eBPF与Kubernetes网络可观测性实践

概述目标：在K8s集群中用eBPF提供内核级网络可视化与低开销采样，快速定位丢包、连接失败、延迟热点。工具：Cilium + Hubble、`bpftool`、`bpftrace`一行脚本。核心与实战启用Hubble并观察HTTP流量：# 端口转发到本地4245 kubectl -n kube-system port-forward svc/hubble-relay 4245:80 # 观察HTTP请求与丢弃包 hubble observe --protocol http --verdict any --since 1m hubble observe --verdict dropped --since 1m 过滤命名空间与服务：hubble observe --namespace prod --to-service web --protocol http --since 5m 使用`bpftrace`快速统计发送系统调用：bpftrace -e 'tracepoint:syscalls:sys_enter_sendto { @[comm] = count(); }' `bpftool`查看加载的BPF程序与maps：sudo bpftool prog sudo bpftool map 示例TCP重传热点排查：hubble observe --protocol tcp --since 10m --output json | jq '. | select(.event_type.tcp.flags=="RETRANSMISSION")' DNS失败定位：hubble observe --protocol dns --verdict dropped --since 10m 按延迟排序的HTTP请求：hubble observe --protocol http --since 5m --output json | jq -r '[.flow.http.latency_ms, .flow.http.url] | @tsv' | sort -nr | head -n 20 验证与监控确认Cilium/内核兼容与状态：cilium status cilium config Hubble UI（如已部署）：kubectl -n kube-system port-forward svc/hubble-ui 12000:80 # 浏览器打开 http://localhost:12000 节点资源开销：kubectl top node kubectl -n kube-system logs -f ds/cilium --tail=100 常见误区将eBPF观测与iptables并用造成重复拦截/记录；在使用Cilium时应统一网络层策略。采样窗口过大导致日志噪音与开销上升；按问题定位需要缩短`--since`与过滤维度。忽视DNS与TLS握手阶段，错误地将应用延迟归因于服务代码。结语eBPF在K8s提供内核级可视化与低开销排障能力，结合Hubble的协议维度过滤，可在生产环境安全定位网络问题。