Introduction
Cilium est une solution réseau et de sécurité pour Kubernetes basée sur eBPF. Elle donne une visibilité approfondie et applique des politiques réseau dynamiques. En injectant du code eBPF directement dans le noyau Linux, Cilium supervise, filtre et sécurise le trafic à faible latence.
Si vous débutez avec Kubernetes, consultez d'abord notre guide d'introduction aux concepts fondamentaux de Kubernetes.
Prérequis
- Kubernetes (>=1.19)
- Kernel Linux >=4.9 avec support eBPF
kubectlethelm- Permissions cluster-admin pour l'installation
Installation de Cilium
1. Ajouter le repository Helm
helm repo add cilium https://helm.cilium.io/
helm repo update
2. Installer Cilium avec Hubble
helm install cilium cilium/cilium \
--version 1.15.0 \
--namespace kube-system \
--set hubble.enabled=true \
--set hubble.relay.enabled=true \
--set hubble.ui.enabled=true
Supervision réseau
Hubble est intégré à Cilium et offre une visualisation temps réel des flux réseau.
Accès à l'UI :
kubectl port-forward -n kube-system svc/hubble-ui 12000:80
Politique de sécurité
Exemple de CiliumNetworkPolicy
apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
name: allow-http
spec:
endpointSelector:
matchLabels:
app: frontend
ingress:
- fromEndpoints:
- matchLabels:
app: backend
toPorts:
- ports:
- port: '80'
protocol: TCP
kubectl apply -f cnp-allow-http.yaml
Avantages
- Filtrage et métriques in-kernel à faible latence
- Visibilité avancée via Hubble (métriques, traces…)
- Politiques réseau dynamiques et contextuelles
- Évolutivité pour de grands clusters
Bonnes pratiques
- Activer Hubble et Hubble UI pour un monitoring centralisé
- Segmenter les pods avec CiliumNetworkPolicy
- Utiliser TLS mTLS Ingress/Egress
- Mettre à jour régulièrement Cilium pour les optimisations eBPF
- Documenter les policies et workflows réseau
Compléments
Pour une sécurité en profondeur, associez Cilium avec OPA Gatekeeper pour les politiques d'admission, ou avec Istio pour les déploiements Canary avancés. Pour comprendre les fondations techniques, lisez notre article sur la révolution eBPF.
Conclusion
Cilium associé à eBPF vous donne une supervision réseau profonde et des politiques de sécurité appliquées au kernel. Vos applications Kubernetes gagnent en résilience, sans surcouche de gestion lourde.


