报中心
Chrome商店下载
账号管理规范
版权与免责声明
版权申诉
出版物许可证
营业执照