Istio s Envoy sidecar proxy u každého podu. Paráda — ale taky overhead. Cilium přichází s radikálně jiným přístupem: eBPF v kernelu. Žádné sidecary. A výsledky jsou impozantní.
eBPF — programovatelný kernel¶
eBPF umožňuje spouštět sandboxované programy přímo v Linux kernelu. Pro networking: filtrování, routing, load balancing a observabilita s minimálním overhead.
Cilium jako service mesh¶
Sidecar-free: mTLS, traffic management, L7 policy — vše bez Envoy proxy. Od verze 1.14 je Cilium graduated CNCF projekt. Latency overhead v mikrosekundách.
Hubble — observabilita¶
Network flows, DNS queries, HTTP requests — na úrovni kernelu. Bez agentů, bez instrumentace kódu.
Migrace z Istio¶
- P99 latency: snížení o 40%
- Memory per pod: ušetřeno ~50MB (žádný Envoy sidecar)
- Operational complexity: výrazně nižší
- Observabilita: lepší (Hubble vs Kiali)
eBPF je budoucnost Kubernetes networking¶
Vyžaduje moderní kernel (5.10+). Pro organizace s velkými clustery a latency-sensitive workloady je to jasná volba.
ebpfciliumservice meshkubernetes