pod之间的通信默认是不隔离的，他们之是能相互通信的，但如果你想通过IP地址或者端口来管理网络通信，那么就可以使用k8s的networkpolicy功能。该功能的实现原理是默认都不通过，显示添加白名单。如果指定namespace，那么该networkpolicy生效的范围是本namespace内。如果没有指定namespace，

相同点vxlan和geneve都走udp。报文头vni都占用24位。不同点vxlan头固定长度8个字节。geneve头由固定长度8个字节和VariableLengthOptions可变长的0-252个字节组成。相比于vxlan，有了可变长字节之后，geneve可扩展性更强。kube-ovn封装的geneve头中，Options中OptionData有32

在Kubernetes（k8s）中，网络策略（NetworkPolicy）是一种资源对象，用于管理集群内部的网络通信规则。它允许管理员定义哪些Pod可以与哪些其他Pod进行通信，从而实现更细粒度的网络访问控制。具体来说：网络策略规范（NetworkPolicyspec）：定义了在一个命名空间内应用的具体网络策略规则，包括要限

检查IstioEgressGateway是否已布署kubectlgetpod-listio=egressgateway-nistio-system查看现存Istiopod信息kubectlgetpods-nistio-systemNAMEREADYSTATUSRESTARTSAGEistio-ingressgateway-f9fc6b7fb-m4vm

Context一个默认拒绝（default-deny）的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。Task为所有类型为Ingress+Egress的流量在namespacetesting中创建一个名为denypolicy的新默认拒绝NetworkPolicy。此新的NetworkPolicy必须拒绝namespacetest

经控制平面传递寄存器信息实验实验目的为了在tofino上实现微突发缓解所需的微突发检测，需要在ingress阶段获取出端口的队列信息。但由于硬件限制，ingress阶段不能直接访问在egress阶段获取的队列长度信息，因此需要一种方法，将每个端口的队列长度是否超过阈值的信息，传递给ingresspip

EgressFirewall简介 EgressFirewall功能使群集管理员能够限制项目中pod可以访问的外部主机，即：只对POD出到外网流量进行限制；EgressFirewall对象规则适用于与EgressFirewa

IstioGatewayIstio采用了一种新的模型——IstioGateway来代替Kubernetes中的Ingress资源类型。Gateway允许外部流量访问内部服务，只需要配置流量转发即可。创建

软件定义网络：逻辑集中控制MainContributionOpenFlow=标准化模型OpenFlow=与交换机交互的标准化协议下载流表条目、查询统计信息等通过单个实体进行逻辑集中控制

EgressGateway逻辑示意图EgressGateway配置要点各SidecarEnvoy上访问特定外部主机的流量，要路由至EgressGatewayEgressGateway要将相应的流量路由至相应的外部

一、NetworkPolicy简介官方介绍：https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/基于NetworkPolicy在三层(网络层)或四层(传输层)控制拒