在面对满足券商监管要求、高性能、稳定、易维护性、可扩展性的要求下如何选择合适的容器网络解决方案？

楼上两位老哥回答已经很好了，我这里做一个简单总结

面对金融监控要求容器云网络一般都会要求：

1、POD拥有跟数据中心同二层网络ip。

2、POD需要能够固定IP地址，因为针对跨网络分区应用访问需要添加防火墙白名单。

因此这类需求目前都需要一些underlay的网络插件能解决，如calico-bgp和macvlan，但如果使用calico-bgp的话需要将bgp路由同步到数据中心的路由器上，不然防火墙无法对POD的IP开白名单，对于大部分金融客户来说基本上不太可能直接使用calico-bgp这种方式，剩下只有使用macvlan了，但直接所有POD使用macvlan会降低POD的灵活性和，并且pod的密度比vm的密度大得多，如果前期没有规划好，同一个vlan内POD数量过多，容易造成广播风暴。为此Rancher针对此类需求专门开发了双网卡的CNI网络插件canal+macvlan，它具有以下特点：

1、一个POD内有两块网卡，默认情况下pod内之有一块canal-vxlan的网卡，可灵活跟据业务POD需求打开macvlan网卡。可有效避免所有POD全部使用macvlan网络。

2、可在UI上对网络macvlan子网进行灵活配置，包括自定义macvlan子网、ip分配范围、自定义路由。

3、可以整个Kubernetes集群网络分拆成两套网络-管理网络和业务网络，实现业务应用网络扁平化的同时也极大的提升了网络的传输性能。

4、能够对workload指定IP和指定mac地址方便一些需要做防火墙流量白名单的应用场景。

macvlan优点是固定IP，缺点是规模大的话维护路由表是个工作量。
Calico性能比MacVLAN要差一点，但是Calico使用BGP可以方便的对接物理网络，有丰富的Network Policy，能够满足大部分要求。

用macvlan CNI呗，区别就不大了