本节指定 Cilium 端点的生命周期。
Cilium 中的端点状态包括:
restoring:端点在 Cilium 启动之前启动,Cilium 正在恢复其网络配置。waiting-for-identity:Cilium 正在为端点分配一个唯一的身份。waiting-to-regenerate:端点接收到一个身份并等待(重新)生成其网络配置。regenerating:正在(重新)生成端点的网络配置。这包括为该端点编程 eBPF。ready:端点的网络配置已成功(重新)生成。disconnecting:正在删除端点。disconnected:端点已被删除。
可以使用 cilium endpoint list 和 cilium endpoint get CLI 命令查询端点的状态。
当端点运行时,它会在 waiting-for-identity、waiting-to-regenerate、regenerating 和 ready 状态之间转换。进入 waiting-for-identity 状态的转换表明端点改变了它的身份。转换到 waiting-to-regenerate 或者 regenerating 状态表示要在端点上实施的策略由于身份、策略或配置的更改而发生了更改。
端点在被删除时转换为 disconnecting 状态,无论其当前状态如何。
初始化标识
在某些情况下,Cilium 无法在端点创建时立即确定端点的标签,因此无法在此时为端点分配身份。在知道端点的标签之前,Cilium 会暂时将一个特殊的单一标签 reserved:init 与端点相关联。当端点的标签变得已知时,Cilium 然后用端点的标签替换那个特殊的标签,并为端点分配一个适当的身份。
这可能在以下情况下在端点创建期间发生:
- 通过 libnetwork 使用 docker 运行 Cilium
- 当 Kubernetes API 服务器不可用时使用 Kubernetes
- 在对应的 kvstore 不可用时处于 etcd 模式
要在初始化时允许进出端点的流量,您可以创建选择 reserved:init 标签的策略规则和/或允许进出特殊 init 实体的流量的规则。
例如,编写一个规则,允许所有初始化端点从主机接收连接并执行 DNS 查询,可以如下完成:
apiVersion: "cilium.io/v2"
kind: CiliumNetworkPolicy
metadata:
name: init
specs:
- endpointSelector:
matchLabels:
"reserved:init": ""
ingress:
- fromEntities:
- host
egress:
- toEntities:
- all
toPorts:
- ports:
- port: "53"
protocol: UDP
同样,编写允许端点接收来自初始化端点的 DNS 查询的规则可以如下完成:
apiVersion: "cilium.io/v2"
kind: CiliumNetworkPolicy
metadata:
name: "from-init"
spec:
endpointSelector:
matchLabels:
app: myService
ingress:
- fromEntities:
- init
- toPorts:
- ports:
- port: "53"
protocol: UDP
如果任何入口(resp.egress)策略规则选择了 reserved:init 标签,那么所有到(resp.from)初始化端点(这些规则未明确允许)的入口(resp.egress)流量都将被丢弃。否则,如果策略执行模式是 never 或 default,则允许所有入口(或出口)流量(或来自)初始化端点。否则,所有入口(或出口)流量都会被丢弃。