Сетевая политика реализуется с помощью сетевых плагинов (например, ситца), чаще всего путем установки Linux правил Iptables Netfilter на узлах Kubernetes.
Из документов здесь
В подходе Calico IP-пакеты в рабочую нагрузку или из нее направляются и пересылаются через таблицу маршрутизации Linux и инфраструктуру iptables на узле рабочей нагрузки. Для рабочей нагрузки, которая отправляет пакеты, Calico гарантирует, что хост всегда будет возвращаться как адрес MA C следующего перехода независимо от того, какую маршрутизацию может настроить сама рабочая нагрузка. Для пакетов, адресованных рабочей нагрузке, последний IP-прыжок состоит из хоста рабочей нагрузки назначения и самой рабочей нагрузки
