配置某些网络资源时,应该注意一些限制。

NSX-T Data Center 标记限制

标记对象时,NSX-T Data Center 有以下限制:

  • 范围具有 128 个字符的限制。
  • 标记具有 256 个字符的限制。
  • 每个对象最多可以具有 30 个标记。

当 Kubernetes 或 OpenShift 注释被复制到 NSX-T Data Center 范围和标记,并且超出限制时,这些限制可能会导致出现问题。例如,如果某个标记适用于交换机端口,而该标记被用于防火墙规则,则可能无法按预期方式应用该规则,因为注释键或值在复制到范围或标记时被截断。

配置网络策略

网络策略使用标签选择器选择 pod 或命名空间。

NCP 的网络策略支持与 Kubernetes 所提供的支持一样,并且取决于 Kubernetes 版本。

  • Kubernetes 1.11 - 可以指定以下规则选择器:
    • podSelector:可选择创建网络策略的命名空间中的所有 pod。
    • namespaceSelector:可选择所有命名空间。
    • podSelectornamespaceSelector:可选择 namespaceSelector 选定的命名空间中的所有 pod。
    • ipBlockSelector:如果 ipBlockSelectornamespaceSelectorpodSelector 结合使用,则网络策略无效。ipBlockSelector 必须单独存在于策略规范中。
  • Kubernetes 1.10 - 网络策略中的规则子句最多只能包含 namespaceSelectorpodSelectoripBlock 中的一个选择器。

Kubernetes API 服务器不对网络策略规范进行验证。可以创建无效的网络策略。NCP 将拒绝此类网络策略。如果更新网络策略以使其有效,NCP 仍不会处理该网络策略。必须删除该网络策略,然后使用有效的规范重新创建一个。