VMware Cloud Director 10.2.2 开始,默认情况下,只能从创建集群的同一组织虚拟数据中心内的网络 IP 子网访问 Tanzu Kubernetes 集群。如有必要,可以手动配置对 Tanzu Kubernetes 集群中特定服务的外部访问。

将 VDC Kubernetes 策略发布到组织 VDC 后,防火墙策略会自动在集群 Edge 网关上进行置备,以允许从 VDC 中的授权源访问集群。此外,系统 SNAT 规则会自动添加到组织 VDC 中的 NSX-T Data Center Edge 网关,以确保组织 VDC 中的工作负载能够访问集群 Edge 网关。

注: 如果组织虚拟数据中心属于 NSX-T Data Center 组,则数据中心组内的其他 VDC 将无法访问集群 Edge 网关。

无法同时移除在集群 Edge 网关上置备的防火墙策略和 NSX-T Data Center Edge 网关上的 SNAT 规则,除非系统管理员从 VDC 中删除 Kubernetes 策略。

如有必要,可以手动配置从外部网络访问 Tanzu Kubernetes 集群中的特定服务。为此,必须在 NSX-T Data Center Edge 网关上创建 DNAT 规则,以确保来自外部位置的流量转发到集群 Edge 网关。

前提条件

  • 确认您的云计算基础架构由 vSphere 7.0 Update 1C、7.0 Update 2 或更高版本提供支持。请与您的系统管理员联系。
  • 确认您是组织管理员
  • 确认您的系统管理员已在 Tanzu Kubernetes 集群所在的组织虚拟数据中心内创建了 NSX-T Data Center Edge 网关。
  • 确认要用于服务的公用 IP 地址已分配给要添加 DNAT 规则的 Edge 网关接口。
  • 使用 kubectl 命令行工具的 get services my-service 命令检索要公开的服务的外部 IP。

过程

  1. 在顶部导航栏中,单击网络,然后单击 Edge 网关选项卡。
  2. 单击 Edge 网关,然后在服务下,单击 NAT
  3. 要添加规则,请单击新建
  4. 为要连接到外部网络的服务配置 DNAT 规则。
    选项 描述
    名称 为规则输入一个有意义的名称。
    描述 (可选)为规则输入描述。
    状态 要在创建时启用规则,请打开状态开关。
    接口类型 从下拉菜单中,选择“DNAT”。
    外部 IP 输入服务的公用 IP 地址。

    所输入的 IP 地址必须属于 NSX-T Data Center Edge 网关的二次分配 IP 范围。

    应用程序 将此框留空。
    内部 IP 输入从 Kubernetes Ingress 池分配的服务 IP 地址。
    内部端口 (可选)输入入站流量定向到的端口号。
    日志记录 (可选)要记录此规则执行的地址转换,请打开日志记录选项。
  5. 单击保存

下一步做什么

如果要允许从外部网络访问作为 Kubernetes 服务发布的其他应用程序,则必须为每个应用程序配置额外的 DNAT 规则。