关于容器网络隔离现在有什么好的解决方案？

容器的隔离是软隔离，网络策略基本依靠iptables完成（通过k8s管理的）
应用安全等级高的 可以采用物理网络隔离，硬件隔离（防火墙，硬件网络），网络完全不共享
应用安全等级中等的，可以采用vxlan（看看是否需要多租户的网络隔离），在四层网络协议下做网络隔离（四层port 三层ip，二层vlan）
应用安全等级低的，容器的软隔离方案就可，网络共享性高，必然导致网络隔离性低

这个要看安全要求的隔离力度是什么，和现有安全策略一致即可。如果安全只要求网络隔离区之间有网络隔离，那么每个隔离区放一个K8S集群即可。如果安全要求网络隔离区内，不同应用的网络也要做隔离，那就需要用到支持network policy的网络模型，如calico。但是这个同一隔离区内的细粒度隔离，我知道的传统应用也很少去做，最多也就是应用层面的白名单机制。