随着边缘计算和轻量化虚拟化的普及，K3s 已经成为很多开发者和中小企业的首选。但在生产环境中，默认的 Flannel 网络插件在安全策略和可观测性上略显不足。今天分享一套基于 Cilium (eBPF) 的 K3s 部署方案。

1. 为什么选择 Cilium？

高性能网络：基于 eBPF 技术，绕过传统的 iptables，极大提升吞吐量。 高级安全策略：支持 L7 层的网络策略，精准控制流量。 透明加密：内置 IPsec 和 WireGuard 支持。 Hubble 可观测性：清晰展示集群内的流量拓扑。

2. 部署环境准备

OS: Ubuntu 24.04 LTS Kernel: 6.8+ (推荐，以获得最佳 eBPF 支持) * Node: 2C/4G (最低配置)

3. 核心部署步骤

第一步：安装 K3s (禁用默认 CNI)

curl -sfL https://get.k3s.io | INSTALL_K3S_EXEC="--flannel-backend=none --disable-network-policy" sh -

第二步：安装 Cilium CLI

CILIUM_CLI_VERSION=$(curl -s https://raw.githubusercontent.com/cilium/cilium-cli/main/stable.txt)
curl -L --remote-name-url https://github.com/cilium/cilium-cli/releases/download/${CILIUM_CLI_VERSION}/cilium-linux-amd64.tar.gz
sudo tar xzvfC cilium-linux-amd64.tar.gz /usr/local/bin
rm cilium-linux-amd64.tar.gz

第三步：部署 Cilium

cilium install --set kubeProxyReplacement=true

4. 性能调优建议

在 /etc/rancher/k3s/config.yaml 中建议开启 kube-proxy-replacement，彻底摆脱 iptables 的性能瓶颈。

---
大家在部署过程中如果遇到 eBPF 挂载失败的问题，欢迎在评论区交流！