Обеспечивает работу сети в кластере с помощью модуля cilium.

Ограничения

  1. Модуль не поддерживает туннелирование.
  2. Сервисы с типом NodePort и LoadBalancer не работают с hostNetwork-эндпоинтами в LB режиме DSR.

Заметка о CiliumClusterwideNetworkPolicies

  1. Убедитесь, что вы применили первичный набор объектов CiliumClusterwideNetworkPolicy, поставив конфигурационную опцию policyAuditMode в true. Отсутствие опции может привести к некорректной работе control plane или потере доступа ко всем узлам кластера по SSH. Вы можете удалить опцию после применения всех CiliumClusterwideNetworkPolicy объектов и проверке корректности их работы в Hubble UI.
  2. Убедитесь, что вы применили следующее правило. В противном случае control plane может некорректно работать до одной минуты во время перезагрузи cilium-agent Pod’ов. Это происходит из-за сброса conntrack таблицы. Привязка к entity kube-apiserver позволяет “обойти” баг.

     apiVersion: "cilium.io/v2"
     kind: CiliumClusterwideNetworkPolicy
     metadata:
       name: "allow-control-plane-connectivity"
     spec:
       ingress:
       - fromEntities:
         - kube-apiserver
       nodeSelector:
         matchLabels:
           node-role.kubernetes.io/master: ""