Cilium 10周年:大規模クラスター向けの強化された暗号化、安全なポリシー、明確な可視性
eBPFベースのネットワーク・セキュリティプロジェクトCiliumが10周年を迎え、バージョン1.19をリリース。大規模クラスター向けに暗号化、ポリシー管理、可視性を強化した機能を提供。
キーポイント
Cilium 1.19リリースで10周年を迎え、セキュリティ強化・暗号化厳格化・大規模クラスター向けスケーラビリティ向上に焦点
CiliumがKubernetes環境で支配的なCNIとして確立(調査で60%以上が採用)、eBPFベースの可観測性と高度なポリシーが主要採用理由
AIワークロードや仮想マシンを含む異種環境での統一ネットワーク・セキュリティ基盤として拡大、Microsoft・Google・TikTokなど大規模AIクラスターで採用
影響分析・編集コメントを表示
影響分析
Ciliumの10周年リリースは、単なる機能更新ではなく、eBPFベースのネットワーク・セキュリティスタックがKubernetesエコシステムでデファクト標準として確立したことを示す。特に大規模AIクラスターや異種環境での統一管理基盤としての拡大は、AIインフラの進化に直接影響を与える重要な動向である。
編集コメント
Ciliumの10周年は単なる節目ではなく、eBPF技術が本格的に実運用で価値を証明した転換点。AI時代のインフラ基盤としての地位固めが進んでいる。
InfoQ ホームページニュース Cilium 10 周年:大規模クラスター向けに、より強力な暗号化、安全なポリシー、明確な可視性
Cilium 10 周年:大規模クラスター向けに、より強力な暗号化、安全なポリシー、明確な可視性
2026 年 2 月 25日 4 分間読了
InfoQ への投稿
この記事を聴く - 0:00 オーディオ再生準備完了。お使いのブラウザは音声要素をサポートしていません。0:00 0:00 通常1.25 倍速1.5 倍速 お気に入りに追加
Cilium 1.19 がリリースされ、eBPF ベースのネットワークおよびセキュリティプロジェクトとして 10 年の開発の節目を迎えました。今回のリリースに目玉機能があるわけではありませんが、セキュリティ強化、暗号化の厳格化、ネットワークポリシーの動作の精緻化、そして大規模な Kubernetes クラスター向けのスケーラビリティ向上に焦点を当てています。
LinkedIn の Cilium 投稿では、1.19 を最初のコミットから 10 周年を祝う特別なリリースとして紹介しており、1,000 人以上の開発者による 2,900 件以上のコミットが含まれています。2025 年の年次 Cilium レポートは、Cilium がどのようにして生産環境の Kubernetes で静かに支配的な CNI(Container Network Interface)へと成長したかを説明しています。調査されたデプロイメントの 60% 以上が Cilium を使用しており、Azure CNI(Cilium によって駆動される)や GKE Datapath V2 といった管理サービスを含めると、75% 以上が Cilium ベースのデータプレーンに依存しています。この地位は、レポートにおいてプラットフォームのデフォルトではなく意図的な技術選定によるものとして位置づけられており、採用の主な理由として、パフォーマンス、Hubble を介した eBPF ベースの観測性(observability)、そして高度なポリシーセマンティクスが挙げられています。これは 1.19 におけるより厳格な暗号化モード、安全なクラスター間デフォルト、および深いトラフィックトレーシングへの強調と密接に一致しています。またレポートでは、貢献レベルが年間約 10,000 件のプルリクエストで安定していること、そして Cilium が Kubernetes に次いで CNCF(Cloud Native Computing Foundation)プロジェクトの中で貢献数において第 2 位となっていることも示されています。
/filters:no_upscale()/news/2026/02/cilium-119/en/resources/1Screenshot From 2026-02-25 22-31-58-1772059001466.png)
レポートの2つ目のテーマは、Cilium および関連プロジェクトが新しい領域、特に AI ワークロードや Kubernetes と仮想マシンの間の統一されたネットワークへと拡張されていることです。Microsoft、Google、TikTok などの大規模組織は、Cilium を用いて、最大級の AI 学習クラスターおよび IPv6 のみデータセンター展開を推進していると報告されています。また、ESnet や Nutanix といった企業からの事例研究では、異種環境全体にわたる一貫した観測性とポリシー制御の価値が強調されています。同文書は、Tetragon を新興のランタイムセキュリティ層として位置づけており、Windows サポート、永続的な強制執行、および uprobes や USDTs によるユーザー空間フックポイントに関する取り組みが、Hubble の 1.19 バージョンにおけるより厳格な暗号化と改善されたドロップ属性特定を補完するものとして描かれています。これは、より多くの強制実行ロジックを専用のセキュリティプレーンへ移行させることで実現されています。
