Cuando el tráfico se reenvía a los pods desde el servidor virtual del equilibrador de carga de NSX, la IP de origen es la dirección IP del puerto de enlace ascendente del enrutador de nivel 1. Esta dirección se encuentra en la red de tránsito privada de nivel 1. Puede provocar que las directivas de red basadas en CIDR impidan el tráfico que se debería permitir.
Para evitar este problema, la directiva de red debe configurarse de manera que la dirección IP del puerto de enlace ascendente del enrutador de nivel 1 sea parte del bloque de CIDR permitido. Esta dirección IP interna estará visible como una anotación (ncp/internal_ip_for_policy) en los recursos de entrada y servicio.
Por ejemplo, si la dirección IP externa del servidor virtual es 4.4.0.5 y la dirección IP del puerto de enlace ascendente del enrutador de nivel 1 interno es 100.64.224.11, el estado será:
status: loadBalancer: ingress: - ip: 4.4.0.5
La anotación de la entrada y el servicio del tipo de recurso del equilibrador de carga será:
ncp/internal_ip_for_policy: 100.64.224.11La dirección IP 100.64.224.11 debe pertenecer al CIDR permitido en el selector de ipBlock de la directiva de red. Por ejemplo,
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy ... ingress: - from: - ipBlock: cidr: 100.64.224.11/32