Развернуть traefik как DaemonSet с возможностью NET_BIND_SERVICE

Поскольку мне нужен реальный IP-адрес запрашивающей стороны в моем (чистом металле) кластере k8s, я хочу развернуть traefik-ingress-controller как DaemonSet с NET_BIND_SERVICE возможность и привязать его к портам 80 и 443 на хост-машинах напрямую.

Я следовал предложениям в документе kubernetes ( https://docs.traefik.io/user-guide/kubernetes/), но, похоже, он не работает. Порты по-прежнему недоступны снаружи. После добавления услуги с externalIPs (как я делал это ранее с использованием Deployment-подхода), traefik достижим, но я все еще не получаю реальный исходный IP.

В качестве краткого объяснения: я хочу маршрутизировать, только если запрос приходит из моей внутренней сети.

Может ли кто-нибудь дать мне краткую инструкцию о том, что делать?

Заранее спасибо!