This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

ポッドとコンテナ ネットワーク

このトピックでは、ワークロード クラスタのポッドやコンテナのネットワークをカスタマイズする方法について説明します。これには、デフォルトの Antrea 以外のクラスタ ネットワーク インターフェイス (CNI) の使用や、VMware NSX ネットワークを使用する vSphere 上のワークロード クラスタに対するパブリックにルーティング可能な非 NAT IP アドレスのサポートなどが含まれます。

ポッド セキュリティ アドミッション (PSA) コントローラを使用したポッド セキュリティについては、「ポッドのセキュリティ」を参照してください。

デフォルト以外の CNI を使用したクラスタの作成

Tanzu CLI を使用してワークロード クラスタを展開すると、クラスタで Antrea クラスタ ネットワーク インターフェイス (CNI) が自動的に有効になります。または、Calico CNI または独自の CNI プロバイダを有効にすることもできます。

自動管理パッケージは Tanzu Kubernetes Grid によって管理されるため、通常はそれらの構成を更新する必要はありません。ただし、Calico などのカスタム CNI を使用するワークロード クラスタを作成することも可能です。以降のセクションでは、Calico などのカスタム CNI を構成する手順について説明します。

スタンドアローン管理クラスタで展開されたクラスタのカスタム CNI

1.2.x より前のバージョンの Tanzu Kubernetes Grid を使用する、スタンドアローン管理クラスタによって展開されたワークロード クラスタを v1.3 にアップグレードしても、引き続き Calico を CNI プロバイダとして使用します。これらのクラスタの CNI プロバイダは変更できません。

構成ファイルで CNI 変数を指定することで、スタンドアローン管理クラスタから展開するワークロード クラスタのデフォルトの CNI を変更できます。CNI 変数は次のオプションをサポートします。

  • デフォルトantrea:Antrea を有効にします。
  • calico:Calico を有効にします。「Calico CNI」を参照してください。このオプションは Windows ではサポートされません。
  • none:カスタム CNI プロバイダを有効にできます。「カスタム CNI」を参照してください。

CNI 変数を設定しない場合、Antrea はデフォルトで有効になります。

Calico CNI

ワークロード クラスタで Calico を有効にするには、構成ファイルで次のように指定します。

CNI: calico

デフォルトでは、Calico は IP アドレスの検出に first-found オプションを使用するように構成されています。これは、最初の有効なインターフェイスの最初の有効な IP アドレスを返します。first-found の方法は単純で、誤ったアドレスが選択される可能性があるため、特定の IP アドレスを使用するようにノードを構成するか、別の IP アドレス検出方法を使用することができます。使用可能なさまざまな IP アドレス検出方法の詳細については、Calico ドキュメントの「IP アドレスの自動検出方法」を参照してください。

別の IP アドレス検出方法を指定するには、ClusterClass オブジェクト仕様ファイルの CalicoConfig オブジェクト定義の spec.calico.config で指定します。例:

apiVersion: cni.tanzu.vmware.com/v1alpha1
kind: CalicoConfig
metadata:
  name: v1.27.5---vmware.1-tkg.1-20230618
  namespace: tkg-system
spec:
  calico:
    config:
      ipv4AutodetectionMethod: ""
      ipv6AutodetectionMethod: ""
      skipCNIBinaries: true
      vethMTU: 0

変数が設定されていない場合、Calico はデフォルトの first-found 方法を使用します。

クラスタの作成プロセスが完了したら、「ワークロード クラスタへの接続と確認」の説明に従ってクラスタを確認できます。

カスタム CNI

ワークロード クラスタで Calico 以外のカスタム CNI プロバイダを有効にするには、次の手順を実行します。

  1. クラスタを作成するときに、構成ファイルで CNI: none を指定します。例:

    CNI: none
    

    クラスタに CNI を適用するまで、クラスタの作成プロセスは成功しません。管理クラスタのクラスタ API ログでクラスタ作成プロセスを監視できます。クラスタ API ログにアクセスする方法については、「ログと監視」を参照してください。

