从 VMware Cloud Director 10.2.2 开始,默认情况下,只能从创建集群的同一组织虚拟数据中心内的网络 IP 子网访问 Tanzu Kubernetes 集群。如有必要,可以手动配置对 Tanzu Kubernetes 集群中特定服务的外部访问。
将 VDC Kubernetes 策略发布到组织 VDC 后,防火墙策略会自动在集群 Edge 网关上进行置备,以允许从 VDC 中的授权源访问集群。此外,系统 SNAT 规则会自动添加到组织 VDC 中的 NSX-T Data Center Edge 网关,以确保组织 VDC 中的工作负载能够访问集群 Edge 网关。
注: 如果组织虚拟数据中心属于
NSX-T Data Center 组,则数据中心组内的其他 VDC 将无法访问集群 Edge 网关。
无法同时移除在集群 Edge 网关上置备的防火墙策略和 NSX-T Data Center Edge 网关上的 SNAT 规则,除非系统管理员从 VDC 中删除 Kubernetes 策略。
如有必要,可以手动配置从外部网络访问 Tanzu Kubernetes 集群中的特定服务。为此,必须在 NSX-T Data Center Edge 网关上创建 DNAT 规则,以确保来自外部位置的流量转发到集群 Edge 网关。
前提条件
- 确认您的云计算基础架构由 vSphere 7.0 Update 1C、7.0 Update 2 或更高版本提供支持。请与您的系统管理员联系。
- 确认您是组织管理员。
- 确认您的系统管理员已在 Tanzu Kubernetes 集群所在的组织虚拟数据中心内创建了 NSX-T Data Center Edge 网关。
- 确认要用于服务的公用 IP 地址已分配给要添加 DNAT 规则的 Edge 网关接口。
- 使用
kubectl命令行工具的get services my-service命令检索要公开的服务的外部 IP。
过程
- 在顶部导航栏中,单击网络,然后单击 Edge 网关选项卡。
- 单击 Edge 网关,然后在服务下,单击 NAT。
- 要添加规则,请单击新建。
- 为要连接到外部网络的服务配置 DNAT 规则。
选项 描述 名称 为规则输入一个有意义的名称。 描述 (可选)为规则输入描述。 状态 要在创建时启用规则,请打开状态开关。 接口类型 从下拉菜单中,选择“DNAT”。 外部 IP 输入服务的公用 IP 地址。 所输入的 IP 地址必须属于 NSX-T Data Center Edge 网关的二次分配 IP 范围。
应用程序 将此框留空。 内部 IP 输入从 Kubernetes Ingress 池分配的服务 IP 地址。 内部端口 (可选)输入入站流量定向到的端口号。 日志记录 (可选)要记录此规则执行的地址转换,请打开日志记录选项。 - 单击保存。
