1. 简介Flannel 由CoreOS开发，用于解决docker集群跨主机通讯的覆盖网络(overlay network)，它的主要思路是：预先留出一个网段，每个主机使用其中一部分，然后每个容器被分配不同的ip；让所有的容器认为大家在同一个直连的网络，底层通过UDP/VxLAN/Host-GW等进行报文的封装和转发。实现原理：集群中的不同节点上，创建的Pod具有全集群唯一的虚拟IP地址。建立一个

1. 安全机制1.1 认证 (Authentication)1.1.1 认证方式HTTP Token：Authorization: Bearer $TOKENHTTP Basic： Authorization: Basic $(base64encode USERNAME:PASSWORD),HTTPS: 基于CA根证书签名的客户端身份认证方式（推荐）证书颁发：手动签发：通过k8s集群的根 ca 进

LXC是Linux Containers的缩写。它是一种虚拟化技术，通过一个Linux内核在一个受控主机上虚拟地运行多个Linux系统。LXC使用内核的Cgroups功能，来提供进程和网络空间的隔离，来替代通过创建一个完整的虚拟机来为应用程序提供隔离环境。LXC容器技术里的分散存储是绑定安装的，来为用户达到主机或者另一个容器。LXC起源于cgroup和namespaces，使得进程之间相互隔离，即