  2. クラスタが初期化されたら、CNI プロバイダをクラスタに適用します。

    1. クラスタの admin 認証情報を取得します。例:

      tanzu cluster kubeconfig get my-cluster --admin
      
    2. kubectl のコンテキストをクラスタに設定します。例:

      kubectl config use-context my-cluster-admin@my-cluster
      
    3. CNI プロバイダをクラスタに適用します。

      kubectl apply -f PATH-TO-YOUR-CNI-CONFIGURATION/example.yaml
      
  3. tanzu cluster list コマンドを使用して、クラスタのステータスを監視します。クラスタの作成が完了すると、クラスタのステータスが creating から running に変わります。クラスタの確認方法の詳細については、「ワークロード クラスタへの接続と確認」を参照してください。

スーパーバイザーまたは単一ノードのクラスベースのワークロード クラスタの Calico CNI

スーパーバイザーによって展開された、または単一ノードのワークロード クラスタとしてスタンドアローン管理クラスタによって展開されたクラスベースのクラスタに、antrea の代わりに calico をインストールするには、まず、クラスタの ClusterBootstrap オブジェクトを次のようにカスタマイズする必要があります。

  1. 次の Kubernetes オブジェクトを含む YAML ファイルを作成します。

    apiVersion: cni.tanzu.vmware.com/v1alpha1
    kind: CalicoConfig
    metadata:
    name: CLUSTER-NAME
    namespace: CLUSTER-NAMESPACE
    spec:
    calico:
      config:
        vethMTU: 0
    ---
    apiVersion: run.tanzu.vmware.com/v1alpha3
    kind: ClusterBootstrap
    metadata:
    annotations:
      tkg.tanzu.vmware.com/add-missing-fields-from-tkr: TKR-VERSION
    name: CLUSTER-NAME
    namespace: CLUSTER-NAMESPACE
    spec:
    additionalPackages: # Customize additional packages
    - refName: metrics-server*
    - refName: secretgen-controller*
    - refName: pinniped*
    cni:
      refName: calico*
      valuesFrom:
        providerRef:
          apiGroup: cni.tanzu.vmware.com
          kind: CalicoConfig
          name: CLUSTER-NAME
    

    ここで、

    • CLUSTER-NAME は、作成しようとしているワークロード クラスタの名前です。
    • CLUSTER-NAMESPACE はワークロード クラスタの名前空間です。
    • TKR-VERSION は、ワークロード クラスタに使用しようとしている Tanzu Kubernetes リリース (TKr) のバージョンです。例:

      • v1.27.5+vmware.1-tkg.1(スーパーバイザーによって展開されたクラスタの場合)、または
      • v1.27.5---vmware.1-tiny.2-tkg.1(「vSphere 上の単一ノード クラスタ」で説明されている単一ノード クラスタの場合)
  2. 単一ノード クラスタの場合は、spec.additionalPackages ブロックを ClusterBootstrap 定義から削除します。単一ノード クラスタには、追加の metrics-serversecretgen-controllerpinniped パッケージがありません。

  3. スーパーバイザー クラスタかスタンドアローン管理クラスタかに関係なく、管理クラスタに対して kubectl apply -f コマンドを実行することでファイルを適用します。

  4. 次の構成を含む、Cluster オブジェクトの YAML ファイルを作成します。

    apiVersion: cluster.x-k8s.io/v1beta1
    kind: Cluster
    metadata:
    name: CLUSTER-NAME
    namespace: CLUSTER-NAMESPACE
    spec:
    clusterNetwork:
      services:
        cidrBlocks: ["SERVICES-CIDR"]
      pods:
        cidrBlocks: ["PODS-CIDR"]
      serviceDomain: "SERVICE-DOMAIN"
    topology:
      class: tanzukubernetescluster
      version: TKR-VERSION
      controlPlane:
        replicas: 1
      workers:
        machineDeployments:
          - class: node-pool
            name: NODE-POOL-NAME
            replicas: 1
      variables:
        - name: vmClass
          value: VM-CLASS
        # Default storageClass for control plane and node pool
        - name: storageClass
          value: STORAGE-CLASS-NAME
    

    ここで、

    • CLUSTER-NAME は、作成しようとしているワークロード クラスタの名前です。
    • CLUSTER-NAMESPACE はワークロード クラスタの名前空間です。
    • SERVICES-CIDR はサービスの CIDR ブロックです。たとえば、198.51.100.0/12です。
    • PODS-CIDR はポッドの CIDR ブロックです。たとえば、192.0.2.0/16です。
    • SERVICE-DOMAIN はサービス ドメイン名です。たとえば、cluster.localです。
    • TKR-VERSION はワークロード クラスタに使用しようとしている TKr のバージョンです。たとえば、v1.27.5+vmware.1-tkg.1 などです。
    • NODE-POOL-NAMEmachineDeployments のノード プールの名前です。
    • VM-CLASS はクラスタに使用する仮想マシン クラスの名前です。たとえば、best-effort-smallです。
    • STORAGE-CLASS-NAME はクラスタに使用するストレージ クラスの名前です。たとえば、wcpglobal-storage-profileです。