1.19 リリースでは、IPsec と WireGuard の両方に対して厳格モードが導入されました。この変更により、ノード間の暗号化は「ベストエフォート」のオプションから、必須要件へとシフトします。厳格モードでは、暗号化されていないノード間トラフィックはドロップされます。これは、金融業界や公共部門などの環境で求められる内部ポリシーに合致するもので、クラスターネットワーク内の暗黙の信頼への依存を排除することを目的としています。プロジェクトの要約では、この変更が主に「規制対象環境」または「ゼロトラスト環境」向けであることが示されています。LinkedIn 上の議論では、これは Cilium のデータプレーン動作を、セキュリティチームが現代のサービスメッシュに期待するものにより近づけるものとして捉えられています。これは、Reddit のスレッドで一人のユーザーが以前の Cilium アーキテクチャについて「厳格な mTLS モデルに適合させようとする際、オペレーターがクラスターのセキュリティを損なうことを強要される」と記述した、コミュニティ内の長年の議論を経てのことです。これは、プロジェクトが過去の批判に対して直接応答していることを示しています。
本リリースには、Ztunnel の新しいベータ版統合が含まれています。Ztunnel は、サイドカープロキシを必要とせずに、ワークロード間の TCP 接続に対して透明性のある暗号化と認証を可能にします。1.19 リリース資料において、メンテナーは名前空間を Ztunnel に登録することで、アプリケーションの変更なしに相互認証を実現できる仕組みについて説明しています。これにより、Cilium はサービスメッシュの理想にさらに近づきます。既存の相互認証機能をデフォルトで無効化し、mTLS が必要なユーザーに対して Ztunnel のパスを案内するという決定には、以前の設計選択の見直しが示唆されています。Istio などの他の類似プロジェクトは依然としてサイドカーベースの展開に依存しています。Reddit での実務者からのコメントでは、ベータ版であるにもかかわらず、1 ポッドあたりのオーバーヘッドと設定の複雑さを軽減する軽量アプローチへの魅力が強調されています。
ネットワークポリシーでクラスターを指定しないマルチクラスター設定におけるデフォルトセマンティクスに変更があります。Cilium 1.19.0 では、そのようなセレクターはデフォルトでローカルクラスターからのトラフィックのみを許可するように変更されました。これにより、誤設定されたポリシーが Cluster Mesh デプロイメント全体にサービスが意図せず公開されるリスクが低減されます。また本リリースでは、マルチレベル DNS ワイルドカードマッチと、ポリシーが接続を拒否した際に Cilium が ICMPv4 の「Destination unreachable」応答を返すオプションが導入されました。これらは合わせて、ポリシーの表現力を高め、デバッグを容易にすることを目指しています。
Kafka プロトコルマッチフィールドおよび ToRequires
運用の観点から、マルチプール IPAM の安定版への昇格は肯定的なフィードバックを得ており、特に大規模または分割されたアドレス空間で作業しているユーザーからは好評です。今回のリリースでは、マルチプール IPAM が IPsec と直接ルーティングの両方と連携して動作することが文書化され、より広範な本番環境での使用が可能になりました。以前は Cilium の高度な機能を実装して安定稼働させるのに「多くの作業が必要」と報告していた Reddit のユーザーたちは、複数のプールにわたるアドレス割り当てをより明確に行う道筋を得ることになります。これはハイブリッドまたはマルチテナントクラスタにおいて極めて重要です。デュアルスタッククラスタにおけるトンネルアンダーレイオプションとしての IPv6 の追加や、IP マスケレードに対するより細かな制御は、しばしば同じ議論の中で言及されます。これらの変更により、Cilium は脆いワークアラウンドに頼ることなく、サポート可能なトポロジーの範囲を広げることができます。
Cilium の観測コンポーネントである Hubble における観測性の向上は、コミュニティからのコメントで繰り返し言及される一連の変更の最後のクラスターを構成しています。Hubble は now、特定のフローに対して IP オプションを使用してパケットを追跡したり、暗号化ステータスによってコマンドラインでトラフィックをフィルタリングしたりできるようになりました。また、ドロップイベントに、それらを発生させた正確なネットワークポリシーをタグ付けすることも可能です。これらの変更は、インシデント発生時に eBPF ベースのデータプレーンが推論しにくいという長年の不満に対応するものです。
