NSX 로드 밸런서 가상 서버에서 포드로 트래픽을 전달하는 경우 소스 IP는 Tier-1 라우터의 업링크 포트 IP 주소입니다. 이 주소는 개인 Tier-1 전송 네트워크에 있으며, 이 때문에 CIDR 기반 네트워크 정책이 허용해야 할 트래픽을 허용하지 않을 수 있습니다.
이 문제를 방지하려면 Tier-1 라우터의 업링크 포트 IP 주소가 허용되는 CIDR 블록에 포함되도록 네트워크 정책을 구성해야 합니다. 이 내부 IP 주소는 수신 및 서비스 리소스에서 주석(ncp/internal_ip_for_policy)으로 표시됩니다.
예를 들어, 가상 서버의 외부 IP 주소가 4.4.0.5이고 내부 Tier-1 라우터의 업링크 포트 IP 주소가 100.64.224.11인 경우 상태는 다음과 같습니다.
status:
loadBalancer:
ingress:
- ip: 4.4.0.5
유형 LoadBalancer 리소스의 수신 및 서비스에 대한 주석은 다음과 같습니다.
ncp/internal_ip_for_policy: 100.64.224.11IP 주소 100.64.224.11은 네트워크 정책에서 ipBlock 선택기의 허용된 CIDR에 속해 있어야 합니다. 예를 들면 다음과 같습니다.
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
...
ingress:
- from:
- ipBlock:
cidr: 100.64.224.11/32
