Falsche Quelle IP für eingehenden Datenverkehr in der CN- Serie Firewall
7472
Created On 01/31/23 22:16 PM - Last Modified 03/02/23 05:33 AM
Symptom
Die Sitzungsdetails auf der Verwaltungsebene für den (eingehenden) Load Balancer-Datenverkehr zeigen die Knoten-/Pan-CNI-Adresse IP als Quelladresse anstelle der ursprünglichen IP Adresse des Clients an.
kubectl get nodes -o wide Befehlsausgabe mit den Knotenadressen IP
Environment
| Bahnsteig | CN-Reihe |
| Einsatz | CNv1, CNv2 |
| PAN-OS | Jegliche |
Cause
Der Kuberntes LoadBalancer-Dienst wird mit dem Standardwert Cluster für die Spezifikation externalTrafficPolicy konfiguriert, der die Clientquelle IPverdeckt.
Resolution
Damit die ursprüngliche Clientadresse IP in den Datenverkehrsprotokollen angezeigt wird, muss .spec.externalTrafficPolicy auf Local statt auf Cluster festgelegt werden.
Sitzungsdetails nach dem Ändern der . spec.externalTrafficPolicy in Local
Additional Information
- Cluster verdeckt die Clientquelle IP und kann einen zweiten Hop zu einem anderen Knoten verursachen, sollte aber insgesamt eine gute Lastenverteilung aufweisen.
- Local behält die Clientquelle IP bei und vermeidet einen zweiten Hop für Dienste vom Typ LoadBalancer und NodePort, riskiert jedoch eine potenziell unausgewogene Ausbreitung des Datenverkehrs.