kube-proxy IPVS 模式的一个疑问

经过仔细研究发现，kube-proxy 开启了 IPVS 模式的情况下：

1. 访问 service 的入流量，iptables 只是 mark 封包就完成了，后面交给了 IPVS 来做 DNAT。

2. 由 endpoint 到 service 的出流量，iptables mark 封包以后又做了 MASQUERADE 的工作；这一步的工作为什么不能交由 IPVS 直接完成？

Chain KUBE-POSTROUTING (1 references)
target     prot opt source               destination
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes service traffic requiring SNAT */ mark match 0x4000/0x4000
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0            match-set KUBE-LOOP-BACK dst,dst,src

另外请问，IPVS 模式的代理性能是否要比 iptables 好很多，是否还有必要自研四层负载均衡（ Ingress Controller ）呢？