Calico 原理

“由于 Calico 是一种纯三层的实现，因此可以避免与二层方案相关的数据包封装的操作，中间没有任何的 NAT，没有任何的 overlay，所以它的转发效率可能是所有方案中最高的，因为它的包直接走原生 TCP/IP 的协议栈，它的隔离也因为这个栈而变得好做。因为 TCP/IP 的协议栈提供了一整套的防火墙的规则，所以它可以通过 IPTABLES 的规则达到比较复杂的隔离逻辑。”

TCP/IP 的协议栈提供了一整套的防火墙的规则 -- 麻烦 TCP/IP 协议栈里的防火墙规则 是哪个规则啊？ 谢谢

你怎么就能根据那么一句话推断出“感觉就是 NAT ”呢？
里面有任何一句提到 translation 了？

@julyclyde 宿主机是路由器， 容器连着宿主机， 这不像是 NAT 吗

@thomaswang 跟 NAT 毫无关系
你可以设置 NAT，但 NAT 在这里不是个必须出现的东西