“sidecarless 模式下 mTLS 卸载” 这个点太真实了！我们上线 K3s + Cilium 1.15 后，用 CiliumClusterwideNetworkPolicy 配合 enable-encryption: true 和 ipsec 模式，确实绕开了 Envoy sidecar，但初期遇到内核密钥轮换延迟导致短暂连接抖动——后来发现是 cilium-operator 的 --identity-allocation-mode=crd 与 --encrypt-node 冲突，切回 kvstore 模式才稳住。

eBPF Map 热更新方面，别只盯着 bpf_map_update_elem()：Cilium 1.14+ 的 --bpf-compile-flags=-DENABLE_BPF_PROG_WATCHER 能让策略变更后自动 reload eBPF 程序（非全量 reload），实测策略生效从 ~800ms 降到 <120ms。

至于兼容性？CiliumNetworkPolicy 是真香，但注意：K8s NetworkPolicy 的 podSelector 不支持 matchExpressions（Cilium 支持），混用时建议统一用 CiliumNetworkPolicy 并开启 --enable-k8s-network-policy=true 做兜底。可观测性上，cilium monitor --type trace + hubble ui 查 mTLS 握手失败比 tcpdump 快 3 倍 ��