kernel network stack node 加速跨节点pod间通信 pod在跨节点通 信的场景下， cilium 借助 eBPF redirect 能力，帮 助数据包在主机物 理网卡和pod虚拟 网卡之间快速转发， 能够完全 bypass 内核协议族的处理。 在某测试场景下， 跨节点间的 pod 通 信的 tcp 性能，比 node间应用通信的 tcp 性能还稍高 woker node2 policy过 滤，不足： • 一条过滤规则可能需要记录诸 多的CIDR • endpoint身份和 IP 地址耦合， 如 pod 重启后 IP 发生变化， 整集群可能需要同步 信息，刷 新 OVS 流表或者 ipset 规则 • 大规模的 policy ，会一定程度 的影响规则查询的效率，会一 定程度的影响规则更新的时间， 这些都会引入的TPS波动 Cilium policy采用了 identity