PKS 內(nèi)置了 VMware 新一代虛擬化網(wǎng)絡(luò)產(chǎn)品 NSX-T，為容器提供微分段、負(fù)載均衡、安全策略等高級網(wǎng)絡(luò)和安全功能，并且支持除 vSphere 以外的其他 Hypervisor。NSX-T 的項(xiàng)目代號為“變形金剛 （Transformer）”，所以通常把它稱之為 NSX-T，以區(qū)別于傳統(tǒng)的基于 vSphere 的 NSX。

• 創(chuàng)建命名空間 ：在創(chuàng)建容器 Namespace 的同時，NSX-T 會自動創(chuàng)建一個分布式路由器和邏輯交換機(jī)，從網(wǎng)絡(luò)層面上把這個 Namespace 隔離開來。
• 網(wǎng)絡(luò)策略：創(chuàng)建網(wǎng)絡(luò)策略命令會在分布式防火墻上創(chuàng)建一組對應(yīng)的安全策略，根據(jù)安全策略定義的規(guī)則來阻止指定的網(wǎng)絡(luò)流量。
• 應(yīng)用部署：具體的應(yīng)用部署之后，NSX-T 就會根據(jù)安全策略中的規(guī)則來控制對于應(yīng)用容器的流量訪問，PKS 自來的 traceflow 功能可以方便地查看兩個窗口或服務(wù)之間的流量關(guān)系。
• 網(wǎng)絡(luò)策略：刪除相關(guān)的網(wǎng)絡(luò)策略后，就會在相關(guān)的分布式防墻上刪除相應(yīng)的網(wǎng)絡(luò)策略。
• 負(fù)載均衡器 Ingress：NSX-T 也為容器應(yīng)用提供了負(fù)載均衡服務(wù) Ingress，Ingress 具有層7的網(wǎng)絡(luò)路由功能。

• 創(chuàng)建命名空間：在 PKS 集群中創(chuàng)建 namespace bar，可以看到 NSX-T 在后臺自動創(chuàng)建了一個邏輯路由器和交換機(jī)來為命名空間 bar 提供一個獨(dú)立的網(wǎng)段；
• 利用網(wǎng)絡(luò)策略來控制網(wǎng)絡(luò)通訊：創(chuàng)建網(wǎng)絡(luò)策略來阻止帶有  db 和 nginx 標(biāo)簽的 Pod 之間的通訊， NSX-T 提供的 Traceflow 工具可以讓管理員直觀地看到多個 Pod 指定端口之間的通訊被阻止了；
• 通過 Ingress 控制器來均衡負(fù)載：部署一個 Ingress 控制器來分配 coffee 和 tea 服務(wù)之間的工作負(fù)載，Ingress 具有層 7 的網(wǎng)綹路由能力，能夠通過 URL 上的服務(wù)名字 （coffee 或 tea） 來把網(wǎng)絡(luò)包專遞給相應(yīng)的服務(wù)。