将流量从 NSX 负载均衡器虚拟服务器转发到 pod 时,源 IP 是 Tier-1 路由器上行链路端口的 IP 地址。此地址位于专用的 Tier-1 传输网络中,可能会导致基于 CIDR 的网络策略禁止本应允许的流量。

要避免出现此问题,必须配置网络策略以使 Tier-1 路由器上行链路端口的 IP 地址包含在允许的 CIDR 块中。该内部 IP 地址将显示在 status.loadbalancer.ingress.ip 字段中,并在 Ingress 资源上显示为注释 (ncp/internal_ip_for_policy)。

例如,如果虚拟服务器的外部 IP 地址是 4.4.0.5,内部 Tier-1 路由器的上行链路端口的 IP 地址为 100.64.224.11,则状态为:
    status:
      loadBalancer:
      ingress:
      - ip: 4.4.0.5
      - ip: 100.64.224.11
Ingress 资源和 LoadBalancer 类型服务资源上的注释为:
    ncp/internal_ip_for_policy: 100.64.224.11
IP 地址 100.64.224.11 必须属于网络策略的 ipBlock 选择器中允许的 CIDR。例如,
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    ...
    ingress:
    - from:
      - ipBlock:
         cidr: 100.64.224.11/32