    例:

    apiVersion: cluster.x-k8s.io/v1beta1
    kind: Cluster
    metadata:
    name: my-workload-cluster
    namespace: my-workload-cluster-namespace
    spec:
    clusterNetwork:
     services:
       cidrBlocks: ["198.51.100.0/12"]
     pods:
       cidrBlocks: ["192.0.2.0/16"]
     serviceDomain: "cluster.local"
    topology:
     class: tanzukubernetescluster
     version: v1.27.5+vmware.1-tkg.1
     controlPlane:
       replicas: 1
     workers:
       machineDeployments:
         - class: node-pool
           name: my-node-pool
           replicas: 1
     variables:
       - name: vmClass
         value: best-effort-small
       # Default storageClass for control plane and node pool
       - name: storageClass
         value: wcpglobal-storage-profile
    
  5. 上記の手順で作成した Cluster オブジェクト定義ファイルを tanzu cluster create コマンドの -f オプションに渡して、ワークロード クラスタを作成します。

スーパーバイザーで展開された TKC ベースのクラスタの Calico CNI

タイプが TanzuKubernetesCluster の、スーパーバイザーで展開されたワークロード クラスタに antrea ではなく calico をインストールするには、ワークロード クラスタの作成に使用するクラスタ構成ファイルに CNI 構成変数を設定してから、このファイルを tanzu cluster create コマンドの -f オプションに渡します。たとえば、CNI: calico などです。

複数の CNI プロバイダを有効にする

macvlanipvlanSR-IOV または DPDK など、ワークロード クラスタで複数の CNI プロバイダを有効にするには、Antrea または Calico CNI がすでに実行されているクラスタに Multus パッケージをインストールし、CNI 用の追加の NetworkAttachmentDefinition リソースを作成します。その後、異なるアドレス範囲に異なるネットワーク インターフェイスを使用する新しいポッドをクラスタに作成できます。

詳細については、「ワークロード クラスタへの Multus の展開」を参照してください。

ルーティング可能な非 NAT IP アドレス (NSX) を使用したポッドのデプロイ

NSX ネットワークと Antrea コンテナ ネットワーク インターフェイス (CNI) を使用する vSphere では、ワーカー ポッドに対してルーティング可能な IP アドレスを使用してワークロード クラスタを構成できます。これにより、ポッドとの間の外部要求に対するネットワーク アドレス変換 (NAT) をバイパスします。

ポッドのルーティング可能な IP アドレスを使用すると、以下が可能になります。

  • 共通の共有サービスへの送信要求を追跡します。これは、送信元 IP アドレスが NAT アドレスではなくルーティング可能なポッド IP アドレスであるためです。
  • NAT をバイパスし、外部インターネットから直接ポッドに入る認証済みの受信要求をサポートします。

ルーティング可能な IP ポッドの NSX の構成

ワーカー ポッドに対してルーティング可能な IP アドレスをサポートするように NSX を構成するには、次の手順を実行します。

  1. NSX サーバを参照し、ネットワーク タブを開きます。

  2. [接続] > [Tier-1 ゲートウェイ] で、[Tier-1 ゲートウェイの追加] をクリックし、ルーティング可能な IP ポッド専用の新しい Tier-1 ゲートウェイを構成します。

    • 名前:ルーティング可能なポッド T1 ゲートウェイの名前を構成します。
    • リンクされた Tier-0 ゲートウェイTanzu Kubernetes Grid の他の Tier-1 ゲートウェイで使用する Tier-0 ゲートウェイを選択します。
    • Edge クラスタ:既存の Edge クラスタを選択します。
    • ルート アドバタイズすべてのスタティック ルートすべての NAT IP アドレス、および 接続されているすべてのセグメントとサービス ポート を有効にします。

    保存 をクリックしてゲートウェイを保存します。

  3. [接続] > [セグメント] で、[セグメントの追加] をクリックし、ルーティング可能なポッドを含むワークロード クラスタ ノードの新しい NSX セグメント(論理スイッチ)を構成します。

