cilium/hubble 开源项目指南

最新推荐文章于 2025-06-10 09:19:06 发布
最新推荐文章于 2025-06-10 09:19:06 发布
阅读量459 收藏 8
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00547/article/details/140977336

cilium/hubble 开源项目指南

hubbleCilium 是一个开源的 Kubernetes 网络插件和网络安全解决方案,用于管理和保护容器网络和应用程序。 * Kubernetes 网络插件和网络安全解决方案、管理和保护容器网络和应用程序 * 有什么特点:支持多种网络和安全功能、易于使用、用于云原生应用程序的开发和管理项目地址:https://gitcode.com/gh_mirrors/hub/hubble

项目介绍

Hubble 是由 Cilium 社区开发的一个强大工具,它提供了对 Kubernetes 集群中网络流量的深度可见性和分析能力。Hubble 利用了 Cilium 的 eBPF 技术,能够以低延迟的方式捕获并分析网络数据包,从而提供容器级别、服务级别乃至整个集群级别的网络监控和安全洞察。此外,Hubble 提供了一个可扩展的观测平台,支持多种插件和集成,使得开发者和运维人员能够更有效地理解和管理其 Kubernetes 环境中的网络行为。

项目快速启动

要快速启动 Hubble,您首先需要一个运行 Kubernetes 的环境。以下是基本安装步骤:

步骤 1: 添加 Helm 应用仓库

首先,确保您的系统已安装 Helm 并更新到最新版本。然后添加 Cilium 的 Helm 库:

helm repo add cilium https://charts.cilium.io/

步骤 2: 安装 Cilium 并启用 Hubble

接下来,安装 Cilium 并确保启用了 Hubble 组件。以下命令示例展示了一个基础配置,其中包含了 Hubble Relay 和 UI 的部署:

helm install cilium cilium/cilium --namespace kube-system \
    --set hubble.relay.enabled=true \
    --set hubble.ui.enabled=true \
    --set global.tunnel=disabled \
    --set globalpolicy.enabled=false

步骤 3: 访问 Hubble UI

安装完成后,Hubble UI 会被暴露在 Kubernetes Service 上。通过以下命令找到 Hubble UI 的入口地址:

kubectl -n kube-system get svc | grep hubble-ui

然后,您可以访问 Hubble UI 的 IP 地址及端口来开始监视网络流量。

应用案例和最佳实践

应用案例

  • 故障诊断:当遇到服务间通信故障时,Hubble 可以迅速定位问题所在,如丢包或延迟。
  • 安全监控:监测异常流量模式,帮助识别潜在的安全威胁。
  • 性能分析:分析服务的网络性能,优化网络配置。

最佳实践

  • 使用命名空间隔离不同的应用程序流量,以便更好地管理和分析。
  • 定期审查 Hubble 日志,以便早期发现网络问题。
  • 利用 Hubble 的可观察性,结合其他日志和指标工具进行综合分析。

典型生态项目

Hubble 与 Kubernetes 生态紧密结合,尤其适合与 Prometheus、Grafana 等监控和可视化工具集成,形成完整的可观测性解决方案。通过将 Hubble 数据流接入到这些工具中,可以创建丰富的仪表板,实现网络性能的实时监控和历史趋势分析。

Hubble 也是 Cilium 强大生态的一部分,与 Cilium 的安全策略、网络策略紧密结合,共同为 Kubernetes 环境提供高级的网络控制和安全性。

通过以上步骤和指导,您可以高效地利用 Hubble 来提升您的 Kubernetes 集群的网络可视性和安全性。记得根据实际需求调整配置,以最大化其效果。

hubbleCilium 是一个开源的 Kubernetes 网络插件和网络安全解决方案,用于管理和保护容器网络和应用程序。 * Kubernetes 网络插件和网络安全解决方案、管理和保护容器网络和应用程序 * 有什么特点:支持多种网络和安全功能、易于使用、用于云原生应用程序的开发和管理项目地址:https://gitcode.com/gh_mirrors/hub/hubble

