geniusxiong

> > > 我在master分支上创建了和你一样的sg，加上放行网关的规则后，pod就能起了 @geniusxiong > > > > > > 放行网关确实可以，但是我有疑问： > > > > 1. 能ping通本网段的虚机，也是能ping通外网，但是在这两个基础上，ping不通网关 > > 2. ingressRules 禁用 icmp 后会导致 icmp response 的包被 drop，网关就不通了。如果是这样，为什么ping 本网段其他虚机，ping外网，都是能成功的...

>  在下发安全组之后有清理过这些数据库吗？安全组的ACL规则在清理后 kubeovn 不会重建，会导致安全组出问题 没有清理过数据库，比较奇怪呀，只有本子网的网关ping不通，导致虚机创建不起来

> 如果不配这些安全组就可以ping通网关么？ 不配安全组是可以ping通网关的，不然连虚机都创建不出来

> ``` > - ipVersion: ipv4 > policy: drop > priority: 100 > protocol: icmp > remoteAddress: 0.0.0.0/0 > remoteType: address > ``` > > 这条规则可以在 node 上抓到 pod 出去到网关的的流量，但是抓不到进来到...

> 1. 这里网关要么没收到包，在端口出来到ovs就丢包了 > 2. 要么网关返回了，但是又直接丢包了 > > 由于默认vpc的网关是分布式的，本地直接响应的，所以抓包好像区分不了这两者。 如果你有underlay 网络的的，配置同样的安全组，就能够抓包区分出来这两者 刚才不用虚机，在自定义VPC下创建一个pod，然后添加一个ingress禁ping的安全组，也能复现一样的问题 就是ping 网关ping不通，但是其他地址都能ping的通。 这个对于平常的pod创建影响不大，因为pod删除后，安全组也消失了，重建的时候还是能重建出pod。 但是对于虚机来说，这些配置是会保存下来，用于虚机重启等重新创建，这样就造成重建的时候，ping不通网关，创建不出虚机的情况。

> > > 1. 这里网关要么没收到包，在端口出来到ovs就丢包了 > > > 2. 要么网关返回了，但是又直接丢包了 > > > > > > 由于默认vpc的网关是分布式的，本地直接响应的，所以抓包好像区分不了这两者。 如果你有underlay 网络的的，配置同样的安全组，就能够抓包区分出来这两者 > > > > > > 刚才不用虚机，在自定义VPC下创建一个pod，然后添加一个ingress禁ping的安全组，也能复现一样的问题 就是ping 网关ping不通，但是其他地址都能ping的通。 这个对于平常的pod创建影响不大，因为pod删除后，安全组也消失了，重建的时候还是能重建出pod。 但是对于虚机来说，这些配置是会保存下来，用于虚机重启等重新创建，这样就造成重建的时候，ping不通网关，创建不出虚机的情况。...

> ``` > - ipVersion: ipv4 > policy: drop > priority: 100 > protocol: icmp > remoteAddress: 0.0.0.0/0 > remoteType: address > ``` > > 这里为什么不是 allow？ 这个安全组的功能，是想测试不让外面的ping通自己，但是自己能ping别人 然后想验证是以下哪一种 1....

> > > ``` > > > - ipVersion: ipv4 > > > policy: drop > > > priority: 100 > > > protocol: icmp > > > remoteAddress: 0.0.0.0/0...

> > > > > ``` > > > > > - ipVersion: ipv4 > > > > > policy: drop > > > > > priority: 100 > >...

> * ipVersion: ipv4 > policy: allow > priority: 100 > protocol: icmp > remoteAddress: ”gw“ > remoteType: address > > 这样？ 这样配是可以，但是这安全组配置不通用，因为子网网关地址，不同的子网是不同的