Source IP incorrecte vue pour le trafic entrant sur la CN- série Firewall
4825
Created On 01/31/23 22:16 PM - Last Modified 03/02/23 05:33 AM
Symptom
Les détails de session sur le plan de gestion pour le trafic d’équilibrage de charge (entrant) affichent l’adresse nœud/pan-cni IP comme adresse source au lieu de l’adresse d’origine IP du client.
kubectl get nodes -o sortie de commande large montrant les adresses des nœuds IP
Environment
Plateforme | CN-Série |
Déploiement | CNv1, CNv2 |
PAN-OS | Quelconque |
Cause
Le service Kuberntes LoadBalancer est configuré avec la valeur par défaut Cluster pour la spécification externalTrafficPolicy qui masque la source IPdu client.
Resolution
Pour afficher l’adresse du client IP d’origine dans les journaux de trafic, .spec.externalTrafficPolicy doit être défini sur Local au lieu de Cluster.
Détails de la session après la modification du . spec.externalTrafficPolicy en Local
Additional Information
- Le cluster masque la source IP du client et peut provoquer un deuxième saut vers un autre nœud, mais doit avoir une bonne répartition globale de la charge.
- Local préserve la source IP du client et évite un second saut pour les services de type LoadBalancer et NodePort, mais risque de déséquilibrer le trafic.