# Cilium คืออะไร? คู่มือ eBPF Kubernetes CNI สำหรับ Network Security SME ไทย 2026
องค์กรที่ใช้ Kubernetes เป็น platform หลักเผชิญปัญหาคลาสสิก: Network policy ควบคุมยาก, Traffic ระหว่าง Pod มองไม่เห็น, iptables rule บวมจนช้า ยิ่งคลัสเตอร์ใหญ่ ปัญหา performance และ security observability ยิ่งชัด
Cilium คือ Kubernetes CNI (Container Network Interface) ยุคใหม่ที่ใช้ eBPF ประมวลผลใน Linux kernel โดยตรง ทำให้ networking, network policy, service mesh และ observability รวมอยู่ในตัวเดียว โดย CNCF ยก Cilium ขึ้นเป็น Graduated project ในปี 2023 และปัจจุบัน Big Tech อย่าง Google, Azure, AWS ก็ใช้เป็นหนึ่งในตัวเลือกหลัก
หลังอ่านจบคุณจะเข้าใจ Cilium ต่างจาก kube-proxy/Calico อย่างไร, Hubble ช่วย debug ได้แค่ไหน, วิธีติดตั้งบน cluster ของคุณ และทีม SME ไทยควรเลือก Cilium ตอนไหน
Cilium คืออะไร eBPF สำคัญอย่างไร
Cilium ถูกสร้างโดย Isovalent ให้ Kubernetes cluster ทำ networking ผ่าน eBPF แทน iptables + kube-proxy แบบเดิม eBPF คือเทคโนโลยีใน Linux kernel ที่อนุญาตให้โหลดโปรแกรมขนาดเล็กเข้าไปรันในจุดต่างๆ ของ kernel ได้อย่างปลอดภัย ไม่ต้อง recompile kernel
ผลคือ Pod-to-Pod routing, Load balancing, NetworkPolicy และ Observability ทำงานในระดับ kernel ทำให้ latency ต่ำมากและ CPU overhead น้อยกว่าระบบเดิม
| หัวข้อ | kube-proxy + iptables | Cilium + eBPF |
|--------|------------------------|---------------|
| Data path | User-space rules | Kernel-space programs |
| Rule lookup | O(n) linear | O(1) hash map |
| NetworkPolicy | L3/L4 | L3/L4/L7 (HTTP, gRPC, Kafka) |
| Service Mesh | ต้องติดตั้งเพิ่ม | Built-in (Cilium Service Mesh) |
| Observability | จำกัด | Hubble ดูได้ทุก flow |
สถาปัตยกรรมหลักของ Cilium
Cilium ไม่ได้ทำแค่ CNI แต่เป็น network platform เต็มรูปแบบ ประกอบด้วยส่วนหลักดังนี้
วิธีติดตั้ง Cilium บน Kubernetes Cluster
ขั้นตอนติดตั้งตรงไปตรงมา รองรับทั้ง kubeadm, EKS, GKE, AKS และ k3s
Use Case ที่ Cilium ชนะขาด
Cilium ไม่ได้เหมาะทุกโปรเจกต์ แต่มีบางเคสที่ดีกว่าชัดเจน
Zero-Trust Network Inside Cluster: เขียน NetworkPolicy ระดับ L7 ได้ เช่น allow เฉพาะ HTTP GET ไม่ให้ POST หรือ block เฉพาะ path `/admin` จาก namespace อื่น
Service Mesh แบบไม่มี Sidecar: Cilium Service Mesh ทำ mTLS และ traffic routing ได้โดยไม่ต้องยัด Envoy sidecar ทุก Pod ประหยัด memory และลด latency
Cluster Mesh หลาย Region: เชื่อม cluster ในไทยกับ DR site ต่างประเทศได้ service discovery ข้าม cluster อัตโนมัติ
Observability สำหรับ compliance: Hubble บันทึก flow log แบบละเอียดตอบโจทย์ audit PDPA, ISO 27001, NIS2 ที่ต้องพิสูจน์การแยก data path
ข้อดี vs ข้อจำกัดที่ต้องประเมิน
ข้อดีที่เด่นชัดคือ: performance ระดับ kernel, observability L7 มาในตัว, network policy กำหนดได้ละเอียด, service mesh ไม่ต้อง sidecar, รองรับ IPv6 dual-stack ได้ดี และมี ecosystem ขนาดใหญ่
ข้อจำกัดที่ต้องระวัง: ต้อง Linux kernel ใหม่, การ debug eBPF ยากกว่าการอ่าน iptables, learning curve สูง, enterprise features (Tetragon, Cluster Mesh UI) บางอย่างอยู่ใน Isovalent Enterprise และต้องวางแผนอัปเกรดให้สอดคล้อง kernel บน node pool
เปรียบเทียบ Cilium vs Calico vs Flannel
| หัวข้อ | Cilium | Calico | Flannel |
|--------|--------|--------|---------|
| Data path | eBPF | iptables (หรือ eBPF แบบ optional) | VXLAN overlay |
| Network Policy | L3/L4/L7 | L3/L4 (L7 ต้องซื้อ Enterprise) | ไม่มี |
| Service Mesh | Built-in | ไม่มี | ไม่มี |
| Observability | Hubble ดีมาก | พอใช้ | น้อยมาก |
| Learning curve | สูง | กลาง | ต่ำ |
เช็กลิสต์ก่อนย้าย production cluster ไป Cilium
สรุปและ Call-to-Action
Cilium ในปี 2026 เป็น de facto standard สำหรับ Kubernetes network ในองค์กรที่ต้องการทั้ง performance สูง, zero-trust policy และ observability ครบวงจรในตัวเดียว ไม่ต้องผสม Calico + Istio + Flannel อีกต่อไป
SME ไทยที่วางแผนย้าย legacy workload ไป Kubernetes หรือ cluster ที่อยู่กับ kube-proxy มาหลายปี ควรประเมิน Cilium อย่างจริงจังเพื่อลดต้นทุน operation และเพิ่ม security posture ทีม ADS FIT พร้อมช่วยวาง architecture, PoC และ migration plan ให้เหมาะกับบริบทของคุณ หรืออ่านบทความอื่นในหมวด Network & Security เพื่อเจาะลึกเทคโนโลยีต่อไป