VMware Cloud Director 10.2.2 以降、Tanzu Kubernetes クラスタにデフォルトでアクセスできるのは、クラスタが作成された同じ組織仮想データセンター内のネットワークの IP サブネットからのみになります。必要に応じて、Tanzu Kubernetes クラスタ内の特定のサービスへの外部アクセスを手動で構成できます。

VDC Kubernetes ポリシーが組織 VDC に公開されている場合は、ファイアウォール ポリシーがクラスタ Edge Gateway に自動的にプロビジョニングされ、VDC 内の認証されたソースからクラスタにアクセスできるようになります。また、システム SNAT ルールが組織 VDC 内の NSX-T Data Center Edge Gateway に自動的に追加され、組織 VDC 内のワークロードからクラスタの Edge Gateway にアクセスできるようになります。

システム管理者が VDC から Kubernetes ポリシーを削除しない限り、クラスタの Edge Gateway にプロビジョニングされたファイアウォール ポリシーと NSX-T Data Center Edge Gateway の SNAT ルールの両方を削除することはできません。

必要に応じて、外部ネットワークから Tanzu Kubernetes クラスタ内の特定のサービスへのアクセスを手動で構成できます。これを行うには、NSX-T Data Center Edge Gateway で DNAT ルールを作成し、外部の場所から送信されるトラフィックがクラスタの Edge Gateway に転送されるようにする必要があります。

VMware Cloud Director 10.3 以降、Tanzu Kubernetes クラスタは NSX-T Data Center グループ ネットワークをサポートします。クラスタが作成されている組織 VDC が NSX-T Data Center グループに属していて、このグループの Edge Gateway がこのグループ内の VDC 間で共有されている場合は、このグループ内の他の VDC にある仮想マシンから Tanzu Kubernetes クラスタにアクセスできます。クラスタからデータセンター グループ内の他の VDC の仮想マシンにネットワーク経由でアクセスできるようにするには、データセンター グループの NSX-T Data Center Edge Gateway に DNAT ルールを手動で構成します。

前提条件

  • クラウド インフラストラクチャが vSphere 7.0 Update 1C、7.0 Update 2 以降によってバッキングされていることを確認します。システム管理者にお問い合わせください。
  • 組織管理者であることを確認します。
  • システム管理者が、Tanzu Kubernetes クラスタが配置されている組織仮想データセンター内に NSX-T Data Center Edge Gateway を作成したことを確認します。
  • サービスに使用するパブリック IP アドレスが、DNAT ルールを追加する Edge Gateway インターフェイスに割り当てられていることを確認します。
  • kubectl コマンドライン ツールの get services my-service コマンドを使用して、公開するサービスの外部 IP アドレスを取得します。

手順

  1. 上部ナビゲーション バーで [ネットワーク ] をクリックし、[Edge Gateway] タブをクリックします。
  2. Edge Gateway をクリックし、[サービス][NAT] をクリックします。
  3. ルールを追加するには、[新規] をクリックします。
  4. 外部ネットワークに接続するサービスの DNAT ルールを構成します。
    オプション 説明
    名前 ルールに意味のある名前を入力します。
    説明 (オプション)ルールの説明を入力します。
    状態 作成時にルールを有効にするには、[状態] トグルをオンにします。
    インターフェイス タイプ ドロップダウン メニューから、DNAT を選択します。
    外部 IP サービスのパブリック IP アドレスを入力します。

    入力した IP アドレスは、NSX-T Data Center Edge Gateway の細分割り当てされた IP アドレス範囲に属している必要があります。
    アプリケーション ボックスを空のままにします。
    内部 IP Kubernetes 入力方向プールから割り当てられたサービスの IP アドレスを入力します。
    内部ポート (オプション)受信トラフィックが送信されるポート番号を入力します。
    ログ記録 (オプション)このルールによって実行されたアドレス変換をログに記録するには、[ログ記録] オプションを有効にします。
  5. [保存] をクリックします。

次のタスク

外部ネットワークから Kubernetes サービスとして公開された他のアプリケーションへのアクセスを許可する場合は、各ネットワークに対して追加の DNAT ルールを構成する必要があります。