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

云原生 | 在 Kubernetes 中使用 Cilium 替代 Calico 网络插件实践指南!
WeiyiGeek 唯一极客IT知识分享
09-03 2389
Cilium 是一款开源软件,它基于一种名为eBPF的新的Linux内核技术提供动力,用于透明地保护使用 Docker 和 Kubernetes 等Linux 容器管理平台中部署的应用程序服务之间的网络连接,Cilium 主要使用场景是在 Kubernetes 中,但 Cilium 的优势并不仅限于 Kubernetes 环境。在 Kubernetes 环境中,Cilium 可充当网络插件,提供 pod 之间的连接。
【云原生进阶之容器】第六章容器网络6.3--CNI及各CNI网络解决方案简述
junbaozi的专栏
04-08 737
CNI是Container Network Interface的缩写,是一个标准的通用的接口。linux 容器技术和容器网络不断发展,以适应在不同环境中运行的各种应用程序的需求。为了在一端实现各种网络解决方案与另一端不同容器运行时和容器编排平台之间的集成,而不是重复使网络可插入的努力,容器网络接口 ( CNI ) 的创建是为了在容器执行和网络层之间定义一个标准化的通用接口。CNI 项目是云原生计算基金会 (CNCF) 的一部分,其规范描述了如何为 Linux 容器配置网络接口。
Cilium 1.7发布:Hubble UI、全集群网络策略、基于eBPF的Direct Server Return以及更多
Docker的专栏
02-20 2469
在这里,我们要向大家高兴地宣布,Cilium 1.7版本正式发布了!在本轮更新周期当中,由141位开发者组成的项目社区共完成了1551项提交,而且很多朋友是第一次为Cilium项目提交贡...
Cilium & Hubble
喝醉酒的小白
07-17 2043
Cilium在第3/4层运行,以提供传统的网络和安全服务,还在第7层运行,以保护现代应用协议(如HTTP,gRPC和Kafka)的使用。Hubble是建立在Cilium和eBPF之上,以一种完全透明的方式,提供网络基础设施通信以及应用行为的深度可视化,是一个应用于云原生工作负载,完全分布式的网络和安全可观察性平台。Cilium是一个用于容器网络领域的开源项目,主要是面向容器而使用,用于提供并透明地保护应用程序工作负载(如应用程序容器或进程)之间的网络连接和负载均衡。.........
ebpf的大杀器cilium可视化追踪hubble部署方式和展示
process的博客
12-28 2496
12月-hubble and check 写在前面: hubble的yaml文件: cilium 1.7版本 https://github.com/cilium/hubble/tree/v0.5/tutorials/deploy-hubble-servicemap 测试的yaml文件: https://github.com/cilium/cilium/blob/master/examples/kubernetes/connectivity-check/connectivity-check.yaml cili
kubeadm1.20.0+cilium+hubble环境搭建
shykevin的博客
05-22 2763
一、概述 Cilium是一种开源网络实现方案,与其他网络方案不同的是,Cilium着重强调了其在网络安全上的优势,可以透明的对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。 Cilium在设计和实现上,基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全性、可见性和网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进...
关于centos8+kubeadm1.20.5+cilium+hubble的安装过程中cilium的配置问题--特别强调
saynaihe的博客
07-08 588
背景: 参见前文:centos8+kubeadm1.20.5+cilium+hubble环境搭建,并升级到了1.21版本(Kubernetes 1.20.5 upgrade 1.21.0)。今天无聊查看一下集群呢突然发现一个问题: [root@sh-master-01 ~]# kubectl get pods -n default -o wide NAME READY STATUS RESTARTS AGE IP
【linux内核】eBPF基础及应用调研
qq_43840665的博客
09-24 1448
Cilium 是一种面向容器环境的网络插件(CNI),基于eBPF实现了高效的网络连接,网络策略实施和可观测性等特性。作用高效网络代理:基于eBPF实现的零拷贝快速数据包处理和智能路由决策,实现高效的网络流量处理。网络策略实施:允许用户定义和实施精细的网络策略,控制容器之间的网络访问。可以根据容器的标签、命名空间等属性来制定策略,限制特定容器或一组容器的网络访问权限。可观测性:通过运行为每个节点的Hubble 组件和eBPF技术实现集群中流量和其他网络指标的实时观测。
解锁云原生 Kubernetes 的多集群管理
AI云原生与云计算技术学院
05-12 597
随着微服务架构、Serverless 应用和边缘计算的普及,单一 Kubernetes 集群在资源规模、地域分布、厂商锁定和故障隔离等方面的局限性日益凸显。资源扩展:突破单集群节点规模限制(Kubernetes 推荐单集群节点数 ≤ 5000)多云/混合云部署:实现跨阿里云、AWS、腾讯云及私有云的统一管理高可用性保障:通过跨地域集群容灾提升系统可靠性业务隔离:按部门、产品线或安全等级划分独立集群。
