Beim Konfigurieren einiger Netzwerkressourcen sollten Sie sich bestimmter Einschränkungen bewusst sein.

Tagging-Grenzwerte in NSX-T Data Center

NSX-T Data Center weist folgende Grenzwerte für das Versehen von Objekten mit Tags auf:

  • Der Bereich hat eine Obergrenze von 128 Zeichen.
  • Das Tag hat eine Obergrenze von 256 Zeichen.
  • Jedes Objekt kann maximal 30 Tags aufweisen.

Diese Grenzwerte können zu Problemen führen, wenn Kubernetes- oder OpenShift-Anmerkungen in NSX-T Data Center-Bereiche und -Tags kopiert und die Grenzwerte überschritten werden. Wenn ein Tag beispielsweise für einen Switch-Port bestimmt ist und das Tag in einer Firewallregel verwendet wird, wird die Regel möglicherweise nicht erwartungsgemäß angewendet, da der Anmerkungsschlüssel oder -wert beim Kopieren in einen Bereich oder ein Tag möglicherweise abgeschnitten wurde.

Konfigurieren von Netzwerkrichtlinien

Netzwerkrichtlinien wählen Pods oder Namespaces mithilfe von Bezeichnungsselektoren aus.

Die NCP-Unterstützung für Netzwerkrichtlinien entspricht der von Kubernetes bereitgestellten Unterstützung und richtet sich nach der Kubernetes-Version.

  • Kubernetes 1.11 – Sie können folgende Regelselektoren angeben:
    • podSelector: Damit werden alle Pods ausgewählt, die sich in dem Namespace befinden, in dem die Netzwerkrichtlinie erstellt wird.
    • namespaceSelector: Damit werden alle Namespaces ausgewählt.
    • podSelector UND namespaceSelector: Damit werden alle Pods ausgewählt, die sich in den von namespaceSelector ausgewählten Namespaces befinden.
    • ipBlockSelector: Eine Netzwerkrichtlinie ist ungültig, wenn ipBlockSelector mit namespaceSelector oder podSelector kombiniert wird. Ein ipBlockSelector muss in der Richtlinienspezifikation allein vorhanden sein.
  • Kubernetes 1.10 – Die Regelklauseln in der Netzwerkrichtlinie können höchstens einen der Selektoren namespaceSelector, podSelector und ipBlock enthalten.

Der Kubernetes-API-Server unterzieht eine Netzwerkrichtlinienspezifikation keiner Validierung. Es ist daher möglich, eine Netzwerkrichtlinie zu erstellen, die ungültig ist. NCP lehnt ungültige Netzwerkrichtlinien ab. Falls Sie die Netzwerkrichtlinie aktualisieren, damit sie gültig ist, wird sie von NCP trotzdem nicht verarbeitet. Sie müssen die Netzwerkrichtlinie löschen und mit einer gültigen Spezifikation neu erstellen.