ネットワーク リソースを設定する際は、特定の制限があることに注意してください。

NSX-T Data Centerのタグ付けの制限

NSX-T Data Centerには、オブジェクトへのタグ付けに次の制限があります。

  • スコープには、128 文字の制限があります。
  • タグには、256 文字の制限があります。
  • 各オブジェクトに最大で 30 個のタグを指定できます。

Kubernetes または OpenShift のアノテーションが NSX-T Data Center のスコープやタグにコピーされる際に字数の制限を超えると、問題が生じる場合があります。たとえば、スイッチ ポート用のタグがあり、これがファイアウォール ルールで使用されている場合、アノテーションのキーや値が字数制限を超えると、スコープまたはタグにすべてコピーされないため、ルールが想定したように適用されないことがあります。

ネットワーク ポリシーの設定

ネットワーク ポリシーは、ラベル セレクタを使用してポッドまたは名前空間を選択します。

NCP がサポートする ネットワーク ポリシーは Kubernetes と同じであり、Kubernetes のバージョンによって異なります。

  • Kubernetes 1.11 - 以下のルール セレクタを指定することができます。
    • podSelector: ネットワーク ポリシーが作成された名前空間内にあるすべてのポッドを選択します。
    • namespaceSelector: すべての名前空間を選択します。
    • podSelectornamespaceSelector: この組み合わせでは、namespaceSelector で選択された名前空間内にあるすべてのポッドが選択されます。
    • ipBlockSelectoripBlockSelectornamespaceSelector または podSelector のいずれかと組み合わされている場合、ネットワーク ポリシーは無効になります。ipBlockSelector はポリシー仕様に単独で指定する必要があります。
  • Kubernetes 1.10: ネットワーク ポリシーのルール句に、namespaceSelectorpodSelector、および ipBlock のセレクタが最大で 1 つ含まれている場合があります。

Kubernetes API サーバは、ネットワーク ポリシー仕様の検証は実行しません。無効なネットワーク ポリシーを作成してしまう可能性もあります。NCP は、無効なネットワーク ポリシーを拒否します。ネットワーク ポリシーを更新して有効にしても、NCP はそのネットワーク ポリシーを処理しません。ネットワーク ポリシーを削除し、仕様が有効なネットワーク ポリシーを再作成する必要があります。