負載平衡器和網路原則

當流量從 NSX 負載平衡器虛擬伺服器轉送至網繭時，來源 IP 為第 1 層路由器上行連接埠的 IP 位址。此位址位於私人第 1 層傳送網路上，並且會導致以 CIDR 為基礎的網路原則禁止應允許的流量。

若要避免此問題，必須設定網路原則，以便第 1 層路由器上行連接埠的 IP 位址是允許的 CIDR 區塊的一部分。此內部 IP 位址將會顯示為入口和服務資源上的註解 (ncp/internal_ip_for_policy)。

例如，如果虛擬伺服器的外部 IP 位址為 4.4.0.5，內部第 1 層路由器上行連接埠的 IP 位址為 100.64.224.11，則狀態將為：

    status:
      loadBalancer:
      ingress:
      - ip: 4.4.0.5

類型為負載平衡器資源的入口和服務上的註解將為：

    ncp/internal_ip_for_policy: 100.64.224.11

IP 位址 100.64.224.11 必須屬於網路原則的 ipBlock 選取器中允許的 CIDR。例如，

    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    ...
    ingress:
    - from:
      - ipBlock:
         cidr: 100.64.224.11/32