Cilium Service Mesh
登場人物
clilium-agent
eBPF
で L4 までのポリシー適用を行う
L7 の処理は L4 ポリシーによって該当するトラフィックを cilium-proxy に投げるところまでやる
cilium-proxy
Envoy
cilium-agent が投げてきた L7 の処理を行う
xDS API によって
Kubernetes
上のエンドポイントの情報を受け取っている
本体
CiliumEnvoyConfig
- cec
CiliumClusterwideEnvoyConfig
- cecc
ラッパー
Ingress
spec.ingressClass: cilium
loadbalancerMode: dedicated
なら各
Ingress
に対応する
CiliumEnvoyConfig
が作られる
loadbalancerMode: shared
なら
Ingress
を全部まとめた
CiliumEnvoyConfig
が作られる
なぜ
CiliumClusterwideEnvoyConfig
でないのか?もしかしたらネームスペースごとに対応する
Loadbalancer Service
は別?
Kubernetes Gateway API
の
Gateway
・
HTTPRoute
CFP: Add support for k8s Gateway API · Issue #20655 · cilium/cilium · GitHub
L7 LB for SVCs
CiliumNetworkPolicy
- DNS / L7 Policy
https://docs.cilium.io/en/latest/security/policy/language/#l7-policy
L7 Protocol Visibility
も統合されたのでこっち