Cilium 1.19版本已经正式发布,这一版本的诞生标志着基于eBPF的网络与安全项目经过了十年的发展。此次更新并没有引入任何全新的核心功能,而是重点加强了安全性措施、优化了加密机制、改进了网络策略的管理方式,并提升了大型Kubernetes集群的可扩展性。
在LinkedIn上发布的文章中,开发者将1.19版本描述为一次特别的发布活动,这一版本旨在庆祝该项目自最初开始开发以来所经历的十年时间,期间有超过1000名开发者参与了2900多次代码提交工作。2025年的年度报告指出,Cilium已经悄然成为生产环境中使用最广泛的CNI解决方案:在接受调查的Kubernetes部署中,有超过60%的场景都在使用Cilium;而当包括由Cilium支持的Azure CNI和GKE Datapath V2等管理服务后,这一比例更是上升到了75%以上。报告认为,之所以会出现这种局面,是因为各组织都是基于Cilium的技术优势来选择它,而非因为它是平台默认的解决方案;支持者们将性能表现、通过Hubble实现的基于eBPF的可观测性功能,以及先进的政策管理机制,视为人们采用Cilium的主要原因。1.19版本所强调的更严格的加密模式、更安全的跨集群通信机制,以及更深入的流量追踪功能,也与这些优势是一致的。
报告还指出,目前参与Cilium项目开发的开发者数量每年大约有10,000人提交代码请求,这使得Cilium成为CNCF组织中贡献量第二大的项目,仅次于Kubernetes。
报告的另一个重点是Cilium及其相关项目在新的应用领域所取得的进展,尤其是在人工智能工作负载以及跨Kubernetes和虚拟机的统一网络管理方面。据报道,微软、谷歌和TikTok等大型企业都在使用Cilium来构建规模庞大的AI训练集群或仅使用IPv6协议的数据中心;而ESnet和Nutanix等公司的案例研究则进一步证明了,在异构环境中保持一致的可观测性和政策控制机制的重要性。同一份报告还将Tetragon视为一种新兴的运行时安全解决方案,它与1.19版本所强调的更严格的加密措施相辅相成。
1.19版本的更新为IPsec和WireGuard两种加密协议引入了严格模式。这一变化使得加密成为节点间通信的必备条件,而非可选项;在严格模式下,未加密的节点间流量将会被直接丢弃。这种设计符合金融行业和公共部门对于网络安全性的要求,有助于消除集群网络中对隐式信任机制的依赖。项目方指出,这一变更主要是为“受监管环境或零信任环境”设计的。LinkedIn上的讨论认为,这一改动使得Cilium的数据平面行为更符合安全团队对现代服务网格的期望。事实上,在此之前,社区内部就已经就这一议题展开了长时间的争论,例如在Reddit上就有用户指出,早期的Cilium架构在尝试适应严格的mtLS协议模型时,反而会“削弱集群的安全性”。由此可见,该项目目前正在积极回应这些批评意见。
在本次版本更新中,新增了对Ztunnel的集成支持。Ztunnel能够实现工作负载之间TCP连接的透明加密与身份验证功能,且无需使用侧车代理。在1.19版本的文档中,维护团队介绍了如何将命名空间纳入Ztunnel系统,从而使各个工作负载能够在不修改应用程序代码的情况下实现相互认证——这一举措进一步让Cilium更接近服务网格的理想架构。由于默认禁用了原有的相互认证功能,并建议需要使用MTLS协议的用户选择通过Ztunnel进行通信,因此这次更新也意味着开发者对之前的设计思路进行了重新考量。相比之下,其他类似的项目如Istio仍然依赖于侧车代理机制来进行部署。Reddit上的实践者们指出,即使这些新技术仍处于测试阶段,但它们所采用的轻量级设计方式确实能够有效降低每个Pod的运行开销并简化配置流程,因此具有很大的吸引力。
在多集群环境中,当网络策略未明确指定具体集群时,系统的默认行为也发生了变化。在Cilium 1.19.0版本中,此类筛选规则现在默认只允许来自本地集群的流量通过,这样一来,配置错误的策略就不容易导致服务在整个集群网格中被错误地暴露出来。此外,本次更新还引入了多级DNS通配符匹配功能,并允许系统在策略拒绝建立连接时返回ICMPv4“目标不可达”的响应。这些改进旨在使网络策略表达得更清晰、更易于调试。同时,ToRequires和FromRequires等政策配置字段已被弃用,目的是去除那些使用频率较低的复杂功能,帮助运维人员专注于那些在实际生产环境中被广泛应用的配置模式。
从运营角度来看,将“多池IPAM”功能提升为稳定版本后,得到了许多用户的积极反馈,尤其是那些在大型或地址空间复杂的环境中工作的用户。在本次版本中,官方明确说明“多池IPAM”功能既支持IPsec协议,也支持直接路由机制,因此已经可以广泛应用于生产环境。Reddit上的用户们之前曾反映,Cilium的某些高级功能“需要花费大量精力才能配置到位并使其正常运行”,而现在,通过“多池IPAM”功能,他们可以在多个地址池之间更便捷地分配IP地址——这对于混合集群或多租户环境来说尤为重要。在双栈集群中,将IPv6作为隧道底层协议进行使用,以及对IP伪装功能进行更细粒度的控制,也是用户们经常提到的改进内容。这些变化使得Cilium能够支持更多样的拓扑结构,而无需依赖那些不够稳定或容易出问题的解决方案。
Cilium的可观测性组件Hubble所进行的改进,也是社区用户们反复提及的重点内容。现在,Hubble允许用户通过IP选项来追踪特定数据流的信息,并且可以在命令行中根据数据的加密状态来过滤流量。此外,它还能为各种网络事件添加标签,明确指出导致这些事件的具体网络策略。这些改进有效解决了长期以来人们所抱怨的问题:基于eBPF的数据处理机制在发生故障时往往难以被正确理解和分析。
Cilium 1.19.1现已上市,可通过。