Pod內容器之間的通信：localhost

在同一個pod內由pause鏡像啟動的容器。所有運行于同一個Pod內的容器與同一主機上的多個進程類似，彼此之間可通過lo接口完成交互。

同一node上的Pod之間的通信：overlay network

同一個Node內的不同Pod之間可以直接采用對方Pod的IP地址通信，而且不需要使用其他發現機制，例如DNS、Consul或者etcd。

Pod1和Pod2都是通信veth：pair連接到同一個docker0網橋上，它們的IP地址IP1、IP2都是從docker0網段上動態獲取的，它們和網橋本身的IP3是同一個網段的。由于Pod1和Pod2處于同一局域網內，它們之間可以通過docker0作為路由量進行通信。

不同node上的Pod之間的通信：iptables規則

在Kubernetes的網絡世界中，Pod之間假設是通過訪問對方的Pod IP進行通信的，而不同Node之間的通信只能通過Node的物理網卡進行，Pod的IP地址是由各Node上的docker0網橋動態分配的。我們想要實現跨Node的Pod之間的通信，至少需要滿足下面三個條件：

知道Pod IP 和Node IP之間的映射關系，通過Node IP轉發到Pod IP；

在整個Kubernetes集群中對Pod的IP分配不能出現沖突；

從Pod中發出的數據包不應該進行NAT地址轉換。

Kubernetes會記錄所有正在運行的Pod的IP分配信息，并將這些信息保存到etcd中（作為Service的Endpoint），這樣我們就可以知道PodIP和Node IP之間的映射關系。

以Flannel為例，Flannel實現的容器的跨主機通信通過如下過程實現：

每個主機上安裝并運行etcd和flannel；

在etcd中規劃配置所有主機的docker0子網范圍；

每個主機上的flanneld根據etcd中的配置，為本主機的docker0分配子網，保證所有主機上的docker0網段不重復，并將結果（即本主機上的docker0子網信息和本主機IP的對應關系）存入etcd庫中，這樣etcd庫中就保存了所有主機上的docker子網信息和本主機IP的對應關系；

當需要與其他主機上的容器進行通信時，查找etcd數據庫，找到目的容器的子網所對應的outip（目的宿主機的IP）；

將原始數據包封裝在VXLAN或UDP數據包中，IP層以outip為目的IP進行封裝；

由于目的IP是宿主機IP，因此路由是可達的；

VXLAN或UDP數據包到達目的宿主機解封裝，解出原始數據包，最終到達目的容器。

Service與Pod間的通信：iptables規則

集群網絡需要在啟動kube-apiserver時經由“—service-cluster-ip-range”選項進行指定，如10.96.0.0/12，而每個Service對象在此網絡中均擁一個稱為Cluster-IP的固定地址。

管理員或用戶對Service對象的創建或更改操作由API Server存儲完成后觸發各節點上的kube-proxy，并根據代理模式的不同將其定義為相應節點上的iptables規則或ipvs規則，借此完成從Service的Cluster-IP與Pod-IP之間的報文轉發

集群外部到Pod對象之間的通信

將集群外部的流量引入到Pod對象的方式有受限于Pod所在的工作節點范圍的節點端口（nodePort）和主機網絡（hostNetwork）兩種，以及工作于集群級別的NodePort或LoadBalancer類型的Service對象。

即便是四層代理的模式也要經由兩級轉發才能到達目標Pod資源：請求流量首先到達外部負載均衡器，由其調度至某個工作節點之上，而后再由工作節點的netfilter（kube-proxy）組件上的規則（iptables或ipvs）調度至某個目標Pod對象。