Tanzu Kubernetes-Cluster sind standardmäßig nur über IP-Subnetze von Netzwerken innerhalb desselben Organisations-VDC erreichbar, in dem ein Cluster erstellt wird. Gegebenenfalls können Sie externen Zugriff auf bestimmte Dienste in einem Tanzu Kubernetes-Cluster manuell konfigurieren.
Bei der Veröffentlichung einer VDC-Kubernetes-Richtlinie in einem Organisations-VDC wird automatisch eine Firewallrichtlinie auf dem Cluster-Edge-Gateway bereitgestellt, um über autorisierte Quellen innerhalb des VDC Zugriff auf den Cluster zu gewähren. Darüber hinaus wird automatisch eine SNAT-Systemregel zu den NSX-Edge-Gateways innerhalb des Organisations-VDC hinzugefügt, um sicherzustellen, dass das Cluster-Edge-Gateway für die Arbeitslasten innerhalb des Organisations-VDC erreichbar ist.
Sowohl die Firewallrichtlinie, die auf dem Cluster-Edge-Gateway bereitgestellt wird, als auch die SNAT-Regel auf dem NSX-Edge-Gateway können nur entfernt werden, wenn ein Systemadministrator die Kubernetes-Richtlinie aus dem VDC löscht.
Bei Bedarf können Sie den Zugriff über ein externes Netzwerk auf einen bestimmten Dienst in einem Tanzu Kubernetes-Cluster konfigurieren. Hierzu müssen Sie eine DNAT-Regel auf dem NSX-Edge-Gateway erstellen, mit der sichergestellt wird, dass der von externen Standorten kommende Datenverkehr an das Cluster-Edge-Gateway weitergeleitet wird.
Tanzu Kubernetes-Cluster unterstützen NSX-Gruppennetzwerke. Wenn das Organisations-VDC, in dem ein Cluster erstellt wird, zu einer NSX-Gruppe mit einem Edge-Gateway gehört, das von den VDCs in der Gruppe gemeinsam genutzt wird, kann der Tanzu Kubernetes-Cluster von VMs erreicht werden, die sich in den anderen VDCs in dieser Gruppe befinden. Um Netzwerkzugriff vom Cluster auf VMs in anderen VDCs in der Datencenter-Gruppe zu ermöglichen, konfigurieren Sie DNAT-Regeln manuell auf dem NSX-Gateway der Datencenter-Gruppe.
Voraussetzungen
- Stellen Sie sicher, dass Ihre Cloud-Infrastruktur von vSphere 7.0 Update 1C, 7.0 Update 2 oder höher gestützt wird. Wenden Sie sich an Ihren Systemadministrator.
- Vergewissern Sie sich, dass Sie die Rolle Organisationsadministrator haben.
- Stellen Sie sicher, dass Ihr Systemadministrator ein NSX-Edge-Gateway innerhalb des Organisations-VDC erstellt hat, in dem sich der Tanzu Kubernetes-Cluster befindet.
- Stellen Sie sicher, dass die für den Dienst zu veröffentlichende IP-Adresse der Edge-Gateway-Schnittstelle zugeteilt wurde, der Sie eine DNAT-Regel hinzufügen möchten.
- Verwenden Sie den Befehl
get services my-service
deskubectl
-Befehlszeilentools, um die externe IP für den anzuzeigenden Dienst abzurufen.
Prozedur
- Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf die Registerkarte Edge-Gateways.
- Klicken Sie auf das Edge-Gateway und dann unter Dienste auf NAT.
- Klicken Sie auf Neu, um eine Regel hinzuzufügen.
- Konfigurieren Sie eine DNAT-Regel für den Dienst, den Sie mit einem externen Netzwerk verbinden möchten.
Option Beschreibung Name Geben Sie einen aussagekräftigen Namen für die Regel ein. Beschreibung (Optional) Geben Sie eine Beschreibung für die Regel ein. Zustand Um die Regel bei der Erstellung zu aktivieren, verwenden Sie die Umschaltoption Zustand. Schnittstellentyp Wählen Sie im Dropdown-Menü die Option „DNAT“ aus. Externe IP Geben Sie die öffentliche IP-Adresse des Diensts ein. Die eingegebenen IP-Adressen müssen zum unterzugewiesenen IP-Bereich des NSX-Edge-Gateways gehören.
Anwendung Lassen Sie das Feld leer. Interne IP Geben Sie die IP-Adresse des Diensts ein, die über den Kubernetes-Ingress-Pool zugeteilt wurde. Interner Port (Optional) Geben Sie eine Portnummer ein, an die der eingehende Datenverkehr geleitet wird. Protokollierung (Optional) Damit die von dieser Regel durchgeführte Adressübersetzung protokolliert wird, aktivieren Sie die Umschaltoption Protokollierung. - Klicken Sie auf Speichern.