タグとラベルの制限

タグには次の制限があります。

• タグ スコープには、128 文字の制限があります。
• タグ値には、256 文字の制限があります。
• 各オブジェクトに最大で 30 個のタグを指定できます。

Kubernetes または OpenShift のアノテーションが NSX-T Data Center のスコープやタグにコピーされる際に字数の制限を超えると、問題が生じる場合があります。たとえば、スイッチ ポート用のタグがあり、これがファイアウォール ルールで使用されている場合、アノテーションのキーや値が字数制限を超えると、スコープまたはタグにすべてコピーされないため、ルールが想定したように適用されないことがあります。

ラベルには次の制限があります。

• 1 つのポッドには、25 個までラベルを付けることができます。
• 1 つのネームスペースには、27 個までラベルを付けることができます。
• 1 つの Ingress Controller ポッドには、24 個までラベルを付けることができます。

ネットワーク ポリシーの設定

ネットワーク ポリシーは、ラベル セレクタを使用してポッドまたはネームスペースを選択します。

NCP がサポートする ネットワーク ポリシーは Kubernetes と同じであり、Kubernetes のバージョンによって異なります。

• Kubernetes 1.11 - 以下のルール セレクタを指定することができます。
  • podSelector：ネットワーク ポリシーが作成されたネームスペース内にあるすべてのポッドを選択します。
  • namespaceSelector：すべてのネームスペースを選択します。
  • podSelector と namespaceSelector：この組み合わせでは、namespaceSelector で選択されたネームスペース内にあるすべてのポッドが選択されます。
  • ipBlockSelector：ipBlockSelector が namespaceSelector または podSelector のいずれかと組み合わされている場合、ネットワーク ポリシーは無効になります。ipBlockSelector はポリシー仕様に単独で指定する必要があります。
• Kubernetes 1.10：ネットワーク ポリシーのルール句に、namespaceSelector、podSelector、および ipBlock のセレクタが最大で 1 つ含まれている場合があります。

Kubernetes API サーバは、ネットワーク ポリシー仕様の検証は実行しません。無効なネットワーク ポリシーを作成してしまう可能性もあります。NCP は、無効なネットワーク ポリシーを拒否します。ネットワーク ポリシーを更新して有効にしても、NCP はそのネットワーク ポリシーを処理しません。ネットワーク ポリシーを削除し、仕様が有効なネットワーク ポリシーを再作成する必要があります。