Cilium 1.19.1 は現在利用可能であり、詳細は Cilium ウェブサイトでご確認ください。
著者について
この記事の評価
このコンテンツは DevOps トピックに含まれています
関連トピック:
ネットワークセキュリティ
関連編集記事
関連スポンサー
観測可能性から実行可能性へ:AWS 上の自律型 SRE 向けエージェント AI の設計
関連スポンサー
Agentic AI を活用して AWS の効果を最大化 — テレメトリを統合し、ノイズを削減し、インシデントをより迅速に解決。詳細はこちら。
InfoQ ニュースレター
先週の InfoQ 記事を毎週火曜日にまとめたニュースレター。250,000 名以上のシニア開発者で構成されるコミュニティに参加しましょう。サンプルを見る
私たちはあなたのプライバシーを保護します。
原文を表示
InfoQ Homepage News Cilium at Ten Years: Stronger Encryption, Safer Policies, and Clearer Visibility for Large Clusters
Cilium at Ten Years: Stronger Encryption, Safer Policies, and Clearer Visibility for Large Clusters
Feb 25, 2026 4 min read
Write for InfoQ
Listen to this article - 0:00 Audio ready to play Your browser does not support the audio element. 0:00 0:00 Normal1.25x1.5x Like Reading list
Cilium 1.19 has been released, marking ten years of development for the eBPF-based networking and security project. There isn’t a flagship feature in this release; instead, it focuses on security hardening, tightening encryption, refining network policy behaviour, and improving scalability for large Kubernetes clusters.
The Cilium post on LinkedIn describes 1.19 as a special release celebrating 10 years since the first commit, with over 2,900 commits from 1,000+ developers. The 2025 annual Cilium report explains how Cilium has quietly become the dominant CNI in production Kubernetes environments, with over 60 per cent of surveyed deployments using Cilium and more than 75 per cent relying on Cilium-based data planes once managed services such as Azure CNI powered by Cilium and GKE Datapath V2 are included. This position is linked in the report to deliberate technical selection rather than platform defaults, with respondents citing performance, eBPF based observability via Hubble, and advanced policy semantics as the main reasons for adoption, which aligns closely with the emphasis in 1.19 on stricter encryption modes, safer cross cluster defaults and deeper traffic tracing. The report also show that contribution levels have stabilised at around 10,000 pull requests per year, and that Cilium is now the second largest CNCF project by contributions behind only Kubernetes.
