Per impostazione predefinita, i cluster Tanzu Kubernetes sono raggiungibili solo da subnet IP di reti all'interno dello stesso virtual data center dell'organizzazione in cui viene creato un cluster. Se necessario, è possibile configurare manualmente l'accesso esterno a servizi specifici in un cluster Tanzu Kubernetes.
Quando un criterio Kubernetes del VDC viene pubblicato in un VDC dell'organizzazione, viene automaticamente eseguito il provisioning di un criterio del firewall nel gateway edge del cluster per consentire l'accesso al cluster da origini autorizzate all'interno del VDC. Viene inoltre aggiunta automaticamente una regola SNAT di sistema ai gateway edge NSX all'interno del VDC dell'organizzazione per garantire che il gateway edge del cluster sia raggiungibile dai carichi di lavoro nel VDC dell'organizzazione.
Il criterio del firewall di cui viene eseguito il provisioning nel gateway edge del cluster e la regola SNAT nel gateway edge NSX non possono essere rimossi, a meno che un amministratore di sistema non elimini il criterio Kubernetes dal VDC.
Se necessario, è possibile configurare manualmente l'accesso da una rete esterna a un servizio specifico in un cluster Tanzu Kubernetes. A tale scopo, è necessario creare una regola DNAT nel gateway edge NSX che garantisca che il traffico proveniente da posizioni esterne venga inoltrato al gateway edge del cluster.
I cluster Tanzu Kubernetes supportano la rete di un gruppo di NSX. Se il VDC dell'organizzazione in cui viene creato un cluster fa parte di un gruppo di NSX che dispone di un gateway edge condiviso tra i VDC del gruppo, il cluster Tanzu Kubernetes può essere raggiunto dalle macchine virtuali che si trovano negli altri VDC in questo gruppo. Per fornire accesso di rete dal cluster alle macchine virtuali di altri VDC del gruppo di data center, configurare manualmente regole DNAT nel gateway edge NSX del gruppo di data center.
Prerequisiti
- Verificare che l'infrastruttura cloud sia supportata da vSphere 7.0 Update 1C, 7.0 Update 2 o versioni successive. Contattare l'amministratore di sistema.
- Assicurarsi di essere un amministratore dell'organizzazione.
- Verificare che l'amministratore di sistema abbia creato un gateway edge NSX all'interno del virtual data center dell'organizzazione in cui si trova il cluster Tanzu Kubernetes.
- Verificare che l'indirizzo IP pubblico che si desidera utilizzare per il servizio sia stato allocato all'interfaccia del gateway edge in cui si desidera aggiungere una regola DNAT.
- Utilizzare il comando
get services my-service
dello strumento da riga di comandokubectl
per recuperare l'IP esterno per il servizio che si desidera esporre.
Procedura
- Nel riquadro di navigazione principale a sinistra, selezionare Rete e nella barra di navigazione superiore della pagina, selezionare Gateway edge.
- Fare clic sul gateway edge e, in Servizi, fare clic su NAT.
- Per aggiungere una regola, fare clic su Nuovo.
- Configurare una regola DNAT per il servizio che si desidera connettere a una rete esterna.
Opzione Descrizione Nome Immettere un nome significativo per la regola. Descrizione (Facoltativo) Immettere una descrizione per la regola. Stato Per abilitare la regola al momento della creazione, attivare l'interruttore Stato. Tipo di interfaccia Dal menu a discesa, selezionare DNAT. IP esterno Immettere l'indirizzo IP pubblico del servizio. L'indirizzo IP immesso deve appartenere all'intervallo di IP sottoallocato del gateway edge NSX.
Applicazione Lasciare vuota la casella. IP interno Immettere l'indirizzo IP del servizio allocato dal pool in entrata di Kubernetes. Porta interna (Facoltativo) Immettere il numero della porta a cui viene indirizzato il traffico in entrata. Registrazione (Facoltativo) Per registrare la conversione degli indirizzi da parte di questa regola, attivare l'opzione Registrazione. - Fare clic su Salva.