2.1.4　容器网络

从云计算系统的发展来看，业界普遍的共识是计算虚拟化和存储虚拟化已经不断突破和成熟，但网络虚拟化的发展仍相对滞后，成为制约云计算发展的一大瓶颈。网络虚拟化、多租户、混合云等特性均不同程度地给云网络的安全建设提出全新的挑战。

容器技术提供了轻量级虚拟化的能力，使实例资源占用大幅降低，提升了分布式计算系统的性能，但分布式容器系统的网络仍是较为复杂的部分。目前容器网络可以简单分为主机网络和集群网络，其中主机网络以Docker为例主要分为None网络模式、Bridge网络模式、Host网络模式和Container网络模式。集群网络以Kubernetes为例，由于Pod作为Kubernetes应用运行的基本单元，每个Pod中包含一个或多个相关的容器，这些容器都会运行在同一个主机中，并且共享相同的网络命名空间和相同的Linux协议栈。因而集群网络基于Pod主要涉及以下三种通信：同一个Pod内，容器和容器之间的通信；同一个主机内不同Pod之间的通信；跨主机Pod之间的通信。