eCHO 201:2026 网络、eBPF 与安全预测——技术笔记#
开篇:这集值得留下什么#
eCHO 第 201 期不是功能发布会,而是一次可对照原文的年度预测对谈:嘉宾 Nico Vibert(Isovalent / Cisco)先给 2025 预测博文 逐条「验票」,再展开 2026 版八条预测(2026-01-22)。若你关心云原生网络、运行时安全与 AI agent 治理的交叉点,值得保留的是:哪些断言已有官方文档背书、哪些仍是 Isovalent 内部民调或演讲者判断——后者在文中会单独标出。
社区侧还预告了 Cilium 1.19 专场 eCHO(节目时点指向 2 月初)、Cilium Up and Running 纸质/PDF 与 KubeCon Amsterdam 议题;Isovalent Labs(Labs)强调可在 CPU 上跑实验、无需 GPU 预算。这些属于参与渠道,不构成版本承诺;技术判断仍以博文与发行说明为准。
屏幕共享:Isovalent 博客《Networking and eBPF Predictions for 2026 and Beyond》,目录含 Open source scrutiny、Kubernetworker、VM on K8s、Multicloud、Nano segmentation、Cisco 整合、MCP、Identity 等八节。
2025 预测复盘:验票而非算命#
复盘打分来自 Isovalent 内部民调(约 1–10 分),方法论未公开,仅能作节目语境参考。
| 主题 | 节目结论 | 可核对依据 |
|---|---|---|
| eBPF 进入 Windows | 未达成(约 1/10) | Microsoft 2021 博文 与 ebpf-for-windows 仍强调开发模式;2025 博文预测 GA,「未达成」为节目评判 |
| AI + eBPF 安全「革命」 | 部分(约 3/10) | 博文标题含 remain cautious;LLM 生成 NetworkPolicy 仍易 hallucinate(演讲者观点) |
| eBPF 初创融资 soar | 部分(约 6.5/10) | 标题与 Odigos 等融资链接 一致;「soaring」与 IT 支出收缩为经济判断 |
| Netkit 准即时普及 | 未广泛达成 | 博文引 ByteDance 约 10% 吞吐提升、Meta rollout 计划;「10–15%」「内核 ≥6.8」为演讲者口述,2025 博文未写 6.8 |
| VM on K8s 成运维模型 | 方向对、体验难(约 7.5/10) | 与 KubeVirt CNCF incubating 方向一致 |
| K8s 网络适配 AI(DRA) | 推进中 | DRA 概念文档(v1.35 stable)、google/dranet;「Google KubeCon 捐 CNCF」为演讲者转述,本次未抓到逐字来源 |
2025 幻灯片 Prediction #1:「eBPF will come to Windows」。
2025 幻灯片 Prediction #6:「Netkit will see a quasi-immediate widespread adoption」;聊天区追问 What’s next after netkit?(演讲者观点)。
聊天区 @TonyNorlin 希望 2027 年 eBPF 进入 FreeBSD——无官方路线图在本次来源中;仅作社区愿望记录。
聊天叠加:@TonyNorlin 提议 2027 eBPF on FreeBSD;幻灯片同期显示 2025 Prediction #3「Funding of eBPF startups will soar」。
2026 预测:八条主题与证据边界#
以下 h2 顺序以 2026 博文 为准;节目口述曾将 Agent 身份 与 MCP 对调讲解。
开源使用受审视(Ingress NGINX)#
Kubernetes 官方已宣布 Ingress NGINX 退役:best-effort 维护至 2026 年 3 月,之后无安全更新;2026-01 声明 引用第三方研究约 50% 集群仍依赖。迁移方向为 Gateway API(退役文 meta)。节目中 F5 维护分支、厂商 demo 却不回馈社区——F5 公告未在本次调研中核实;2026 博文正文亦未出现 F5。
2026 幻灯片 Prediction #1:「Open Source Usage goes under scrutiny (Ingress-Nginx)」。
「Kubernetworker」与认证路线#
