0

我有一个配置的防火墙规则networkGCP我有几个实例,其中两个如下。

instance 1 - with network tag "kube-master"
instance 2 - with network tag "kube-minion"

我想从 pingkube-masterkube-minion所以,我设置了一个防火墙规则(master-to-node),icmp如下所示。

在此处输入图像描述

但问题是我仍然无法从kube-masterto ping 通kube-minion。我登录到实例 1 ( kube-master) 并尝试 ping 实例 2 ( kube-minion) 的公共 IP 地址,但它不 ping

如上图,我是否限制了这种行为?但是我已经设置了优先级,2所以它会优先。

当我设置source0.0.0.0/0而不是给kube-master它工作时,但我只需要这样做(将流量发送到kube-minionkube-master

有人可以告诉我我在哪里做错了吗?谢谢!

4

2 回答 2

1

正如您在文档中看到的

因此,网络标签仍然只在实例的网络接口所连接的网络中才有意义。

因此,如果您使用公共 IP 访问虚拟机,您将离开网络才能访问它,并且标记信息会丢失。使用虚拟机的私有 IP,它将按预期工作。

添加0.0.0.0/0作为源,或者/32中的master的公网IP(更好)如果你想继续使用实例2的公网IP

于 2020-10-17T12:29:07.700 回答
0

源标签仅适用于从您的 VPC 网络中另一个适用实例的网络接口发送的流量。源标签无法控制源为外部 IP 地址的数据包,即使外部 IP 地址属于实例。

当您从instance-1的外部 IP 地址 ping 时instance-2,ICMP 请求被转换,因此在接收端,请求似乎来自与网络标签无关的 IP 地址(实例 1 的外部 IP)kube-master

编辑:

在此处输入图像描述

于 2020-10-17T12:30:59.837 回答