Хост, присоединенный к кластеру Hyper-V, выбирает неправильный сетевой адаптер для отправки трафика SMB
У меня есть следующий сценарий:
Четыре хост-сервера Hyper-V под управлением Windows Server 2019 объединены в отказоустойчивый кластер Hyper-V. Каждый сервер имеет одинаковую конфигурацию сети — сеть управления (настроена связь кластера и клиента) и несколько других сетей — для трафика CSV, LM, iSCSI и т. д., во всех из которых настроена только связь кластера. Каждый сетевой интерфейс правильно находится в своей подсети/VLAN. В сетевом интерфейсе управления настроен шлюз. Другие сети этого не делают, поскольку они используются только для кластерного трафика между самими хостами.
Хосты могут видеть друг друга через все сетевые интерфейсы. В продакшене все работает хорошо, проверка кластера проходит, трафик кластера работает, живые миграции тоже и т.д.
Что меня сбивает с толку, так это то, что я вижу постоянный SMB-трафик (tcp/445) на нашем брандмауэре, который находится за шлюзом интерфейса управления. Существует постоянный поток пакетов, в котором каждый из хостов Hyper-V пытается связаться через SMB от IP-адреса своей сети управления в качестве источника с адресами всех других хостов в сети CSV в качестве пункта назначения. Этот трафик SMB неявно запрещается брандмауэром, поэтому нет никаких шансов, что какой-либо реальный трафик между узлами кластера пройдет в обход брандмауэра.
Дело в том, что этот трафик вообще не должен быть виден брандмауэром, поскольку серверам не нужно проходить через шлюз по умолчанию для доступа к сети, которая напрямую подключена к ним (онлайн). Когда я пытаюсь проверить связь вручную с помощью трассировки, все нормально, пакеты не проходят через шлюз.
Мне кажется, что Hyper-V по какой-то причине выбирает неверный исходный интерфейс и исходный IP-адрес (для заданного целевого IP-адреса хоста в сети CSV), вместо того, чтобы напрямую выбирать в качестве источника интерфейс из того же самого подключенная сеть.
Поскольку все в кластере Hyper-V работает нормально, трудно диагностировать этот дополнительный трафик, который мы наблюдаем. Может кто-нибудь пролить некоторый свет на это?