4.9. spine leaf 路由

每个角色都需要在每个隔离的网络上路由，指向用于相同功能的其他子网。因此，当 Compute1 节点与 InternalApi VIP 上的控制器联系时，流量应该通过 InternalApi1 网关为目标。因此，从控制器返回到 InternalApi1 网络的流量应该经过 InternalApi 网络网关。

supernet 路由应用到每个角色上的所有隔离网络，以避免通过默认网关发送流量，默认为非控制器上的 Control Plane 网络，以及控制器上的 外部网络。

您需要在隔离的网络上配置这些路由，因为 Red Hat Enterprise Linux 默认在入站流量上实施严格的反向路径过滤。如果 API 正在侦听 内部 API 接口，并且请求进入该 API，则仅当返回路径路由位于 内部 API 接口时，它才会接受请求。如果服务器正在侦听 内部 API 网络，但客户端的返回路径是通过 Control Plane，则服务器会因为反向路径过滤器而丢弃请求。

下图显示了通过 control plane 路由流量，这将无法成功。从路由器返回到控制器节点的返回路由与 VIP 正在侦听的接口不匹配，因此数据包会被丢弃。192.168.24.0/24 直接连接到控制器，因此被视为对 Control Plane 网络的本地。

图 4.1. 通过 Control Plane 路由流量

为了进行比较，示意图显示了通过内部 API 网络运行的路由：

图 4.2. 通过内部 API 路由流量