PKS 內置了 VMware 新一代虛擬化網絡產品 NSX-T，為容器提供微分段、負載均衡、安全策略等高級網絡和安全功能，并且支持除 vSphere 以外的其他 Hypervisor。NSX-T 的項目代號為“變形金剛 （Transformer）”，所以通常把它稱之為 NSX-T，以區(qū)別于傳統(tǒng)的基于 vSphere 的 NSX。

• 創(chuàng)建命名空間 ：在創(chuàng)建容器 Namespace 的同時，NSX-T 會自動創(chuàng)建一個分布式路由器和邏輯交換機，從網絡層面上把這個 Namespace 隔離開來。
• 網絡策略：創(chuàng)建網絡策略命令會在分布式防火墻上創(chuàng)建一組對應的安全策略，根據安全策略定義的規(guī)則來阻止指定的網絡流量。
• 應用部署：具體的應用部署之后，NSX-T 就會根據安全策略中的規(guī)則來控制對于應用容器的流量訪問，PKS 自來的 traceflow 功能可以方便地查看兩個窗口或服務之間的流量關系。
• 網絡策略：刪除相關的網絡策略后，就會在相關的分布式防墻上刪除相應的網絡策略。
• 負載均衡器 Ingress：NSX-T 也為容器應用提供了負載均衡服務 Ingress，Ingress 具有層7的網絡路由功能。

• 創(chuàng)建命名空間：在 PKS 集群中創(chuàng)建 namespace bar，可以看到 NSX-T 在后臺自動創(chuàng)建了一個邏輯路由器和交換機來為命名空間 bar 提供一個獨立的網段；
• 利用網絡策略來控制網絡通訊：創(chuàng)建網絡策略來阻止帶有  db 和 nginx 標簽的 Pod 之間的通訊， NSX-T 提供的 Traceflow 工具可以讓管理員直觀地看到多個 Pod 指定端口之間的通訊被阻止了；
• 通過 Ingress 控制器來均衡負載：部署一個 Ingress 控制器來分配 coffee 和 tea 服務之間的工作負載，Ingress 具有層 7 的網綹路由能力，能夠通過 URL 上的服務名字 （coffee 或 tea） 來把網絡包專遞給相應的服務。