博文预测平台工程师与传统网工鸿沟缩小,BGP、IPv6、overlay、mesh、加密等推高专职角色。CKNE 项目页 写明考试仍在开发中(schema.org:certification exam is being developed),与博文 upcoming certification 一致。NetDevOps → K8s 网络 / BPF / Cilium 为论述性路径,非规范要求。
VM on Kubernetes:失去「天真」#
兴趣上升不等于一夜迁完。博文 h2 为 VMs on Kubernetes lose their innocence,并指向虚拟化网络简报;「VMware 作新 mainframe」为演讲者隐喻(博文未逐字)。KubeCon 共址 VM on Kubernetes Day(Portworx 主办)来自字幕,官方议程页本次未抓取确认。
2026 幻灯片 Prediction #3:「VMs on Kubernetes lose their innocence」。
多云互联开始像真事#
过去许多「多云」停留在策略口号,或仅是 SaaS(如 Office 365)加单一 IaaS 的组合;跨云 VPC 互联仍常依赖 peering、VPN、transit 或第三方编排(演讲者观点)。2026 博文将拐点放在 AWS 与 Google 的托管 L3 连通与可编程 API:AWS Interconnect、开源 aws/Interconnect(OpenAPI 3.0)。可参考 AWS re:Invent 2025 多云指南。Azure 是否推出对等能力仍为预测性表述;Neocloud(GPU/API 交付、弱控制台)无独立标准定义。
Nano segmentation#
介于 macro(区域/边界)与 micro 之间,向进程级 enforcement 推进;博文关键词含 Tetragon、Runtime Security。落地取决于策略生成、下发与运维成本——产品细节宜查 Tetragon 文档。
Isovalent 在 Cisco 体系内可见#
博文链接 Cisco Live Protect 等,称 Cisco 采用 Tetragon 做漏洞缓解。CPO「最战略收购之一」为演讲者转述;收购新闻稿与 cisco-to-acquire-isovalent 正文本次未能抓取。
MCP:用例与风险并存#
Model Context Protocol 将 AI 应用接到外部系统。博文记载 Azure 工程团队搭建带 Cilium + Hubble 的 MCP server,可观察流量并生成 NetworkPolicy;Nico 2025 年 10 月个人实验日期、大客户 PoC 细节为演讲者口述,无公开仓库链接。Agent 非确定性 → 需 identity + policy 绑定;用 Tetragon 限制 agent 系统调用为演讲者观点,非 MCP 规范要求。
节目口述环境:VS Code Copilot → MCP server(binary/container)→ 经 kubeconfig 读集群;只读权限下 agent 可结合 hubble observe 做流量归因,写权限下可在本地 kind 生成 NetworkPolicy——Nico 自述这接近「给实习生 root」的风险模型。企业侧更稳妥的路径是:PoC 集群 + GitHub CI/CD 推送策略 + 人工审批命名空间(演讲者转述,无公开案例链接)。MCP 被比作 agent 的「USB-C 式」接口,仅为比喻,不等同于 USB 安全模型。
Cilium v1.19.4 文档树(在线站若异常,以 GitHub 为准):
# 确认 Hubble 已启用(v1.19.4 setup.rst)
cilium status
# 观察流(示例带 -P;完整 flag 见 CLI 参考)
hubble observe
Identity becomes humanoid#
博文 h2:Identity becomes humanoid, and policy has to follow——编码 agent、MCP 工具调用难以像传统 ServiceAccount 那样用固定动词/资源白名单;若策略不跟进,易出现「YOLO」式越权(定性论述)。
延伸阅读(一手链接)#
- 2026 预测全文 — Isovalent
- 2025 预测全文 — Isovalent
- Ingress NGINX 退役 — Kubernetes
- AWS re:Invent 2025 多云指南 — AWS
未核实边界(撰写时保留):内部打分样本量、具体 CVE 时间线、F5 分支维护能力、Azure 互联 API 对等进展、MCP 实验仓库与 PoC 名称——需随官方公告与项目 Release 更新。
