不適切なソースIPのインバウンド トラフィックで見られるCN-シリーズ Firewall
7472
Created On 01/31/23 22:16 PM - Last Modified 03/02/23 05:33 AM
Symptom
ロード バランサー (インバウンド) トラフィックの管理プレーンのセッションの詳細には、node/pan-cni が表示されますIP元のアドレスではなく送信元アドレスとしてのアドレスIPクライアントのアドレス。
kubectl get nodes -o wideノードを示すコマンド出力IP住所
Environment
| プラットホーム | CN-シリーズ |
| 展開 | CNv1、CNv2 |
| PAN-OS | どれでも |
Cause
Kubernetes LoadBalancer サービスはデフォルト値で構成されています集まるスペックのために外部トラフィック ポリシークライアントソースを覆い隠すIP.
Resolution
元のクライアントを見るためにIPトラフィック ログのアドレス、 .spec.externalTrafficPolicyに設定する必要があります地元それ以外の集まる.
変更後のセッションの詳細.spec.externalTrafficPolicyに地元
Additional Information
- 集まるクライアントソースを隠しますIP別のノードへの 2 番目のホップが発生する可能性がありますが、全体的な負荷分散は良好です。
- 地元クライアントソースを保持しますIPLoadBalancer および NodePort タイプのサービスの 2 番目のホップを回避しますが、潜在的に不均衡なトラフィック分散のリスクがあります。