云原生网络利器--Cilium 总览
DaoCloud_daoke的博客
03-02 918
在云原生相对成熟的今天,对于 Kubernetes 本身的能力需求,逐渐变得不那么迫切,因为常见的能力都已经成熟稳定了。但是在周边领域还处于不断发展的过程,特别是容器的网络方案,存储方案,安全领域等。
centos8+kubeadm1.20.5+cilium+hubble环境搭建
saynaihe的博客
03-24 1877
前言 腾讯云绑定用户,开始使用过腾讯云的tke1.10版本。鉴于各种原因选择了自建。线上kubeadm自建kubernetes集群1.16版本(小版本升级到1.16.15)。kubeadm+haproxy+slb+flannel搭建高可用集群,集群启用ipvs。对外服务使用slb绑定traefik tcp 80 443端口对外映射(这是历史遗留问题,过去腾讯云slb不支持挂载多证书,这样也造成了无法使用slb的日志投递功能,现在slb已经支持了多证书的挂载,可以直接使用http http方式了)。生产环境
最 Cool Kubernetes 网络方案 Cilium 入门教程
云原生实验室
04-21 2611
原文链接:https://davidlovezoe.club/wordpress/archives/851前言最近业界使用范围最广的 K8S CNI 网络方案 Calico 宣布支持 e...
基于eBPF的k8s网络插件Cilium部署与流量治理浅尝
11-13 1947
1环境准备基于 ebpf的kubernetes 的 CNI 插件 cilium 最近的关注度也越来越高,并且有配套的可观测平台hubble,为流量治理、可视化追踪有很大帮助,本文先将k8s的网络插件改为 cilium 并将 hubble 进行部署使用,具体原理请期待下篇。Cilium 要求 Linux kernel 版本在 4.8.0 以上,Cilium 官方建议 kernel 版本至少在 ...
【理解 Cilium 系列文章】(一) 初识 Cilium
云原生Serverless的专栏
08-28 4282
Knative 定期发布 Knative 最新资讯,汇集 云原生 & Serverless 技术最全内容,用户最佳落地实践。关注 Knative 趋势,更关注你落地实践中的遇到的困惑和问题。 ...
cilium 官方文档翻译(2) 组件概述
煮酒论架构
11-20 474
cilium 核心组件说明
开源项目Hubble简介及新手指南
gitblog_00915的博客
11-06 348
开源项目Hubble简介及新手指南 hubble A dashboard that displays in the terminal 项目地址: https://gitcode.com/gh_mirrors/hu/hubble ...
Cilium/Hubble项目贡献指南与技术解析
最新发布
gitblog_00874的博客
06-10 235
Cilium/Hubble项目贡献指南与技术解析 hubble Cilium 是一个开源的 Kubernetes 网络插件和网络安全解决方案,用于管理和保护容器网络和应用程序。 * Kubernetes 网络插件和网络安全解决方案、管理和保护容器网络和应用程序 * 有什么特点:支持多种网络和安全功能、易于使用、用于云...
微博广告Hubble系统:秒级大规模分布式智能监控平台架构实践
weixin_45583158的博客
07-03 457
关键词:微博广告 Hubble 监控平台 D+ 大数据 机器学习 LSTM Tensorflow业务背景Hubble(哈勃,其含义是数据如浩瀚宇宙之大,Hubble如太...
Hubble Enterprise:洞悉企业GitHub的智慧之眼
gitblog_00042的博客
09-09 533
Hubble Enterprise:洞悉企业GitHub的智慧之眼 hubble???? Collaboration, usage, and health data visualization for GitHub Enterprise项目地址:https://gitcode.com/gh_mirrors/hubbl/hubble 在数字化转型的浪潮中,监控和理解代码协作平台的健康状态变得日益关键。今...
题目:使用eBPF捕获容器文件访问情况 为了充分理解容器虚拟化技术和eBPF技术对于可观测领域的优越性,编写一个简易的eBPF程序,要求能够捕获x86_64架构下的容器虚拟化环境中进程的文件访问事件。具体来说,使用libbpf、cilium/eBPF、BCC等开源eBPF编程框架实现在宿主机操作系统中采集容器内进程的文件访问情况并关联其所在容器的container_id。 操作: 使用常见的Linux发行版进行实验,Linux内核版本尽可能高。 安装Docker、eBPF编程框架(libbpf、cilium/eBPF、BCC等任选)等实验需要的组件。 根据示例代码进行编程,运行并获取输出。 负载测试: 使用` docker run -it --rm ubuntu `启动一个ubuntu容器,在容器内部尝试触发文件访问并观察eBPF程序是否采集到了正确的事件。 示例代码见附件 sample_fileopen.c
03-24