/filters:no_upscale()/news/2026/02/cilium-119/en/resources/1Screenshot From 2026-02-25 22-31-58-1772059001466.png)
A second theme in the report is the extension of Cilium and its related projects into new domains, particularly AI workloads and unified networking across Kubernetes and virtual machines. Large organisations such as Microsoft, Google and TikTok are described as using Cilium to power some of the largest AI training clusters and IPv6 only data centre deployments, while case studies from firms like ESnet and Nutanix highlight the value of consistent observability and policy controls across heterogeneous environments. The same document positions Tetragon as an emerging runtime security layer, with work on Windows support, persistent enforcement and userspace hook points via uprobes and USDTs, which complements the 1.19 focus on stricter encryption and improved drop attribution in Hubble by moving more enforcement logic into a dedicated security plane.
The 1.19 release introduces strict modes for both IPsec and WireGuard. This change shifts encryption from a best-effort option to a hard requirement between nodes. In strict mode, unencrypted inter-node traffic is dropped. This satisfies internal policies that financial and public sector environments may have, aiming to remove reliance on implicit trust within a cluster network. The project’s summary notes that this change is primarily for "regulated or zero trust environments." LinkedIn discussions frame it as bringing Cilium's data plane behaviour closer to what security teams expect from modern service meshes. This comes after a longer history of community debate, including a Reddit thread where one user described earlier Cilium architectures as forcing operators to "undermine cluster security" when trying to fit them into strict mTLS models. This indicates that the project is now responding directly to earlier criticism.
The release has a new beta integration of Ztunnel. Ztunnel enables transparent encryption and authentication of TCP connections between workloads without needing sidecar proxies. In the 1.19 release materials, the maintainers describe how namespaces can be enrolled into Ztunnel so that workloads can gain mutual authentication without application changes, again bringing Cilium closer to service-mesh ideals. There is an implied rethink of earlier design choices in the decision to disable the existing mutual authentication feature by default and to point users needing mTLS towards the Ztunnel path. Other similar projects, like Istio, still rely on sidecar-based deployment. Comments from practitioners on Reddit emphasise the appeal of lighter-weight approaches that reduce per-pod overhead and configuration complexity, even if they are still in beta.
There's a change in default semantics for multi-clustered setups when network policies do not specify a cluster. In Cilium 1.19.0, such selectors now default to allowing traffic only from the local cluster. This reduces the risk that a misconfigured policy will unintentionally expose services across a Cluster Mesh deployment. The release also introduces multi-level DNS wildcard matches and the option for Cilium to return ICMPv4 "Destination unreachable" responses when policies deny connections. Together, these aim to make policies both more expressive and easier to debug. Kafka protocol match fields and the ToRequires
From an operational perspective, the promotion of Multi Pool IPAM to stable status has received positive feedback, especially from users working in large or segmented address spaces. In this release, Multi Pool IPAM is documented as working with both IPsec and direct routing, and is ready for broader production use. Users on Reddit who previously reported that Cilium's advanced features were "a lot of work to get in place and running well" now have a clearer path to allocate addresses across multiple pools. This is critical in hybrid or multi-tenant clusters. The addition of IPv6 as a tunnel-underlay option in dual-stack clusters and more granular control over IP masquerading are often mentioned in the same discussions. These changes increase the range of topologies that Cilium can support without resorting to fragile workarounds.
Observability improvements in Hubble, Cilium's observability component, comprise the final cluster of changes that appear repeatedly in community commentary. Hubble now allows tracing packets using IP options for specific flows and filtering traffic in the command line by encryption status. It can also tag drop events with the exact network policy that caused them. These changes address long-standing complaints that eBPF-based data planes can be difficult to reason about during incidents.
Cilium 1.19.1 is available now, and more details are on the Cilium website.
About the Author
Rate this Article
This content is in the DevOps topic
Related Topics:
Network Security
Related Editorial
Related Sponsors
From Observability to Actionability: Designing Agentic AI for Autonomous SRE on AWS
Related Sponsor
Boost AWS effectiveness with Agentic AI — unify telemetry, reduce noise, and resolve incidents faster. Learn More.
The InfoQ Newsletter
A round-up of last week’s content on InfoQ sent out every Tuesday. Join a community of over 250,000 senior developers. View an example
We protect your privacy.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み