Quando il traffico viene inoltrato ai pod dal server virtuale del bilanciamento del carico di NSX, l'IP di origine è l'indirizzo IP della porta di uplink del router di livello 1. Questo indirizzo si trova nella rete di transito privata di livello 1 e può fare in modo che i criteri di rete basati su CIDR non consentano il traffico che dovrebbe essere consentito.

Per evitare questo problema, il criterio di rete deve essere configurato in modo che l'indirizzo IP della porta di uplink del router di livello 1 faccia parte del blocco CIDR consentito. Questo indirizzo IP interno sarà visibile come annotazione (ncp/internal_ip_for_policy) nelle risorse di ingresso e servizio.

Ad esempio, se l'indirizzo IP esterno del server virtuale è 4.4.0.5 e l'indirizzo IP della porta di uplink del router interno di livello 1 è 100.64.224.11, lo stato sarà:
    status:
      loadBalancer:
      ingress:
      - ip: 4.4.0.5
L'annotazione nella risorsa di ingresso e servizio di tipo LoadBalancer sarà:
    ncp/internal_ip_for_policy: 100.64.224.11
L'indirizzo IP 100.64.224.11 deve appartenere al CIDR consentito nel selettore ipBlock del criterio di rete. Ad esempio
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    ...
    ingress:
    - from:
      - ipBlock:
         cidr: 100.64.224.11/32