Das NSX-T Data Center-CNI-Plug-In muss auf den Kubernetes-Knoten installiert sein.

Bei Ubuntu wird beim Installieren des NSX-T-CNI-Plug-Ins die AppArmor-Profildatei ncp-apparmor in /etc/apparmor.d kopiert und geladen. Vor der Installation muss der AppArmor-Dienst ausgeführt werden, und das Verzeichnis /etc/apparmor.d muss vorhanden sein. Andernfalls schlägt die Installation fehl. Sie können mit dem folgenden Befehl prüfen, ob das AppArmor-Modul aktiviert ist:
    sudo cat /sys/module/apparmor/parameters/enabled
Sie können mit dem folgenden Befehl prüfen, ob der AppArmor-Dienst gestartet wurde:
    sudo /etc/init.d/apparmor status
Wenn beim Installieren des NSX-T-CNI-Plug-Ins der AppArmor-Dienst nicht ausgeführt wird, zeigt der Installationsvorgang folgende Meldung an, wenn er abgeschlossen wird:
    subprocess installed post-installation script returned error exit status 1

Die Meldung weist darauf hin, dass alle Installationsschritte außer dem Laden des AppArmor-Profils abgeschlossen wurden.

Die ncp-apparmor-Profildatei stellt ein AppArmor-Profil für den NSX-Knotenagent mit dem Namen node-agent-apparmor bereit, das sich vom docker-default-Profil wie folgt unterscheidet:

  • Die deny mount-Regel wird entfernt.
  • Die mount-Regel wird hinzugefügt.
  • Einige network-, capability-, file- und umount-Optionen werden hinzugefügt.
Sie können das node-agent-apparmor-Profil durch ein anderes Profil ersetzen. Auf den Profilnamen node-agent-apparmor wird jedoch in der Datei nsx-node-agent-ds.yml verwiesen, die bei der Installation des NSX-Knotenagents verwendet wird. Wenn Sie ein anderes Profil verwenden, müssen Sie den Profilnamen in nsx-node-agent-ds.yml unter dem Abschnitt spec:template:metadata:annotations im folgenden Eintrag angeben:
    container.apparmor.security.beta.kubernetes.io/<container-name>: localhost/<profile-name>

Prozedur

  1. Laden Sie die entsprechende Installationsdatei für Ihre Linux-Bereitstellung herunter.
    Der Dateiname lautet nsx-cni-1.0.0.0.0.xxxxxxx-1.x86_64.rpm oder nsx-cni-1.0.0.0.0.xxxxxxx.deb, wobei xxxxxxx die Build-Nummer ist.
  2. Installieren Sie die in Schritt 1 heruntergeladene RPM- oder DEB-Datei.
    Das Plug-In wird unter /opt/cni/bin installiert. Die CNI-Konfigurationsdatei „10-nsx.conf“ wird in /etc/cni/net.d kopiert. RPM installiert auch die Konfigurationsdatei /etc/cni/net.d/99-loopback.conf für das Loopback-Plug-In.