El complemento CNI de NSX-T Data Center debe instalarse en los nodos de Kubernetes.

En Ubuntu, al instalar el complemento CNI de NSX-T, se copiará el archivo de perfil de AppArmor ncp-apparmor en /etc/apparmor.d y se cargará. Antes de la instalación, el servicio de AppArmor debe estar en ejecución y el directorio /etc/apparmor.d debe existir. De lo contrario, se producirá un error en la instalación. Puede comprobar si el módulo de AppArmor está habilitado con el siguiente comando:
    sudo cat /sys/module/apparmor/parameters/enabled
Puede comprobar si el servicio de AppArmor se inició con el siguiente comando:
    sudo /etc/init.d/apparmor status
Si el servicio de AppArmor no se está ejecutando al instalar el complemento CNI de NSX-T, la instalación mostrará el siguiente mensaje cuando finalice:
    subprocess installed post-installation script returned error exit status 1

El mensaje indica que todos los pasos de instalación se han completado, excepto la carga del perfil de AppArmor.

El archivo de perfil ncp-apparmor proporciona un perfil de AppArmor para el agente de nodo NSX llamado node-agent-apparmor, que se diferencia del perfil docker-default en los siguientes aspectos:

  • Se elimina la regla deny mount.
  • Se agrega la regla mount.
  • Se agregan algunas opciones de network, capability, file y umount.
Puede reemplazar el perfil node-agent-apparmor con otro perfil. Sin embargo, en el archivo nsx-nodo-agent-ds.yml, que se utiliza en la instalación del agente de nodo NSX, se hace referencia al nombre de perfil node-agent-apparmor. Si utiliza otro perfil, deberá especificar el nombre del perfil en nsx-nodo-agent-ds.yml, en la sección spec:template:metadata:annotations, en la siguiente entrada:
    container.apparmor.security.beta.kubernetes.io/<container-name>: localhost/<profile-name>

Procedimiento

  1. Descargue el archivo de instalación adecuado para la distribución de Linux.
    El nombre de archivo es 1.x86_64.rpm-nsx-cni-1.0.0.0.0.xxxxxxx o nsx-cni-1.0.0.0.0.xxxxxxx.deb, donde xxxxxxx es el número de compilación.
  2. Instale el archivo rpm o deb que descargó en el paso 1.
    El complemento se instala en /opt/cni/bin. El archivo de configuración de CNI 10-nsx.conf se copia en /etc/cni/net.d. El rpm también instalará el archivo de configuración /etc/cni/net.d/99-loopback.conf del complemento de bucle invertido.