Fuente incorrecta IP vista para el tráfico entrante en la CN- serie Firewall
7472
Created On 01/31/23 22:16 PM - Last Modified 03/02/23 05:33 AM
Symptom
Los detalles de la sesión en el plano de administración para el tráfico del equilibrador de carga (entrante) muestran la dirección de nodo/pan-cni IP como la dirección de origen en lugar de la dirección original IP del cliente.
kubectl get nodes -o wide command output que muestra las direcciones de IP nodo
Environment
| Plataforma | CN-Serie |
| Despliegue | CNv1, CNv2 |
| PAN-OS | Cualquier |
Cause
El servicio Kuberntes LoadBalancer está configurado con el valor predeterminado Cluster para la especificación externalTrafficPolicy que oscurece el origen IPdel cliente.
Resolution
Para ver la dirección de cliente IP original en los registros de tráfico, .spec.externalTrafficPolicy debe establecerse en Local en lugar de Cluster.
Detalles de la sesión después de cambiar . spec.externalTrafficPolicy a Local
Additional Information
- El clúster oculta el origen IP del cliente y puede provocar un segundo salto a otro nodo, pero debe tener una buena distribución general de la carga.
- Local conserva el origen IP del cliente y evita un segundo salto para los servicios de tipo LoadBalancer y NodePort, pero corre el riesgo de que el tráfico se propague de forma potencialmente desequilibrada.