Kubernetes本身并未實現容器間的網絡互聯能力，但是它通過容器網絡接口（CNI）對容器間的網絡做出了標準化的定義：

• Pod在容器網絡中的狀態隨著Pod生命周期而變化。例如，Pod創建后需要加入網絡，銷毀后需要退出網絡。

• Pod在容器網絡中擁有唯一的IP地址，以便于識別身份。

• Pod可以與集群內的端點與集群外的端點互相訪問。

容器網絡插件（CNI Plugins）負責容器網絡的具體實現。容器網絡插件決定了Pod IP地址分配的機制、是否使用Overlay網絡、集群內流量的轉發鏈路、對Pod的訪問控制機制等容器網絡特性。目前已經有很多知名的開源容器網絡插件，如Calico、Flannel、Cilium等。

容器服務 Kubernetes 版支持兩種容器網絡插件：Terway與Flannel。這兩種插件擁有不同的特性，請參照下方的介紹以及Terway與Flannel的對比文檔，在創建集群前完成容器網絡插件的選型。

Terway容器網絡插件

Terway網絡插件是阿里云自研的容器網絡插件。在容器服務 Kubernetes 版中作為節點的ECS實例使用ENI（彈性網卡）進行網絡通信，Terway將節點的ENI分配給Pod，為Pod提供了網絡互聯能力。因此，在使用Terway時，Pod直接接入VPC網絡。由于不需要使用VXLAN等隧道技術封裝報文，Terway模式網絡具有較高的通信性能。Terway適用于大規模集群以及對網絡性能和訪問控制能力有較高需求的場景。

在創建集群并安裝Terway網絡插件時，可以為Terway配置不同的工作模式。這些工作模式的區別主要在以下三個維度：

• Pod IP地址分配：Terway擁有兩種IP地址分配模式：獨占ENI模式與共享ENI模式。獨占ENI模式中，Pod獨占節點的ENI，擁有極致的網絡性能；而共享ENI模式中，Pod共享節點的ENI，擁有更高的部署密度。

• 網絡加速能力：共享ENI模式支持DataPathv2加速模式。選擇加速模式后，Terway會采取不同于共享ENI常規模式的流量轉發鏈路，實現更快的網絡通信。

• 訪問控制能力：共享ENI模式與獨占ENI模式都支持為Pod配置固定IP、獨立的安全組與虛擬交換機，獨占ENI模式支持通過Kubernetes原生的Network Policy進行訪問控制。

Flannel容器網絡插件

Flannel是一個經典的開源容器網絡插件，它使用VXLAN等虛擬化網絡技術為Pod構建了一個Overlay網絡。Flannel的配置簡單、易于使用，但是網絡性能會受到NAT損失的影響，訪問控制能力相較于Terway也更弱，并且集群的節點數量上限較低。Flannel適用于節點數量不超過1000的小規模集群，以及對網絡性能和訪問控制能力需求較低，希望快速搭建、使用集群的場景。