rancher两台主机之间容器无法通信

阿里云3台centos7.4专网，同一安全组，rancher1.6.24的server和agent通信都正常，就是agent之间容器ping不通，我看了几遍rancher官方文档，所有配置都ok，防火墙和selinux都关了.还是没有通，加rancher的官方群也没人回我……网上有人说是阿里云创建ecs选择镜像时安全加固不要选，没有尝试过

https://www.cnrancher.com/docs/rancher/v1.x/cn/infrastructure/hosts/custom/
安全组／防火墙link
对于添加的任何主机，请确保安全组或者防火墙允许流量经过，否则Rancher的功能将会受限。

如果你正在使用IPsec网络驱动，要开放所有主机上的UDP端口500和4500。
如果你正在使用VXLAN网络驱动，要开放所有主机上的UDP端口4789。
k8s主机 :用作K8s的主机需要开放10250和10255端口来为kubectl使用。为了访问外部的服务，NodePort使用的端口也需要开放，默认的是TCP端口30000 - 32767。

添加后测试是否通。
rancher有中文论坛的，可以去论坛问问。
“网上有人说是阿里云创建ecs选择镜像时安全加固不要选，没有尝试过”那就去试一下吧，我用的是普通centos

老师，已经解决了，太感谢您了，还是端口的问题。“如果你正在使用IPsec网络驱动，要开放所有主机上的UDP端口500和4500”您这句话提醒我了，官方文档是这么写的，但是管理页面上添加主机时是“与其他所有主机之间的 UDP 端口 500 和 4500 (用于IPsec网络)”所以之前只在服务器之间互通了这俩个端口，改成对所有ip允许就ok了