    • 名前:ワークロード クラスタ ノードのネットワーク セグメントの名前を構成します。
    • 接続:作成した Tier-1 ゲートウェイを選択します。
    • トランスポート ゾーンtz-overlay などのオーバーレイ トランスポート ゾーンを選択します。
    • サブネット:クラスタ ノードの IP アドレス範囲を選択します(195.115.4.1/24 など)。この範囲は、DHCP プロファイルの サーバの IP アドレス 値と重複しないようにしてください。
    • ルート アドバタイズすべてのスタティック ルートすべての NAT IP アドレス、および 接続されているすべてのセグメントとサービス ポート を有効にします。

    保存 をクリックしてゲートウェイを保存します。

ルーティング可能な IP アドレスを持つスーパーバイザーによって展開された TKC ポッド

ルーティング可能な非 NAT IP アドレスを持つワーカー ポッドを使用して TKC クラスタを展開する方法については、「v1beta1 の例:ルーティング可能なポッド ネットワークを使用するクラスタ」を参照してください。

ルーティング可能な IP アドレスを持つスタンドアローン管理クラスタで展開されたポッド

スタンドアローン管理クラスタを使用して、ルーティング可能な NAT なしの IP アドレスを持つワーカー ポッドを含むワークロード クラスタを展開するには、次の手順を実行します。クラスタの CLUSTER_CIDR 設定は、パブリックにルーティング可能な IP アドレスの範囲を構成します。

  1. ワークロード クラスタ構成ファイルの作成」の説明に従って、次のようにワークロード クラスタ構成ファイルを作成します。

    • ワーカー ポッドに割り当てられたルーティング可能な IP アドレスのブロックを設定するには、次のいずれかを実行します。
      • ワークロード クラスタ構成ファイルで CLUSTER_CIDR を設定します。または
      • 次の手順に示すように、tanzu cluster create コマンドの先頭に CLUSTER_CIDR= 設定を追加します。
    • NSXT_POD_ROUTING_ENABLED"true" に設定します。
    • NSXT_MANAGER_HOST を NSX Manager の IP アドレスに設定します。
    • ルーティング可能な IP アドレスに対して新しく追加された Tier-1 ゲートウェイのインベントリ パスに、NSXT_ROUTER_PATH を設定します。これは、ゲートウェイ名の左側にあるメニュー アイコン (縦の省略符号アイコンの分かりやすい表示) をクリックし、クリップボードにパスをコピー をクリックして、[NSX Manager] > [接続] > [Tier-1 ゲートウェイ] から取得します。名前は "/infra/tier-1s/ で始まります
    • 構成ファイル変数リファレンス」の NSX ポッド ルーティング テーブルに従って、NSX にアクセスするためのその他の NSXT_ 文字列変数を設定します。ポッドは、次の 4 つの方法のいずれかで NSX を使用して認証できます。ここでは、安全性が最も高いものから低いものへと順に表示しています。
      • 証明書NSXT_CLIENT_CERT_KEY_DATANSXT_CLIENT_CERT_KEY_DATA を設定し、CA によって発行された証明書に対して NSXT_ROOT_CA_DATA_B64 を設定します。
      • VMware Cloud (VMC) 上の VMware Identity Manager トークン:NSXT_VMC_AUTH_HOSTNSXT_VMC_ACCESS_TOKEN を設定します。
      • Kubernetes シークレットに保存された ユーザー名/パスワードNSXT_SECRET_NAMESPACENSXT_SECRET_NAMENSXT_USERNAME、およびNSXT_PASSWORD を設定します。
      • 構成ファイル内のプレーンテキストとしてのユーザー名/パスワードNSXT_USERNAMENSXT_PASSWORD を設定します。
  2. ワークロード クラスタの作成」の説明に従って、tanzu cluster create を実行します。例:

    $ CLUSTER_CIDR=100.96.0.0/11 tanzu cluster create my-routable-work-cluster -f my-routable-work-cluster-config.yaml
    Validating configuration...
    Creating workload cluster 'my-routable-work-cluster'...
    Waiting for cluster to be initialized...
    Waiting for cluster nodes to be available...
    

