NSX ロード バランサ仮想サーバからポッドにトラフィックを転送する場合は、送信元 IP アドレスが Tier-1 ルーターのアップリンク ポートの IP アドレスになります。このアドレスはプライベート Tier-1 移行ネットワーク上にあるため、許可されるべきトラフィックが CIDR ベースのネットワーク ポリシーにより許可されないことがあります。

この問題を避けるには、Tier-1 ルーターのアップリンク ポートの IP アドレスが、許可されている CIDR ブロックに含まれるようにネットワーク ポリシーを設定する必要があります。この内部 IP アドレスは、status.loadbalancer.ingress.ip フィールドと Ingress リソースのアノテーション (ncp/internal_ip_for_policy) として表示されます。

たとえば、仮想サーバの外部 IP アドレスが 4.4.0.5 であり、内部 Tier-1 ルーターのアップリンク ポートの IP アドレスが 100.64.224.11 の場合、ステータスは次のようになります。
    status:
      loadBalancer:
      ingress:
      - ip: 4.4.0.5
      - ip: 100.64.224.11
Ingress と LoadBalancer タイプ サービスのリソースのアノテーションは、次のようになります。
    ncp/internal_ip_for_policy: 100.64.224.11
IP アドレス 100.64.224.11 は、ネットワーク ポリシーの ipBlock セレクタで許可された CIDR に属している必要があります。次はその例です。
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    ...
    ingress:
    - from:
      - ipBlock:
         cidr: 100.64.224.11/32