Les clusters Tanzu Kubernetes sont par défaut uniquement accessibles à partir de sous-réseaux IP de réseaux du centre de données virtuel d'organisation dans lequel un cluster est créé. Si nécessaire, vous pouvez configurer manuellement un accès externe à des services spécifiques dans un cluster Tanzu Kubernetes.
Lorsqu'une stratégie Kubernetes de VDC est publiée sur un VDC d'organisation, une stratégie de pare-feu est automatiquement provisionnée sur la passerelle Edge du cluster pour autoriser l'accès au cluster à partir de sources autorisées dans le VDC. En outre, une règle SNAT système est automatiquement ajoutée aux passerelles Edge NSX dans le VDC d'organisation pour garantir que la passerelle Edge du cluster est accessible par les charges de travail du VDC d'organisation.
La stratégie de pare-feu provisionnée sur la passerelle Edge du cluster et la règle SNAT sur la passerelle Edge NSX ne peuvent pas être supprimées, sauf si un administrateur système supprime la stratégie Kubernetes du VDC.
Si nécessaire, vous pouvez configurer manuellement l'accès depuis un réseau externe à un service spécifique dans un cluster Tanzu Kubernetes. Pour ce faire, vous devez créer une règle DNAT sur la passerelle Edge NSX qui garantit que le trafic provenant d'emplacements externes est transmis à la passerelle Edge du cluster.
Les clusters Tanzu Kubernetes prennent en charge la mise en réseau de groupes NSX. Si le VDC d'organisation dans lequel un cluster est créé fait partie d'un groupe NSX qui dispose d'une passerelle Edge partagée entre les VDC du groupe, le cluster Tanzu Kubernetes est accessible par les machines virtuelles résidant dans les autres VDC du groupe. Pour fournir un accès réseau du cluster aux machines virtuelles dans d'autres VDC du groupe de centres de données, configurez manuellement des règles DNAT sur la passerelle Edge NSX du groupe de centres de données.
Conditions préalables
- Vérifiez que votre infrastructure de cloud dépend de vSphere 7.0 Update 1C, 7.0 Update 2 ou version ultérieure. Contactez votre administrateur système.
- Vérifiez que vous êtes administrateur d'organisation.
- Vérifiez que votre administrateur système a créé une passerelle Edge NSX dans le centre de données virtuel d'organisation dans lequel se trouve le cluster Tanzu Kubernetes.
- Vérifiez que l'adresse IP publique que vous souhaitez utiliser pour le service a été allouée à l'interface de passerelle Edge sur laquelle vous souhaitez ajouter une règle DNAT.
- Utilisez la commande
get services my-service
de l'outil de ligne de commandekubectl
pour récupérer l'adresse IP externe du service que vous souhaitez exposer.
Procédure
- Dans la barre de navigation supérieure, cliquez sur Mise en réseau et sur l'onglet Passerelles Edge.
- Cliquez sur la passerelle Edge et, sous Services, cliquez sur NAT.
- Pour ajouter une règle, cliquez sur Nouveau.
- Configurez une règle DNAT pour le service que vous souhaitez connecter à un réseau externe.
Option Description Nom Entrez un nom significatif pour la règle. Description (Facultatif) Entrez une description pour la règle. État Pour activer la règle lors de la création, activez l'option État. Type d'interface Dans le menu déroulant, sélectionnez DNAT. IP externe Entrez l'adresse IP publique du service. L'adresse IP que vous entrez doit appartenir à la plage d'adresses IP sous-allouée de la passerelle Edge NSX.
Application Laissez la case vide. IP interne Entrez l'adresse IP de service allouée à partir du pool d'entrée Kubernetes. Port interne (Facultatif) Entrez un numéro de port vers lequel le trafic entrant est dirigé. Journalisation (Facultatif) Pour que la traduction d'adresses effectuée par cette règle soit journalisée, activez l'option Journalisation. - Cliquez sur Enregistrer.