<think>好的,我现在需要解决用户的问题:如何利用eBPF技术(使用libbpf或BCC)在Linux容器环境下监控x86_64架构下进程的文件访问行为,并将事件映射到对应的container_id,同时支持较新的内核和Docker集成。 首先,我得理解用户的需求。用户想要捕获容器内的文件访问事件,比如文件的打开、读取、写入等,并且能够将这些事件关联到具体的容器ID上。这涉及到eBPF程序的编写,以及如何与容器环境集成。 接下来,我需要回忆eBPF的相关知识。eBPF允许在内核中运行沙盒程序,用于监控和跟踪系统事件。常用的工具是BCC和libbpf。BCC提供了更高层次的抽象,适合快速开发,而libbpf更接近底层,需要手动处理更多细节,但可能更高效。 文件访问事件通常可以通过跟踪系统调用来实现,比如open、openat、read、write等。但容器中的进程和宿主机共享内核,因此需要确保eBPF程序能够正确识别容器的命名空间,并将进程ID映射到对应的container_id。 如何获取container_id呢?在Docker环境中,每个容器的进程在宿主机上有一个PID,可以通过该PID查找对应的cgroup信息,进而获取container_id。通常,container_id位于cgroup路径中,例如`/sys/fs/cgroup/memory/docker/<container_id>/...`。 所以步骤可能是这样的: 1. 编写eBPF程序,挂载到文件相关的系统调用,捕获事件。 2. 在用户空间程序(如Python或C)中处理这些事件,获取触发事件的进程PID。 3. 根据PID查找对应的cgroup路径,解析出container_id。 4. 将事件和container_id一起输出或记录。 现在需要考虑使用BCC还是libbpf。用户提到两者都可以,但可能需要更现代的集成,libbpf可能更适合较新的内核,而BCC可能更方便快速开发。不过BCC依赖内核头文件,而libbpf需要较新的内核特性支持。 接下来,具体实现。比如使用BCC的话,可以编写一个Python程序,嵌入eBPF的C代码,捕获openat系统调用。在eBPF程序中,获取PID,然后在用户空间查找container_id。 对于内核版本,需要确认使用的eBPF特性是否支持。比如,对于较新的内核(5.x以上),可能使用更新的BPF函数,比如bpf_get_current_cgroup_id(),这可以获取当前cgroup的ID,然后通过用户空间查找对应的container_id。但需要注意,Docker使用的cgroup驱动可能影响如何解析cgroup ID到container_id。 另外,关于挂载点,可能需要确定正确的系统调用。例如,openat系统调用是更常见的文件打开方式,所以跟踪openat可能更有效。 还需要处理容器环境中的PID命名空间问题。在宿主机上看到的PID是全局的,而容器内部的PID是隔离的。但eBPF程序在宿主机内核运行,捕获的是宿主机PID,因此可以直接使用该PID来查找cgroup信息。 然后,如何从cgroup信息中提取container_id?例如,在Docker中,cgroup路径可能包含容器ID。例如,在`/proc/<pid>/cgroup`中,会有类似`/docker/<container_id>`的路径。因此,用户空间程序需要读取该文件,解析出container_id。 但如何在eBPF程序中或用户空间处理这个?由于eBPF程序在内核中无法直接读取文件系统,所以需要在用户空间处理。当eBPF程序捕获到一个事件,它会将PID传递给用户空间程序,用户空间程序再根据该PID读取`/proc/<pid>/cgroup`,并解析出container_id。 但这样可能会有性能问题,因为每个事件都需要在用户空间进行解析。为了提高效率,可以在用户空间维护一个PID到container_id的缓存,避免重复解析。 此外,需要注意权限问题。eBPF程序需要足够的权限才能加载到内核,可能需要CAP_BPF等能力,或者在容器环境中运行时需要相应的权限。 关于Docker集成,需要确保eBPF程序能够访问到容器的进程。在Docker中,默认情况下,容器进程在宿主机上是可见的,因此只要eBPF程序在宿主机上运行,就可以监控容器内的进程。 现在,考虑具体的代码结构。比如,使用BCC的话,可以编写一个Python脚本,加载eBPF程序,并定义处理函数。例如: eBPF C代码部分跟踪openat系统调用,获取PID和文件名,然后将这些数据发送到用户空间。用户空间处理函数收到后,根据PID查找container_id,并输出。 如何获取文件名?在eBPF程序中,系统调用的参数是文件路径,但需要从用户空间指针读取字符串,可能需要使用bpf_probe_read_user_str()函数来安全地读取。 同时,需要确保在较新的内核中,系统调用可能被seccomp过滤,特别是容器环境可能会限制某些系统调用。因此,需要确认容器没有阻止被跟踪的系统调用。 此外,关于挂载点的问题,容器可能有自己的文件系统视图,但eBPF程序捕获的是宿主机的文件路径,这可能需要转换。例如,容器内的路径是相对于容器的根文件系统的,而宿主机上看到的路径可能是不同的。但用户可能需要的是容器内的路径,这可能需要额外的处理,比如挂载点映射。不过这可能比较复杂,可能超出当前问题的范围,用户可能只需要宿主机上的路径,或者需要进一步处理。 现在,整理步骤: 1. 编写eBPF程序,挂载到文件访问相关的系统调用(如openat)。 2. 在eBPF程序中捕获PID、文件名等信息。 3. 用户空间程序接收事件,根据PID查找container_id。 4. 将事件与container_id关联输出。 