Camada 6 — K8s networking & security (Cilium)
Esta camada gerencia rede entre pods, policies de segurança, service discovery e observabilidade L7 dentro do K8s. No CPPS, Cilium consolida todas essas funções.
Componentes
| Componente | Papel |
|---|---|
| Cilium agent | DaemonSet em cada node, programa eBPF no kernel |
| Cilium operator | Gerencia IPAM, identity, policy reconciliation |
| Hubble Relay | Aggregates flows de todos agents |
| Hubble UI | Visualização L7 de tráfego |
Por que Cilium (vs alternativas)
| Função | Cilium | Sem Cilium precisaria |
|---|---|---|
| CNI | ✅ | flannel ou Calico |
| NetworkPolicy L3/L4 | ✅ | K8s built-in ou Calico Felix |
| NetworkPolicy L7 | ✅ | Istio + Envoy sidecars |
| Service mesh + mTLS | ✅ sidecarless | Linkerd OU Istio |
| Cross-cluster (ClusterMesh) | ✅ | Submariner |
| L7 observability | ✅ Hubble | Pixie OU Kiali |
| Identity-based policies | ✅ | SPIFFE/SPIRE |
1 stack consolidada vs 5-7 ferramentas separadas — argumento principal pra time pequeno.
Decisões CPPS
- Cilium em VM por padrão (ADR-002)
- LXC + flannel apenas em hosts Tier 3 (sem iGPU) — exceção forçada por hardware
- ClusterMesh quando Franca migrar pra Cilium
Estado atual
- ❌ K3s SP “principal” greenfield com Cilium pendente
- 🚧 K3s Franca atual com flannel default (migrar em janela)
- ❌ ClusterMesh SP↔Franca pendente
Referência cruzada
- Camada 5 (K3s): /camadas/5-kubernetes/
- Camada 8 (multi-cluster): /camadas/8-multi-cluster/
- ADR-002: Cilium em VM