为什么访问 CLB VIP 时失败？

请您按照以下步骤进行分析：

您可在 CLB 管理页面中，选择监听器管理页面，查看（7层协议）转发规则、（4层协议）绑定的后端服务。其中的 IP 地址预期即为各个 Pod 的 IP。TKE Serverless 为某个 Ingress 创建的 CLB 示例图如下：

如果已正确地为工作负载（Workload）设置了标签（Labels），并且正确地为 Service 资源设置了选择算符（Selectors），则在工作负载的 Pods 成功运行之后，即可通过 kubectl get endpoints 命令查看 Pods 被 K8S 列入到 Service 对应的 Endpoints 的就绪地址列表中。示例图如下：

而已创建、但状态异常的 Pods 会被 K8S 列入到 Service 对应的 Endpoints 的未就绪地址列表中。示例图如下：

即使 Running 状态的 Pods 也可能无法正常对外提供服务。例如，未监听指定的协议+端口、Pods 内部逻辑错误、处理过程阻塞等。您可通过 kubectl exec 命令登录至 Pod 内，并使用 telnet/wget/curl 命令或自定义的客户端工具直接访问 Pod IP+端口。若 Pod 内直接访问失败，则需要进一步分析导致 Pod 无法正常提供服务的原因。

安全组控制 Pods 的网络访问策略，如同 Linux 服务器中的 IPTables 规则。请结合实际情况进行查看：

若至此仍未找到问题原因，您可通过 在线客服 或 提交工单 联系 TKE 团队解决问题。