Kubernetes的网络模型如何实现Pod间通信？CNI插件的选择标准是什么？Calico、Flannel、Cilium在性能和功能上的差异？

Kubernetes Pod间通信实现：

1. 同一节点Pod：通过cni0网桥或veth pair直接二层通信。
2. 跨节点Pod：由CNI插件构建Overlay网络（如VXLAN）或路由方案（如BGP），确保Pod IP全局可达。
3. 服务发现：kube-proxy或CNI（如Cilium）通过iptables/IPVS/eBPF实现Service到Pod的负载均衡。

CNI插件选择标准：

• 网络性能：Overlay（如VXLAN）有封装开销，Underlay/BGP路由性能接近原生。
• 安全策略：是否需要NetworkPolicy（如Calico、Cilium支持）。
• 运维复杂度：BGP需路由设施配合，Overlay更易部署。
• 云环境集成：AWS/AliCloud等自有插件优化云网络。

Calico、Flannel、Cilium对比：

• Flannel：简单Overlay（VXLAN/host-gw），无网络策略，性能中等，适合中小集群。
• Calico：BGP路由或IP-in-IP封装，支持NetworkPolicy，性能接近原生，适合对性能与策略有要求的场景。
• Cilium：基于eBPF实现高性能网络与安全策略，支持L7策略、可观测性，性能最优但资源消耗较高。

核心差异：Flannel侧重简易，Calico平衡性能与功能，Cilium面向云原生深度可观测与安全。