De forma predeterminada, solo se puede acceder a los clústeres de Tanzu Kubernetes desde subredes IP de redes dentro del mismo centro de datos virtual de organización en el que se crea el clúster. Si es necesario, puede configurar manualmente el acceso externo a servicios específicos en un clúster de Tanzu Kubernetes.

Cuando se publica una política de Kubernetes de VDC en un VDC de organización, se aprovisiona automáticamente una política de firewall en la puerta de enlace Edge del clúster para permitir el acceso al clúster desde orígenes autorizados dentro del VDC. Además, se agrega automáticamente una regla SNAT del sistema a las puertas de enlace Edge de NSX dentro del VDC de organización para garantizar que las cargas de trabajo dentro del VDC de organización puedan acceder a la puerta de enlace Edge del clúster.

No es posible eliminar la directiva de firewall que se aprovisiona en la puerta de enlace Edge del clúster ni la regla SNAT en la puerta de enlace Edge de NSX, a menos que un administrador del sistema elimine la política de Kubernetes del VDC.

Si es necesario, puede configurar manualmente el acceso desde una red externa a un servicio específico de un clúster de Tanzu Kubernetes. Para ello, debe crear una regla DNAT en la puerta de enlace Edge de NSX que garantice que el tráfico proveniente de ubicaciones externas se reenvía a la puerta de enlace Edge del clúster.

Los clústeres de Tanzu Kubernetes admiten redes de grupos de NSX. Si el VDC de organización en el que se crea un clúster forma parte de un grupo de NSX que tiene una puerta de enlace Edge que se comparte entre los VDC del grupo, las máquinas virtuales que residen en los otros VDC de este grupo pueden alcanzar el clúster de Tanzu Kubernetes. Para proporcionar acceso de red desde el clúster a las máquinas virtuales de otros VDC en el grupo de centros de datos, configure manualmente las reglas DNAT en la puerta de enlace Edge de NSX del grupo de centros de datos.

Requisitos previos

  • Compruebe que la infraestructura de nube esté respaldada por vSphere 7.0 Update 1C, 7.0 Update 2 o una versión posterior. Comuníquese con el administrador del sistema.
  • Compruebe que es un administrador de organización.
  • Compruebe que el administrador del sistema haya creado una puerta de enlace Edge de NSX dentro del centro de datos virtual de organización en el que se encuentra el clúster de Tanzu Kubernetes.
  • Compruebe que la dirección IP pública que desea utilizar para el servicio se haya asignado a la interfaz de puerta de enlace Edge en la que desea agregar una regla DNAT.
  • Utilice el comando get services my-service de la herramienta de línea de comandos kubectl para recuperar la dirección IP externa del servicio que desea exponer.

Procedimiento

  1. En la barra de navegación superior, haga clic en Redes y, a continuación, en la pestaña Puertas de enlace Edge.
  2. Haga clic en la puerta de enlace Edge y, en Servicios, haga clic en NAT.
  3. Para agregar una regla, haga clic en Nueva.
  4. Configure una regla DNAT para el servicio que desea conectar a una red externa.
    Opción Descripción
    Nombre Introduzca un nombre significativo para la regla.
    Descripción (Opcional) Introduzca una descripción para la regla.
    Estado Para habilitar la regla tras la creación, desactive el botón de alternancia Estado.
    Tipo de interfaz En el menú desplegable, seleccione DNAT.
    IP externa Introduzca la dirección IP pública del servicio.

    Las direcciones IP que introduzca deben pertenecer al rango de direcciones IP subasignadas de la puerta de enlace Edge de NSX.

    Aplicación Deje el cuadro en blanco.
    IP interna Introduzca la dirección IP del servicio que se asignó desde el grupo de entrada de Kubernetes.
    Puerto interno (Opcional) Introduzca un número de puerto al que se dirigirá el tráfico entrante.
    Registro (Opcional) Para que se registre la traducción de direcciones realizada por esta regla, active la opción Registro.
  5. Haga clic en Guardar.

Qué hacer a continuación

Si desea proporcionar acceso a otras aplicaciones publicadas como servicios de Kubernetes desde redes externas, debe configurar reglas DNAT adicionales para cada una de ellas.