calico

在原来的L2-L7包上，加上中间层协议，再包上L4-L2. 好处：屏蔽了下层，减少了依赖坏处： - 性能开销 - 负载均衡

用途： - 内网私有IP，向公网IP转换 - 负载均衡

The Maximum Transmission Unit。将包碎片化的过程，会影响性能。较大的MTU，会降低CPU负载。

两大类： - 实现Pod IP分配 - 实现Pod 接入到network

The physical topology defined the security boundaries of the network.

the Kubernetes network model defines a “flat” network in which every pod can communicate with all other pods in the cluster using pod IP addresses.

特点： - namespace为作用域 - 根据标签来应用规则到pod - 规则可以应用到pod之间，namespace之间，CIDRs的流量(traffic) - 规则可以应用到协议，端口

k8s并没有自己实施网络策略，而是授权给网络插件。

在实现k8s network policy的基础上，还有以下特点： - 支持策略顺序/优先级 - 根据规则，拒绝/打日志 - 更灵活的匹配标准 - 引用非k8s工作负载的能力