NSX ロード バランサ仮想サーバからポッドにトラフィックを転送する場合は、送信元 IP アドレスが Tier-1 ルーターのアップリンク ポートの IP アドレスになります。このアドレスはプライベート Tier-1 移行ネットワーク上にあるため、許可されるべきトラフィックが CIDR ベースのネットワーク ポリシーにより許可されないことがあります。
この問題を避けるには、Tier-1 ルーターのアップリンク ポートの IP アドレスが、許可されている CIDR ブロックに含まれるようにネットワーク ポリシーを構成する必要があります。この内部 IP アドレスは、Ingress リソースと Service リソースで ncp/internal_ip_for_policy アノテーションとして表示されます。
たとえば、仮想サーバの外部 IP アドレスが 4.4.0.5 であり、内部 Tier-1 ルーターのアップリンク ポートの IP アドレスが 100.64.224.11 の場合、状態は次のようになります。
status:
loadBalancer:
ingress:
- ip: 4.4.0.5
Ingress と LoadBalancer タイプ サービスのリソースのアノテーションは、次のようになります。
ncp/internal_ip_for_policy: 100.64.224.11IP アドレス 100.64.224.11 は、ネットワーク ポリシーの ipBlock セレクタで許可された CIDR に属している必要があります。次はその例です。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
...
ingress:
- from:
- ipBlock:
cidr: 100.64.224.11/32
