Tanzu Kubernetes クラスタにデフォルトでアクセスできるのは、クラスタが作成された同じ組織仮想データセンター内のネットワークの IP サブネットからのみです。必要に応じて、Tanzu Kubernetes クラスタ内の特定のサービスへの外部アクセスを手動で構成できます。
VDC Kubernetes ポリシーが組織 VDC に公開されている場合は、ファイアウォール ポリシーがクラスタ Edge Gateway に自動的にプロビジョニングされ、VDC 内の認証されたソースからクラスタにアクセスできるようになります。また、システム SNAT ルールが組織 VDC 内の NSX Edge Gateway に自動的に追加され、組織 VDC 内のワークロードからクラスタの Edge Gateway にアクセスできるようになります。
システム管理者が VDC から Kubernetes ポリシーを削除しない限り、クラスタの Edge Gateway にプロビジョニングされたファイアウォール ポリシーと NSX Edge Gateway の SNAT ルールの両方を削除することはできません。
必要に応じて、外部ネットワークから Tanzu Kubernetes クラスタ内の特定のサービスへのアクセスを手動で構成できます。これを行うには、NSX Edge Gateway で DNAT ルールを作成し、外部の場所から送信されるトラフィックがクラスタの Edge Gateway に転送されるようにする必要があります。
Tanzu Kubernetes クラスタは、NSX グループ ネットワークをサポートします。クラスタが作成されている組織 VDC が NSX グループに属していて、このグループの Edge Gateway がこのグループ内の VDC 間で共有されている場合は、このグループ内の他の VDC にある仮想マシンから Tanzu Kubernetes クラスタにアクセスできます。クラスタからデータセンター グループ内の他の VDC の仮想マシンにネットワーク経由でアクセスできるようにするには、データセンター グループの NSX Edge Gateway に DNAT ルールを手動で構成します。
前提条件
- クラウド インフラストラクチャが vSphere 7.0 Update 1C、7.0 Update 2 以降によってバッキングされていることを確認します。システム管理者にお問い合わせください。
- 組織管理者であることを確認します。
- システム管理者が、Tanzu Kubernetes クラスタが配置されている組織仮想データセンター内に NSX Edge Gateway を作成したことを確認します。
- サービスに使用するパブリック IP アドレスが、DNAT ルールを追加する Edge Gateway インターフェイスに割り当てられていることを確認します。
kubectl
コマンドライン ツールのget services my-service
コマンドを使用して、公開するサービスの外部 IP アドレスを取得します。
手順
- 上部ナビゲーション バーで [ネットワーク ] をクリックし、[Edge Gateway] タブをクリックします。
- Edge Gateway をクリックし、[サービス] で [NAT] をクリックします。
- ルールを追加するには、[新規] をクリックします。
- 外部ネットワークに接続するサービスの DNAT ルールを構成します。
オプション 説明 名前 ルールに意味のある名前を入力します。 説明 (オプション)ルールの説明を入力します。 状態 作成時にルールを有効にするには、[状態] トグルをオンにします。 インターフェイス タイプ ドロップダウン メニューから、DNAT を選択します。 外部 IP サービスのパブリック IP アドレスを入力します。 入力した IP アドレスは、NSX Edge Gateway の細分割り当てされた IP アドレス範囲に属している必要があります。
アプリケーション ボックスを空のままにします。 内部 IP Kubernetes 入力方向プールから割り当てられたサービスの IP アドレスを入力します。 内部ポート (オプション)受信トラフィックが送信されるポート番号を入力します。 ログ記録 (オプション)このルールによって実行されたアドレス変換をログに記録するには、[ログ記録] オプションを有効にします。 - [保存] をクリックします。