ルーティング可能な IP アドレスの検証

ワークロード ポッドのルーティング可能な IP アドレスをテストするには:

  1. ルーティング可能なワークロード クラスタに Web サーバを展開します。

  2. kubectl get pods --o wide を実行して、ルーティング可能なポッドの NAMEINTERNAL-IP および EXTERNAL-IP の値を取得し、リストされた IP アドレスが同一であり、ルーティング可能な CLUSTER_CIDR 範囲内にあることを確認します。

  3. kubectl get nodes --o wide を実行して、ルーティング可能な IP ポッドを含むワークロード クラスタ ノードの NAMEINTERNAL-IP および EXTERNAL-IP の値を取得します。

  4. 別のワークロード クラスタの制御プレーン ノードにログインします。

    1. kubectl config use-context CLUSTER-CONTEXT を実行して、コンテキストを別のクラスタに変更します。
    2. kubectl get nodes を実行して、現在のクラスタの制御プレーン ノードの IP アドレスを取得します。
    3. 取得した IP アドレスを使用して、ssh capv@CONTROLPLANE-IP を実行します。
    4. ping を実行して、curl 要求を Web サーバを展開したルーティング可能な IP アドレスに送信し、応答を確認します。
      • ping 出力には、Web サーバのルーティング可能なポッド IP アドレスがソース アドレスとして一覧表示されます。
  5. ブラウザから NSX にログインし、ルーティング可能な IP ポッド用に作成した Tier-1 ゲートウェイに移動します。

  6. [スタティック ルート] をクリックし、ルーティング可能な CLUSTER_CIDR 範囲内に次のルートが作成されていることを確認します。

    1. ワークロード クラスタの制御プレーン ノード内のポッドのルート。制御プレーン ノード自体のアドレスとして ネクスト ホップ が表示されます。
    2. ワークロード クラスタのワーカー ノード内のポッドのルート。ワーカー ノード自体のアドレスとして ネクスト ホップ が表示されます。

ルーティング可能な IP アドレスの削除

ルーティング可能な IP ポッドを含むワークロード クラスタを削除した後、ルーティング可能な IP アドレスを T1 ルーターから削除して解放する必要がある場合があります。

  1. [NSX Manager] > [接続] > [Tier-1 ゲートウェイ] でルーティング可能な IP ゲートウェイを選択します。

  2. [スタティック ルート] でリストを開くルートの数をクリックします。

  3. 削除されたクラスタ名を含むルートを検索し、ルート名の左側にあるメニュー アイコン (縦の省略符号アイコンの分かりやすい表示) から各ルートを削除します。

    1. 権限のエラーにより、メニューからルートを削除できない場合(ルートが証明書によって作成された場合に発生する可能性があります)、API を介してルートを削除します。
      1. ルート名の横にあるメニューから、[クリップボードにパスをコピー] を選択します。
      2. curl -i -k -u 'NSXT_USERNAME:NSXT_PASSWORD' -H 'Content-Type: application/json' -H 'X-Allow-Overwrite: true' -X DELETE https://NSXT_MANAGER_HOST/policy/api/v1/STATIC-ROUTE-PATH を実行します。
        • NSXT_MANAGER_HOSTNSXT_USERNAME、およびNSXT_PASSWORD は、NSX Manager の IP アドレスと認証情報です
        • STATIC_ROUTE_PATH は、クリップボードにコピーしたパスです。名前は /infra/tier-1s/ で始まり、/static-routes/ が含まれます。

CNI のネットワーク ポリシーの設定

ワークロード クラスタが VMware vCenter Server 管理インターフェイスにアクセスできないようにするには、Antrea と Calico CNI に適切なネットワーク ポリシーを設定します。これらのポリシーを構成すると、コンテナ ネットワークから送信されるトラフィックのみがフィルタリングされます。このポリシーは、コンテナ ストレージ インターフェイス (CSI) ポッドとクラウド プロバイダ インターフェイス (CPI) ポッドからのトラフィックを除く、すべてのポッドからのトラフィックをブロックします。

Antrea のクラスタ ネットワーク ポリシーの設定

Antrea のクラスタ ネットワーク ポリシーは、ワークロード クラスタの antrea-policy-csi-cpi.yaml ファイルを使用して設定します。これを行うには、次の手順を実行します。

