У меня есть кластер с двумя узлами в AKS, использующий расширенные сетевые возможности и сетевой модуль Azure CNI.Сеть VNET, в которую установлен кластер, уже существует.Кластер имеет только два узла с несколькими развернутыми модулями.Наша проблема заключается в том, что во время подключения pod-pod ip-адрес SRC-модуля клиента, похоже, получает преобразование в ip-адрес узла, на котором развернут модуль назначения.
, то есть:
ipадрес узла 0 равен 100.64.24.4. IP-адрес узла 1 равен 100.64.24.35.
pod A имеет IP-адрес 100.64.24.63 и развертывается на node1
pod B запускается nginx имеет ipадрес 100.64.24.21 и развернут на узле 0
, когда я когда-либо выполняю вызов из модуля А в модуль В, мы видим, что модуль видит адрес SRC вызова как 100.64.24.4 (узел 0), а не 100.64.24.63 (podA).
Это нормально для этого сетевого плагина?Есть ли способ изменить это поведение?В настоящее время это нарушает аутентификацию клиента TLS между модулями, так как сертификат клиента имеет CN или SAN, которые можно разрешить в IP-адресах модуля src, но модуль на стороне сервера воспринимает вызов как исходящий от ip-узла.Это означает, что он не будет рукопожатие аутентификации клиента TLS, потому что этот ip не разрешает к CN или любому SAN в сертификате