Tipps zum Konfigurieren von Netzwerkressourcen

Beim Konfigurieren einiger Netzwerkressourcen sollten Sie sich bestimmter Einschränkungen bewusst sein.

Grenzwerte für Tags und Bezeichnungen

Tags weisen die folgenden Grenzwerte auf:

Der Tag-Bereich hat einen Grenzwert von 128 Zeichen.
Der Tag-Wert hat einen Grenzwert von 256 Zeichen.
Jedes Objekt kann maximal 30 Tags aufweisen.

Diese Grenzwerte können zu Problemen führen, wenn Kubernetes- oder OpenShift-Anmerkungen in NSX-T Data Center-Bereiche und -Tags kopiert und die Grenzwerte überschritten werden. Wenn ein Tag beispielsweise für einen Switch-Port bestimmt ist und das Tag in einer Firewallregel verwendet wird, wird die Regel möglicherweise nicht erwartungsgemäß angewendet, da der Anmerkungsschlüssel oder -wert beim Kopieren in einen Bereich oder ein Tag möglicherweise abgeschnitten wurde.

Bezeichnungen weisen die folgenden Grenzwerte auf:

Ein Pod darf höchstens 25 Bezeichnungen aufweisen.
Ein Namespace darf höchstens 27 Bezeichnungen aufweisen.
Ein Ingress-Controller-Pod darf nicht mehr als 24 Bezeichnungen aufweisen.

Konfigurieren von Netzwerkrichtlinien

Netzwerkrichtlinien wählen Pods oder Namespaces mithilfe von Bezeichnungsselektoren aus.

Die NCP-Unterstützung für Netzwerkrichtlinien entspricht der von Kubernetes bereitgestellten Unterstützung und richtet sich nach der Kubernetes-Version.

Kubernetes 1.11 – Sie können folgende Regelselektoren angeben:
- podSelector: Damit werden alle Pods ausgewählt, die sich in dem Namespace befinden, in dem die Netzwerkrichtlinie erstellt wird.
- namespaceSelector: Damit werden alle Namespaces ausgewählt.
- podSelector UND namespaceSelector: Damit werden alle Pods ausgewählt, die sich in den von namespaceSelector ausgewählten Namespaces befinden.
- ipBlockSelector: Eine Netzwerkrichtlinie ist ungültig, wenn ipBlockSelector mit namespaceSelector oder podSelector kombiniert wird. Ein ipBlockSelector muss in der Richtlinienspezifikation allein vorhanden sein.
Kubernetes 1.10 – Die Regelklauseln in der Netzwerkrichtlinie können höchstens einen der Selektoren namespaceSelector, podSelector und ipBlock enthalten.

Der Kubernetes-API-Server unterzieht eine Netzwerkrichtlinienspezifikation keiner Validierung. Es ist daher möglich, eine Netzwerkrichtlinie zu erstellen, die ungültig ist. NCP lehnt ungültige Netzwerkrichtlinien ab. Falls Sie die Netzwerkrichtlinie aktualisieren, damit sie gültig ist, wird sie von NCP trotzdem nicht verarbeitet. Sie müssen die Netzwerkrichtlinie löschen und mit einer gültigen Spezifikation neu erstellen.