在 Cilium 的 eBPF 数据平面中，bpf.masquerade、bpf.hostRouting、bpf_redirect_neigh() 和 bpf_redirect_peer() 是紧密相关的核心网络特性，它们共同构建了高效、可编程的网络转发路径。 以下是它们的详细解析和相互关系： 一、数据流程   二、核心概念解析 bpf.masquerade (IP 伪装) 作用：实现源

总结 Cilium 的网络能力可分为 数据传输平面 和 控制平面： 数据传输平面（Data Plane）： 如何转发数据包？（如 VXLAN 封装、直接路由） 依赖的底层机制？（如 eBPF、内核路由表） 控制平面（Control Plane）： 如何管理网络状态？（如服务发现、策略下发） 依赖的协议？（如 KVStore、Kubernetes API） 以下模式主要属于 数据传输平面 的实现差异

工具 工具 用途 示例命令 Cilium CLI 端点/策略/服务诊断 cilium service list Hubble CLI 实时流量追踪 hubble observe --verdict DROPPED eBPF Compiler (bpftool) 内核级 eBPF 程序检查 bpftool prog show --bpffs Grafana + Prometheus 性能指标监控 查

参考文档：https://docs.cilium.io/en/v1.17/network/kubernetes/kubeproxy-free/#kubeproxy-free Kubernetes Without kube-proxy 备注： Cilium的kube-proxy替换依赖于socket-LB功能，该功能需要v4.19.57、v5.1.16、v5.2.0或更高版本的Linux内核。Lin

参考官方文档：https://docs.cilium.io/en/v1.17/gettingstarted/k8s-install-default/ 1.准备k8s环境 # k get node NAME STATUS ROLES AGE VERSION km1 NotReady control-plane,master 11m v1.23.17 kw1 NotReady