Azure内部LB不能到达，即使如果LB是外部的，同样的配置也能工作

Question

我有一个Kubernetes AKS集群运行在一个站点-2站点连接的子网。Kubernetes能够自动为服务创建外部LB。最后得到的配置如下所示：

• 前端IP配置：52.123.123.12
• 后端池: kubernetes (2台虚拟机)
• 健康探针：
  • 协议：TCP，端口：30231，间隔：5，不健康的阈值：2 (注意：30231是每个节点都可以到达HTTPS的端口)
  • 协议：TCP，端口：32525，间隔：5，不健康的阈值：2 (注意：32525是每个节点都可以到达的端口)

• 负载平衡规则：
  • IPv4，前端IP：52.123.123.12，端口：443，后端端口：443，后端池：kubernetes (2 virtual machines)，健康探测：the one for 30231
  • IPv4，前端IP：52.123.123.12，端口：80，后端端口：80，后端池：kubernetes (2 virtual machines)，健康探测：the one for 32525

• Inboud NAT规则:无

外部LB的路线一切都很好

现在我要做的是手动创建这样一个相同的LB，除了内部。我创建了一个ILB，并添加了后端池、健康探测和LB规则，配置与上面的外部LB完全相同(IP除外)。

内部LB位于IP 10.240.140.5上，与节点本身的10.240.140.0/24是相同的子网。我能够直接到达两个节点上的两个端口30231,32525 ( 10.240.140.1,10.240.140.2 )，但是如果我试图到达ILB (10.240.140.5:80或10.240.140.5:443)，连接就会超时。尽管池+探测+规则的相同配置在外部LB上工作得很好。

有什么想法吗？

Answer 1

外部LB使用托管虚拟机的云服务的公共虚拟IP地址。内部LB位于IP 10.240.140.5上，这是一个私有IP地址，我们不能使用它直接连接到LB或VM。

如果希望从本地网络访问内部VM，可以使用Azure门户上的P2S VPN网关将流量从本地网络路由到Vnet。