https://this-is-fine.io/tags/ebpf/Recent content in Ebpf on FuchsbauHugode-DEFri, 28 Nov 2025 17:33:08 +0100https://this-is-fine.io/posts/20251128-cilium-bgp-loadbalancer/Fri, 28 Nov 2025 17:33:08 +0100https://this-is-fine.io/posts/20251128-cilium-bgp-loadbalancer/<p>In der Cloud ist ein <code>Service</code> vom Typ <code>LoadBalancer</code> ein gelöstes Problem — der Provider zaubert eine IP herbei. Auf Bare-Metal ist genau das die Lücke: Wer vergibt die IP, und wer sorgt dafür, dass das Netzwerk sie auch findet? In meinem Lab erledigt das <a href="https://cilium.io/" rel="external noopener" target="_blank">Cilium</a> — als CNI und gleichzeitig als BGP-Sprecher, der die Service-IPs an meine <a href="https://store.ui.com/us/en/products/udm-se" rel="external noopener" target="_blank">Ubiquiti UDM-SE</a> annonciert.</p> <h2 id="cilium-als-cni">Cilium als CNI</h2> <p>Cilium ist auf jedem Cluster die einzige CNI, installiert direkt über die Talos-Maschinenkonfiguration. Es ersetzt <code>kube-proxy</code> vollständig (<code>kubeProxyReplacement: true</code>) und bewegt das gesamte Service- und NetworkPolicy-Handling per <a href="https://ebpf.io/" rel="external noopener" target="_blank">eBPF</a> in den Kernel. Pod-IPAM läuft im <code>kubernetes</code>-Modus; die Verschlüsselung des Pod-Traffics ist bewusst aus, weil die clusterübergreifenden Pfade ohnehin über das WireGuard des Headscale-Tailnets laufen.</p> <p>Spannend wird es beim Übergang vom Cluster ins LAN.</p>