网络的命名空间

linux在网络栈中引入网络命名空间，从而支持网络协议栈的多个实例。这些独立的协议栈被隔离到不同的命名空间。
Linux在网络栈中引入网络命名空间，将独立的网络协议栈隔离到不同的命令空间中，彼此间无法通信；docker利用这一特性，实现不容器间的网络隔离。

Veth设备对

Veth设备对可以在不同的网络命名空间之间进行通信，直连两个网络命名空间。
veth设备可以在不同网络命名空间之间转移的设备。

网桥

将多个不同网络连接起来并实现多个网络中主机的相互通信。
网桥是二层的虚拟网络设备，把多个网络接口“连接”起来，使得网口之间的报文能够互相转发。实现类似交换机的多对多通信。
docker0网桥的IP地址作为默认网关。

Iptables/Netfilter

自定义的数据包处理过程。
linux网络协议栈中有一组回调函数挂接点，在这些挂接点挂接的钩子函数可以在linux网络栈处理数据包的过程中对数据包进行操作。
Netfilter是在内核模式下，执行挂接的规则；Iptables是在用户模式下，协助维护内核中Netfilter的规则表。通过二者共同实现linux网络协议栈的数据包处理机制。

================= 上层协议处理=================
^ ||
||
INPUT OUTPUT
|| ||
路由 ======== > FORWARD ======== > ||
|| ||
PREROUTING POSTROUTING
================= 接口设备 =================

路由

路由功能由IP层的路由表来实现。
Linux系统包含一个完整的路由功能，当IP层在处理数据发送或转发的时候，会使用路由表来决定发往哪里

在Kubernetes网络中存在两种IP（Pod IP和Service Cluster IP），Pod IP 地址是实际存在于某个网卡(可以是虚拟设备)上的，Service Cluster IP它是一个虚拟IP

是由kube-proxy使用Iptables/ipvs规则重新定向到其本地端口，再均衡到后端Pod的。

docker的网络实现

docker支持四种网络模式：host、container、none、bridge。
k8s只使用bridge模式。在bridge模式下，docker daemon在首次启动时会创建虚拟网桥docker0。然后按照RPC1918的模型，在私有网络空间中给网桥分配一个子网。后面由docker创建出来的容器，都会创建一个虚拟的以太网设备（Veth设备对），其中一端关联到网桥上，另一端使用Linux的网络命名空间技术，映射到容器内的eth0设备，然后从网桥的地址段内给eth0接口分配一个IP地址。