當流量從 NSX 負載平衡器虛擬伺服器轉送至網繭時,來源 IP 為第 1 層路由器上行連接埠的 IP 位址。此位址位於私人第 1 層傳送網路上,並且會導致以 CIDR 為基礎的網路原則禁止應允許的流量。
若要避免此問題,必須設定網路原則,以便第 1 層路由器上行連接埠的 IP 位址是允許的 CIDR 區塊的一部分。此內部 IP 位址將會顯示為入口和服務資源上的註解 (ncp/internal_ip_for_policy)。
例如,如果虛擬伺服器的外部 IP 位址為 4.4.0.5,內部第 1 層路由器上行連接埠的 IP 位址為 100.64.224.11,則狀態將為:
status: loadBalancer: ingress: - ip: 4.4.0.5
類型為負載平衡器資源的入口和服務上的註解將為:
ncp/internal_ip_for_policy: 100.64.224.11IP 位址 100.64.224.11 必須屬於網路原則的 ipBlock 選取器中允許的 CIDR。例如,
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy ... ingress: - from: - ipBlock: cidr: 100.64.224.11/32