Blog
Thoughts on engineering, design, and building great products.
Ingress: Đưa HTTP Từ Ngoài Vào (Bằng Cilium)
NetworkPolicy lo lưu lượng pod-với-pod ở trong. Bài này mở mép cluster cho HTTP từ ngoài vào, định tuyến theo host và path tới đúng Service — bằng Ingress controller có sẵn của Cilium, không cài thêm phần mềm. Quan trọng không kém phần kỹ thuật là một quyết định thật: Ingress NGINX đã bị khai tử tháng 3/2026 và API Ingress đã đóng băng, nên ta chọn controller đang được bảo trì và soi cách Cilium dịch một Ingress thành cấu hình Envoy chạy trên eBPF.
NetworkPolicy: Tường Lửa Theo Nhãn
Mặc định mọi pod trong cluster nói chuyện tự do với nhau — phẳng và mở. Bài này dùng NetworkPolicy để khoá lại: chặn hết ingress vào một pod rồi chỉ mở cho đúng nhãn được phép, test thật trên cụm Cilium. Và vì cụm chạy eBPF, ta xem được Hubble in ra verdict DROPPED/FORWARDED cho từng gói, kèm Cilium identity chứng minh policy bám vào nhãn chứ không phải IP.
Migrate sang Cilium kube-proxy-less
Lý thuyết xong, giờ làm thật: thay kube-proxy + bridge của Part I bằng Cilium 1.19 dựa eBPF, gỡ hẳn kube-proxy, bật Hubble. Bài này dò từng bước migration trên cụm đang chạy — cài Cilium, tắt kube-proxy, xác nhận Service vẫn chạy mà không còn một rule iptables nào của kube-proxy — kèm bốn cái bẫy thật mà một cụm tự dựng vấp phải (providerID, topology label, IMDS hop limit, hostNetwork) và cách gỡ.
Cilium và eBPF: vì sao thay kube-proxy
Ở Part I ta dựng mạng pod bằng kube-proxy iptables và một bridge thủ công — đủ chạy, nhưng iptables phình tuyến tính theo số Service và mọi quyết định mạng nằm rải trong hàng trăm rule. Part X nâng cấp: thay cả kube-proxy lẫn bridge bằng Cilium dựa eBPF. Bài này là phần lý thuyết — eBPF là gì, vì sao nó nhanh hơn iptables, Cilium làm gì khác ở datapath — soi thẳng 74 rule iptables đang chạy để thấy thứ ta sắp bỏ đi.
Nối Mạng Pod Bằng Tay: CNI bridge và Route VPC
Bài lý thuyết trước dựng nền; bài này lắp ráp. Ta viết CNI config bridge + host-local cho mỗi worker, thêm route trong bảng định tuyến VPC để pod-to-pod xuyên node đi được, rồi xem hai node cuối cùng chuyển sang Ready. Cuối bài tạo hai pod thật trên hai node khác nhau và ping giữa chúng — pod nhận IP từ dải của node mình, và gói đi xuyên node mà không bị NAT.
Mô Hình Mạng Của Kubernetes
Trước khi nối mạng pod ở bài sau, cần hiểu Kubernetes đòi hỏi một mô hình mạng như thế nào: mỗi pod một IP, mọi pod nói chuyện trực tiếp không NAT. Bài này đi qua bốn yêu cầu nền của mô hình, bốn kiểu giao tiếp trong cluster, vì sao pod-to-pod xuyên node là phần khó, hai họ giải pháp (overlay và native routing), và CNI khớp vào đâu — đặt nền cho việc dựng tay ở bài tiếp.
Ingress: Định Tuyến HTTP Vào Cluster
NodePort cho mỗi service một cổng lạ — không ổn khi có nhiều service. Ingress là một điểm vào HTTP duy nhất, định tuyến theo tên miền và đường dẫn tới đúng service, kèm TLS. Bài này: bật ingress addon của minikube, viết Ingress rule, và test định tuyến theo Host.