Wenn Datenverkehr über den virtuellen Server des NSX-Load Balancer an die Pods weitergeleitet wird, handelt es sich bei der Quell-IP um die IP-Adresse des Uplink-Ports des Tier-1-Routers. Diese Adresse befindet sich im privaten Tier-1-Transit-Netzwerk und kann dazu führen, dass die CIDR-basierten Netzwerkrichtlinien zulässigen Datenverkehr nicht zulassen.
Zur Vermeidung dieses Problems muss die Netzwerkrichtlinie so konfiguriert werden, dass die IP-Adresse des Uplink-Ports des Tier-1-Routers Teil des zulässigen CIDR-Blocks ist. Diese interne IP-Adresse wird als Anmerkung (ncp/internal_ip_for_policy) auf den Ingress- und Dienstressourcen angezeigt.
Lautet die externe IP-Adresse des virtuellen Servers beispielsweise 4.4.0.5 und die IP-Adresse des Uplink-Ports des internen Tier-1-Routers 100.64.224.11, sieht der Status folgendermaßen aus:
status:
loadBalancer:
ingress:
- ip: 4.4.0.5
Die Anmerkung zum Ingress und zum Dienst vom Typ LoadBalancer lautet:
ncp/internal_ip_for_policy: 100.64.224.11Die IP-Adresse 100.64.224.11 muss zur zulässigen CIDR im ipBlock-Selektor der Netzwerkrichtlinie gehören. Beispiel:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
...
ingress:
- from:
- ipBlock:
cidr: 100.64.224.11/32