具体到代码实现,以BCC为例: eBPF部分: ```c int trace_openat(struct pt_regs *ctx) { u32 pid = bpf_get_current_pid_tgid() >> 32; char filename[256]; struct task_struct *task = (struct task_struct *)bpf_get_current_task(); // 获取文件名,假设openat的第二个参数是文件名指针 const char __user *filename_ptr = (const char __user *)PT_REGS_PARM2(ctx); bpf_probe_read_user_str(filename, sizeof(filename), filename_ptr); // 提交事件到用户空间 bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &filename, sizeof(filename)); return 0; } ``` 用户空间处理部分(Python): ```python from bcc import BPF b = BPF(src_file="ebpf_program.c") # 定义系统调用挂载点 b.attach_kprobe(event="do_sys_openat2", fn_name="trace_openat") def handle_event(cpu, data, size): filename = data.decode('utf-8', errors='ignore') pid = ... # 如何获取PID?可能需要修改eBPF程序传递更多数据 container_id = get_container_id(pid) print(f"PID {pid} (Container {container_id}) accessed file: {filename}") # 获取container_id的函数 def get_container_id(pid): try: with open(f"/proc/{pid}/cgroup", "r") as f: for line in f: if "docker" in line: parts = line.strip().split("/") for part in parts: if len(part) == 64: # 假设container_id是64位哈希值 return part except: return "unknown" # 循环处理事件 b["events"].open_perf_buffer(handle_event) while True: b.perf_buffer_poll() ``` 但上面的代码可能有错误,比如在eBPF程序中如何传递PID和文件名,可能需要定义一个结构体来传递数据。例如: 在eBPF程序中定义结构体: struct data_t { u32 pid; char filename[256]; }; 然后填充这个结构体,并通过perf事件提交。这样用户空间就能同时获取PID和文件名。 此外,挂载点是否正确?在较新的内核中,openat系统调用可能由do_sys_openat2处理,所以需要使用正确的kprobe事件。 关于性能,频繁地读取/proc/<pid>/cgroup可能会影响性能,因此需要考虑缓存机制,比如将PID到container_id的映射缓存起来,避免重复解析。 另外,在容器环境中,可能会有多个cgroup控制器,需要确定哪一行包含Docker的容器ID。通常,在memory或cpu等子系统下的cgroup路径中会包含docker/container_id。 总结,用户需要的关键点包括: - 正确的eBPF程序挂载点,捕获文件访问事件。 - 获取进程的PID。 - 将PID映射到container_id。 - 与Docker环境兼容,支持新内核。 可能遇到的问题: 1. 内核版本不同,系统调用的实现方式可能不同,需要确保挂载点正确。 2. 容器中使用cgroup v2,路径可能不同,需要调整解析方法。 3. 需要处理不同Docker版本或容器运行时的cgroup路径格式。 因此,在代码中需要灵活处理cgroup路径的解析,可能需要正则表达式匹配docker/container_id的部分。 参考用户提供的引用,其中提到了libbpf和bpftool,以及云监控通过cat /proc/slabinfo导致的问题。这说明/proc文件系统在监控中的重要性,而eBPF可以更高效地替代此类方法。 最后,确保eBPF程序在较新内核上编译和运行,可能需要使用CO-RE(Compile Once – Run Everywhere)技术,尤其是使用libbpf时。BCC在一定程度上处理了不同内核版本的差异,但libbpf结合CO-RE可能更适合需要跨不同内核运行的场景。</think>### 分步解答 通过 eBPF 技术监控容器内文件访问行为需要以下步骤: --- #### 一、技术选型与原理 1. **选择 BCC 工具集**:适合快速开发,内置用户态-内核态交互机制 2. **监控系统调用**:通过挂载 `openat`/`read`/`write` 等文件相关系统调用 3. **容器识别**:通过进程 PID 关联 `/proc/<pid>/cgroup` 获取 container_id 4. **内核兼容性**:要求 Linux 4.18+(支持 eBPF CO-RE 特性) --- #### 二、完整实现代码(BCC 方案) ```python from bcc import BPF import re # eBPF 程序源码 bpf_code
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蒋一南

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值