常見20個 Cilium 使用案例（2）

本文翻譯來源于 Isovalent 網(wǎng)站的Top 20 Cilium Use Cases(https://isovalent.com/blog/post/top-20-cilium-use-cases/)。由于平臺限制，原文中的一些超鏈接被移除。Cilium是Isovalent公司創(chuàng)建的開源項目，如果對Cilium任何功能有興趣，都可以訪問Isovalent網(wǎng)站(https://isovalent.com/labs/)進行免費的Cilium實驗。

減輕支持負擔

將 Kubernetes 引入新環(huán)境是一件令人興奮的事，但有時之后的運維不令人很興奮。在規(guī)模更大、配置更復雜的Kubernetes下，維護和支持可能是一項具有挑戰(zhàn)性的工作，這往往會耗費 IT 團隊的大量時間，這最終轉化為公司運營成本。

Cilium 可以提供幫助：通過利用 Cilium 的可觀測性組件 Hubble 和Hubble提供的自助服務訪問，內部和外部客戶可以直接了解其應用服務連通性，減輕IT團隊支持負擔，從而降低運營成本。

Isovalent 的合作伙伴 VSHN（一家 IT 服務提供商）正在這樣做：

"它減輕了我們的支持負擔。我們可以讓我們用戶直接訪問Hubble界面"。Tobias Brunner，VSHN 首席技術官

排查 Kubernetes 網(wǎng)絡故障

說到運維，排查網(wǎng)絡故障是運維 Kubernetes 環(huán)境時經(jīng)常出現(xiàn)的工作。哪里出了問題？我們該如何查找？即使又是 DNS 問題，我們又該如何查找和解決呢？

請觀看 Isovalent 的 Thomas Graf 在 KubeCon 2023 期間的 CiliumCon 會議中 演示如何使用Cilium 進行網(wǎng)絡故障排除。此外，媒體公司 Meltwater 最近討論了 Hubble 如何幫助他們快速識別和調試 Kubernetes 網(wǎng)絡問題。

"Cilium都是通過一種名為eBPF的技術完成的，這也是cilium實現(xiàn)可觀測性的技術基石"。Thomas Graf，Isovalent 首席技術官兼聯(lián)合創(chuàng)始人

"除了用戶界面之外，Hubble 還是一種調試網(wǎng)絡問題和查看網(wǎng)絡流量的簡單方法。我不再需要使用 tcpdump 了。我們能更好地了解系統(tǒng)中所有不同組件和應用程序間的情況。Federico Hernandez，Meltwater 首席工程師

(https://www.cncf.io/case-studies/meltwater/)

創(chuàng)建多租戶架構

大型企業(yè)往往使用不止一個 Kubernetes 集群。他們往往有多個團隊，每個團隊可能都會建立自己的基礎設施和應用程序。如果缺乏標準化工具管理所有集群會讓支持這些集群變的困難，同時也會影響團隊之間的合作。

解決這個問題的方法就是創(chuàng)建多租戶 Kubernetes 架構：保證租戶之間的隔離，確保不同團隊可以安全地在同一平臺上運行。自助的可觀測服務、明確的職責分工以及相應的應用程序隔離有助于建立平臺并獲得使用團隊的認可。在這一案例中，使用了Cilium高級網(wǎng)絡策略和支持RBAC的Hubble，為 Kubernetes 增色不少。這個廣受歡迎的 Cilium 用例的兩個用戶是一家知名出版公司和 Isovalent的客戶Adobe。

"我們需要Cilium保證租戶之間的隔離，以確保不同的團隊可以安全地在同一平臺上運行"。一名出版業(yè) 軟件工程師

(https://cilium.io/blog/2022/10/13/publishing-user-story/)

"在網(wǎng)絡策略方面，我們依靠 Cilium CNI"。Victor Varza，Adobe

(https://www.youtube.com/watch?v=39FLsSc2P-Y)

構建隔離環(huán)境

當您的 Kubernetes 應用程序處理客戶端數(shù)據(jù)時，您最好擁有明確分離、相互隔離的數(shù)據(jù)沙箱。彭博社是一家金融、軟件、數(shù)據(jù)和媒體公司，它使用 Cilium 的網(wǎng)絡策略限制集群網(wǎng)絡訪問特定端口和主機名，以限制數(shù)據(jù)出口用來構建自己的數(shù)據(jù)沙箱。

"當我們評估不同的CNI選擇時，我們發(fā)現(xiàn) Cilium 對我們的現(xiàn)有技術棧干擾最小"。Anne Zepecki，彭博社 BQuant 企業(yè)身份管理團隊負責人

擴展 Kubernetes 平臺

當業(yè)務發(fā)展良好時，基礎設施通常也會相應增長。雖然 Kubernetes 是為擴展而生的，但并非所有組件都以同可以良好的支持擴展。尤其是基于 iptables 的 CNI，會成您擴展Kubernetes嚴重的瓶頸。

在 Cilium 用戶 PostFinance（瑞士郵政的金融服務部門）的案例中，使用傳統(tǒng)的、基于 iptables 的 CNI 插件使網(wǎng)絡的可觀測變得十分困難。轉用 Cilium 幫助他們建立了一個可擴展的 Kubernetes 平臺。

"Cilium和Isovalent幫助我們的團隊建立了一個可擴展的Kubernetes平臺，滿足了我們在生產(chǎn)中環(huán)境中運行重要銀行軟件的苛刻要求！"Thomas Gosteli，Linux 系統(tǒng)專家 PostFinance

(https://isovalent.com/features/solution-highlight-postfinance/)

作者：Roland Wolters, Head of Technical Marketing, Isovalent

譯者：黃力一, Solution Architect, Isovalent