Кластер Kubernetes в частной сети vnet с шлюзом VPN (Azure)

Question

У меня есть существующая Azure VNET с межсетевым шлюзом VPN для точной подготовки ресурсов.Это прекрасно работает, и виртуальные машины в VNET могут получать доступ к внутренним ресурсам и быть доступными для Интернета.

Я создал кластер Kubernetes в указанной VNET и развернул несколько модулей, предоставляемых через LoadBalancer.

Модули могут иметь доступ к Интернету, и они могут получить доступ как к ресурсам vnet, так и к местным ресурсам (хорошо).Стручки доступны из предварительной сети (хорошо).Но LoadBalancer (даже если он указывает публичный IP) не доступен из Интернета.Я могу получить к нему доступ (общедоступный IP-адрес LB) изнутри виртуальной сети, но не из Интернета.

Я создал идентичный кластер, но позволил ему создать собственный VNET, и там он работает нормально.Просто когда я помещаю его в свой существующий VNET с VPN-шлюзом, я не могу связаться с ним.

kubectl get service -o wide
NAME              TYPE           CLUSTER-IP     EXTERNAL-IP     PORT(S)        AGE       SELECTOR
kubernetes        ClusterIP      10.0.0.1       <none>          443/TCP        1h        <none>
mail2servicebus   LoadBalancer   10.0.187.136   xx.xx.xx.xx   25:31459/TCP   1h        app=mail2servicebus

VNET подключается к другому VNET в дополнение к VPN-шлюзу, если это как-то связано.

Answer 1

Очевидно, мой домашний провайдер блокирует доступ к SMTP-порту (tcp 25) для всех адресов, кроме своего собственного сервера SMTP (предотвращение спама или что-то в этом роде).Так что сервис действительно открыт для Интернета, только я не могу получить к нему доступ.Когда я пришел на работу, он работал как шарм.

Answer 2

Это не имеет смысла, шлюз или нет не влияет на внешние коммуникации (если вы не используете шлюз экспресс-маршрута и не рекламируете через него 0.0.0.0/0).Единственная идея, которая приходит на ум - группа сетевой безопасности.Кроме того, вы не можете поместить VMS в gatewaysubnet, это не поддерживается