Lorsque le trafic est transféré vers les espaces à partir du serveur virtuel d'équilibreur de charge NSX, l'adresse IP source est l'adresse IP du port de liaison montante du routeur de niveau 1. Cette adresse se trouve sur le réseau privé de transit de niveau 1. En conséquence, les stratégies réseaux basées sur CIDR peuvent interdire un trafic normalement autorisé.

Pour éviter ce problème, la stratégie réseau doit être configurée de telle sorte que l'adresse IP du port de liaison montante du routeur de niveau 1 fasse partie du bloc CIDR autorisé. Cette adresse IP interne sera visible dans le champ status.loadbalancer.ingress.ip et sous forme d'annotation (ncp/internal_ip_for_policy) sur la ressource d'entrée.

Par exemple, si l'adresse IP externe du serveur virtuel est 4.4.0.5 et que l'adresse IP du port de liaison montante du routeur de niveau 1 interne est 100.64.224.11, l'état sera :
    status:
      loadBalancer:
      ingress:
      - ip: 4.4.0.5
      - ip: 100.64.224.11
L'annotation sur la ressource d'entrée et le service de type LoadBalancer sera :
    ncp/internal_ip_for_policy: 100.64.224.11
L'adresse IP 100.64.224.11 doit appartenir au CIDR autorisé dans le sélecteur ipBlock de la stratégie réseau. Par exemple,
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    ...
    ingress:
    - from:
      - ipBlock:
         cidr: 100.64.224.11/32