Kubernetes 等容器管理系统部署了一个网络模型，该模型为每个 pod（容器组）分配一个单独的 IP 地址。这确保了架构的简单性，避免了不必要的网络地址转换（NAT），并为每个单独的容器提供了全范围的端口号以供使用。这种模型的逻辑结果是，根据集群的大小和 pod 的总数，网络层必须管理大量的 IP 地址。

在传统上，安全策略基于 IP 地址过滤器。下面是一个简单的例子。如果所有具有标签 role=frontend 的 pod 应该被允许发起与所有具有标签 role=backend 的 pod 的连接，那么每个运行至少一个具有标签 role=backend 的 pod 的集群节点必须安装一个相应的过滤器，允许所有 role=frontend pod 的所有 IP 地址发起与所有本地 role=backend pod 的 IP 地址的连接。所有其他的连接请求都应该被拒绝。这可能看起来像这样。如果目标地址是 10.1.1.2，那么只有当源地址是下列之一时才允许连接 [10.1.2.2,10.1.2.3,20.4.9.1]。

每次启动或停止带有 role=frontend 或 role=backend 标签的新 pod 时，必须更新运行任何此类 pod 的每个集群节点的规则，从允许的 IP 地址列表中添加或删除相应的 IP 地址。在大型分布式应用中，这可能意味着每秒多次更新数以千计的集群节点，这取决于部署的 pod 的流失率。更糟糕的是，新的 role=frontend pod 的启动必须推迟到所有运行 role=backend pod 的服务器都被更新了新的安全规则之后，否则来自新 pod 的连接尝试可能会被错误地放弃。这使得它难以有效地扩展。

为了避免这些可能限制扩展性和灵活性的复杂情况，Cilium 将安全与网络寻址分开。相反，安全是基于 pod 的身份，它是通过标签得出的。这个身份可以在 pod 之间共享。这意味着，当第一个 role=frontend pod 启动时，Cilium 会给该 pod 分配一个身份，然后允许它与 role=backend pod 的身份发起连接。随后启动额外的 role=frontend pod 只需要通过键值存储来解决这个身份，不需要在任何承载 role=backend pod 的集群节点上执行任何操作。一个新的 pod 的启动必须只延迟到 pod 的身份被解决，这比更新所有其他集群节点上的安全规则要简单得多。