  1. Tanzu CLI で、ワークロード クラスタのコンテキストに切り替えます。

    kubectl config use-context WORKLOAD-CLUSTER-CONTEXT
    
  2. 次の例に示すように、antrea-policy-csi-cpi.yaml ファイルを作成します。

    apiVersion: crd.antrea.tanzu.vmware.com/v1alpha1
    kind: TierEntitlement
    metadata:
      name: edit-system-tiers
    spec:
      permission: edit
      tiers:
      - emergency
      - securityops
      - networkops
      - platform
    # application and baseline Tiers are not restricted
    ---
    apiVersion: crd.antrea.tanzu.vmware.com/v1alpha1
    kind: TierEntitlementBinding
    metadata:
      name: admin-edit-system-tiers
    spec:
      # Allow only admin to attach Antrea ClusterNetworkPolicy and NetworkPolicy to system Tiers
      subjects:
      - kind: User
        name: admin
      tierEntitlement: edit-system-tiers
    ---
    apiVersion: crd.antrea.io/v1alpha3
    kind: ClusterGroup
    metadata:
      name: vc-ip
    spec:
      ipBlocks:
      - cidr: VC_IP_CIDR # Enter the IP CIDR of vCenter Server, for example 192.168.1.1/3.
    ---
    apiVersion: crd.antrea.io/v1alpha3
    kind: ClusterGroup
    metadata:
      name: csi-cpi-pods
    spec:
      namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: kube-system
        podSelector:
          matchExpressions:
          - key: k8s-app
            operator: In
            values: [vsphere-cloud-controller-manager]
    ---
    apiVersion: crd.antrea.io/v1alpha1
    kind: ClusterNetworkPolicy
    metadata:
      name: allow-csi-cpi-egress-vc
    spec:
      priority: 5
      tier: emergency
      appliedTo:
      - group: csi-cpi-pods
      egress:
      - action: Pass
        to:
        - group: vc-ip
    ---
    apiVersion: crd.antrea.io/v1alpha1
    kind: ClusterNetworkPolicy
    metadata:
      name: drop-egress-vc
    spec:
      priority: 10
      tier: emergency
      appliedTo:
      - namespaceSelector: {}  # Selects all Namespaces in the cluster
      egress:
      - action: Drop
        to:
        - group: vc-ip 
    

    cidr: フィールドに、vCenter Server の IP CIDR を入力します(例:192.168.1.1/32)。

  3. ファイルを適用します。

    kubectl apply -f antrea-policy-csi-cpi.yaml
    

Calico のネットワーク ポリシーの設定

Calico のクラスタ ネットワーク ポリシーは、ワークロード クラスタの gnp.yaml ファイルを使用して設定します。これを行うには、次の手順を実行します。

  1. オペレーティング システムの calicoctl ユーティリティ バイナリを Github の場所からダウンロードします。

  2. システムにユーティリティをインストールします。たとえば、Linux システムにユーティリティをダウンロードしてインストールするには、次を実行します。

    wget https://github.com/projectcalico/calico/releases/download/CALICO-VERSION/calicoctl-linux-amd64
    mv calicoctl-linux-amd64 calicoctl
    chmod +x calicoctl
    
  3. Tanzu CLI で、ワークロード クラスタのコンテキストに切り替えます。

    kubectl config use-context WORKLOAD-CLUSTER-CONTEXT
    
  4. 次の例に示すように、gnp.yaml ファイルを作成します。

    apiVersion: projectcalico.org/v3
    kind: GlobalNetworkPolicy
    metadata:
    name: vcenter-egress-deny-all
    spec:
    order: 1000
    types:
      - Egress
    egress:
      - action: Allow
        destination:
          notNets:
          -  VC_IP_CIDR # Enter the IP CIDR of vCenter Server, for example 192.168.1.1/32.
    
    ---
    apiVersion: projectcalico.org/v3
    kind: GlobalNetworkPolicy
    metadata:
    name: vcenter-egress-allow-csi-cpi
    spec:
    order: 0
    types:
      - Egress
    egress:
      - action: Allow
        source:
          selector: app == 'vsphere-csi-node' || app == 'vsphere-csi-controller' || k8s-app == 'vsphere-cloud-controller-manager'
        destination:
          nets:
          - VC_IP_CIDR # Enter the IP CIDR of vCenter Server, for example 192.168.1.1/32.
    

    notNets: フィールドと nets: フィールドに、vCenter Server の IP CIDR(192.168.1.1/32 など)を入力します。

  5. ファイルを適用します。

    ./calicoctl apply -f gnp.yaml
    
    

Calico のセレクタ オプションの詳細については、Calico ドキュメントの「EntityRule」を参照してください。

check-circle-line exclamation-circle-line close-line
Scroll to top icon