Дополню здесь про обычную маршрутизацию. На уровне L2 фреймы могут фильтроваться лишь по MAC-адресу. Неважно, что у вас стоит в IP-заголовках, они просто не видны на уровне L2. Другими словами: или у вас есть коннективити между хостами по L3 во всех случаях, или у вас ее нет совсем. Т.к. работает VXLAN, то в вашем случае коннективити есть. Посмотрите на нодах arp таблицу одноименной утилитой, адреса обеих нод присутствуют в таблицах друг-друга.
Все вышесказанное верно только если ноды находятся в одной подсети и трафик не идет через шлюз провайдера. В этом случае разговоры о L2 вообще не уместны, а трафик может фильтроваться по ip-заголовкам согласно правилам (возможно «нечестным») на шлюзе провайдера.
Если ищете сетевое решение без инкапсуляции, советую посмотреть в сторону Calico. Они утверждают, что для работы нужен только L3 и это правда :) У многих, кто использует k8s в проде, возникает вопрос сетевой безопасности, Calico предоставляет очень удобные сетевые политики, с помощью которых можно управлять фильтрацией любого траффика в вашем кластере.
Все вышесказанное верно только если ноды находятся в одной подсети и трафик не идет через шлюз провайдера. В этом случае разговоры о L2 вообще не уместны, а трафик может фильтроваться по ip-заголовкам согласно правилам (возможно «нечестным») на шлюзе провайдера.
Если ищете сетевое решение без инкапсуляции, советую посмотреть в сторону Calico. Они утверждают, что для работы нужен только L3 и это правда :) У многих, кто использует k8s в проде, возникает вопрос сетевой безопасности, Calico предоставляет очень удобные сетевые политики, с помощью которых можно управлять фильтрацией любого траффика в вашем кластере.
P.S. Привет из Минска бывшим коллегам :)