# 第一回 megukube ## Ciliumとは - Observability -> Hubble - Network Policy -> Custom Resource - ### Ciliumの機能Hubble ハッブル望遠鏡のハブル kuberntesの通信をパケットキャプチャするみたいなことができる ### eBPF eBPF (アクロニムでもないただの名称) BPF (バークレイパケットキャプチャー) extended BPF => eBPF - network のキャプチャ - linuxのシステムコールのフック 以前はiptablesでやっていたような機能をeBPF実現できるらしい Kernelで動くVMで処理されて、機能する eBPFのバイトコードがVMで動くって感じ ### Policy - L3/L4のポリシーが設定できる - labelで管理できる - egress,ingress両方設定できる - 上に加えて、rulesを設定するとさらにL7のポリシーを設定できる - Policy一覧はCR CiliumNetworkPolicyを見るだけではなくて、各ノードのciliumポッドからciliumコマンドで `cilium policy get` することでも確認できる - WireGuardを使うと、証明書更新が自動でできるようになるが以下のようなことができなくなるデメリットが伴う - Host-level encryption. - L7のポリシー適用とL7の可視化 - eBPF-based host routing - IPSecを使うと、証明書更新の自動化はできない - ただしcert-managerでACMEの設定をIssuerにしておけば自動更新もできるかもしれない # 良さげな資料 https://archive.fosdem.org/2020/schedule/event/replacing_iptables_with_ebpf/attachments/slides/3622/export/events/attachments/replacing_iptables_with_ebpf/slides/3622/Cilium_FOSDEM_2020.pdf