默认情况下,只能从创建集群的同一组织虚拟数据中心内的网络 IP 子网访问 Tanzu Kubernetes 集群。如有必要,可以手动配置对 Tanzu Kubernetes 集群中特定服务的外部访问。
将 VDC Kubernetes 策略发布到组织 VDC 后,防火墙策略会自动在集群 Edge 网关上进行置备,以允许从 VDC 中的授权源访问集群。此外,系统 SNAT 规则会自动添加到组织 VDC 中的 NSX Edge 网关,以确保组织 VDC 中的工作负载能够访问集群 Edge 网关。
无法同时移除在集群 Edge 网关上置备的防火墙策略和 NSX Edge 网关上的 SNAT 规则,除非系统管理员从 VDC 中删除 Kubernetes 策略。
如有必要,可以手动配置从外部网络访问 Tanzu Kubernetes 集群中的特定服务。为此,必须在 NSX Edge 网关上创建 DNAT 规则,以确保来自外部位置的流量转发到集群 Edge 网关。
Tanzu Kubernetes 集群支持 NSX 组网络连接。如果创建集群的组织 VDC 属于具有 Edge 网关的 NSX 组,且该 Edge 网关在该组中的 VDC 之间共享,则驻留在此组内其他 VDC 中的 VM 可以访问 Tanzu Kubernetes 集群。要提供从集群到数据中心组内其他 VDC 中的 VM 的网络访问,需要在数据中心组的 NSX Edge 网关上手动配置 DNAT 规则。
前提条件
- 确认您的云计算基础架构由 vSphere 7.0 Update 1C、7.0 Update 2 或更高版本提供支持。请与您的系统管理员联系。
- 确认您是组织管理员。
- 确认您的系统管理员已在 Tanzu Kubernetes 集群所在的组织虚拟数据中心内创建了 NSX Edge 网关。
- 确认要用于服务的公用 IP 地址已分配给要添加 DNAT 规则的 Edge 网关接口。
- 使用
kubectl
命令行工具的get services my-service
命令检索要公开的服务的外部 IP。
过程
- 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关。
- 单击 Edge 网关,然后在服务下,单击 NAT。
- 要添加规则,请单击新建。
- 为要连接到外部网络的服务配置 DNAT 规则。
选项 描述 名称 为规则输入一个有意义的名称。 描述 (可选)为规则输入描述。 状态 要在创建时启用规则,请打开状态开关。 接口类型 从下拉菜单中,选择“DNAT”。 外部 IP 输入服务的公用 IP 地址。 所输入的 IP 地址必须属于 NSX Edge 网关的二次分配 IP 范围。
应用程序 将此框留空。 内部 IP 输入从 Kubernetes Ingress 池分配的服务 IP 地址。 内部端口 (可选)输入入站流量定向到的端口号。 日志记录 (可选)要记录此规则执行的地址转换,请打开日志记录选项。 - 单击保存。