Clusters Tanzu Kubernetes são, por padrão, acessíveis apenas em sub-redes de IP que fazem parte de redes no mesmo centro de dados virtual de organização no qual eles são criados. Se necessário, você pode configurar manualmente o acesso externo a serviços específicos em um cluster Tanzu Kubernetes.

Quando uma política Kubernetes de VDC é publicada em um VDC da organização, uma política de firewall é provisionada automaticamente no edge gateway do cluster para permitir o acesso a esse cluster por fontes autorizadas no VDC. Além disso, uma regra de SNAT do sistema é automaticamente adicionada aos edge gateways do NSX dentro do VDC da organização para garantir que o edge gateway do cluster seja acessível pelas cargas de trabalho no VDC da organização.

A política de firewall provisionada no edge gateway do cluster e a regra de SNAT no edge gateway do NSX só poderão ser removidas se um administrador do sistema excluir a política Kubernetes do VDC.

Se necessário, você pode configurar manualmente o acesso de uma rede externa a um serviço específico em um cluster Tanzu Kubernetes. Para fazer isso, é necessário criar uma regra de DNAT no edge gateway do NSX que garanta que o tráfego proveniente de localizações externas seja encaminhado ao edge gateway do cluster.

Os clusters Tanzu Kubernetes oferecem suporte a redes de grupos do NSX. Se o VDC de organização no qual um cluster é criado fizer parte de um grupo do NSX que tenha um edge gateway compartilhado entre os VDCs nesse grupo, o cluster Tanzu Kubernetes poderá ser acessado por VMs que residem nos outros VDCs desse grupo. Para fornecer acesso de rede do cluster para VMs em outros VDCs no grupo de centros de dados, configure manualmente as regras de DNAT no edge gateway do NSX desse grupo.

Pré-requisitos

  • Verifique se a sua infraestrutura em nuvem tem o suporte do vSphere 7.0 Update 1C, 7.0 Update 2 ou posterior. Entre em contato com o administrador do sistema.
  • Verifique se você é um administrador da organização.
  • Verifique se o administrador do sistema criou um edge gateway do NSX dentro do centro de dados virtual da organização no qual o cluster Tanzu Kubernetes está localizado.
  • Verifique se o endereço IP público que você deseja usar para o serviço foi alocado à interface do edge gateway na qual você deseja adicionar uma regra de DNAT.
  • Use o comando get services my-service da ferramenta de linha de comando kubectl para recuperar o IP externo do serviço que você deseja expor.

Procedimento

  1. No painel de navegação esquerdo primário, selecione Rede e, na barra de navegação superior da página, selecione Edge Gateways.
  2. Clique no edge gateway e, em Serviços, clique em NAT.
  3. Para adicionar uma regra, clique em Novo.
  4. Configure uma regra de DNAT para o serviço que você deseja conectar a uma rede externa.
    Opção Descrição
    Nome Insira um nome significativo para a regra.
    Descrição (Opcional) Insira uma descrição para a regra.
    Estado Para ativar a regra após a criação, ligue o botão de alternância Estado.
    Tipo de interface No menu suspenso, selecione DNAT.
    IP Externo Insira o endereço IP público do serviço.

    O endereço IP inserido deve pertencer ao intervalo de IPs subalocado do edge gateway do NSX.
    Aplicativo Deixe a caixa vazia.
    IP Interno Insira o endereço IP do serviço que foi alocado do pool de entrada Kubernetes.
    Porta interna (Opcional) Insira um número de porta ao qual o tráfego de entrada é direcionado.
    Log (Opcional) Para que a conversão de endereço realizada por essa regra seja registrada, ative a opção Log.
  5. Clique em Salvar.

O que Fazer Depois

Se quiser fornecer acesso a outros aplicativos publicados como serviços Kubernetes de redes externas, deverá configurar regras de DNAT adicionais para cada uma deles.