Le plug-in CNI NSX-T Data Center doit être installé sur les nœuds Kubernetes.

Pour Ubuntu, l'installation du plug-in CNI NSX-T copie le fichier du profil AppArmor ncp-apparmor dans /etc/apparmor.d et le charge. Avant l'installation, le service AppArmor doit être en cours d'exécution et le répertoire /etc/apparmor.d doit exister. Sinon, l'installation va échouer. Vous pouvez vérifier si le module AppArmor est activé avec la commande suivante :
    sudo cat /sys/module/apparmor/parameters/enabled
Vous pouvez vérifier si le service AppArmor est démarré avec la commande suivante :
    sudo /etc/init.d/apparmor status
Si le service AppArmor n'est pas en cours d'exécution lorsque vous installez le plug-in CNI NSX-T, l'installation affiche le message suivant lorsqu'elle se termine :
    subprocess installed post-installation script returned error exit status 1

Le message indique que toutes les étapes d'installation sont terminées, sauf le chargement du profil AppArmor.

Le fichier de profil ncp-apparmor fournit un profil AppArmor pour l'agent de nœud NSX nommé node-agent-apparmor, qui diffère du profil docker-default de la manière suivante :

  • La règle deny mount est retirée.
  • La règle mount est ajoutée.
  • Certaines options network, capability, file et umount sont ajoutées.
Vous pouvez remplacer le profil node-agent-apparmor par un profil différent. Toutefois, le nom du profil node-agent-apparmor est référencé dans le fichier nsx-node-agent-ds.yml, qui est utilisé dans l'installation de l'agent de nœud NSX. Si vous utilisez un profil différent, vous devez spécifier le nom du profil dans nsx-node-agent-ds.yml, sous la section spec:template:metadata:annotations, dans l'entrée suivante :
    container.apparmor.security.beta.kubernetes.io/<container-name>: localhost/<profile-name>

Procédure

  1. Téléchargez le fichier d'installation approprié pour votre distribution Linux.
    Le nom de fichier est nsx-cni-1.0.0.0.0.xxxxxxx-1.x86_64.rpm ou nsx-cni-1.0.0.0.0.xxxxxxx.deb, où xxxxxxx est le numéro de build.
  2. Installez le fichier rpm ou deb téléchargé à l'étape 1.
    Le plug-in est installé dans /opt/cni/bin. Le fichier de configuration CNI 10-nsx.conf est copié dans /etc/cni/net.d. Le RPM installe également le fichier de configuration /etc/cni/net.d/99-loopback.conf pour le plug-in de bouclage.