일부 네트워크 리소스의 경우 특정 제한 사항을 숙지한 후 구성해야 합니다.

NSX-T Data Center 태깅 제한

NSX-T Data Center에서 개체를 태깅할 때는 다음과 같은 제한이 적용됩니다.

  • 범위는 128자로 제한됩니다.
  • 태그는 256자로 제한됩니다.
  • 각 개체는 최대 30개의 태그를 가질 수 있습니다.

Kubernetes 또는 OpenShift 주석을 NSX-T Data Center 범위 및 태그에 복사할 때 이러한 제한이 초과되면 문제가 발생할 수 있습니다. 예를 들어 스위치 포트에 대한 태그가 방화벽 규칙에 사용되는 경우 주석 키나 값을 범위 또는 태그에 복사할 때 해당하는 주석 키나 값이 잘리면 규칙이 예상한 대로 적용되지 않을 수 있습니다.

네트워크 정책 구성

네트워크 정책은 레이블 선택기를 사용하여 포드 또는 네임스페이스를 선택합니다.

NCP에서 지원하는 네트워크 정책은 Kubernetes에서 지원하는 네트워크 정책과 동일하며, 이는 Kubernetes 버전에 따라 다릅니다.

  • Kubernetes 1.11 - 다음 규칙 선택기를 지정할 수 있습니다.
    • podSelector: 네트워크 정책이 생성된 네임스페이스에 있는 모든 포드를 선택합니다.
    • namespaceSelector: 모든 네임스페이스를 선택합니다.
    • podSelector AND namespaceSelector: namespaceSelector로 선택한 네임스페이스에 있는 모든 포드를 선택합니다.
    • ipBlockSelector: ipBlockSelectornamespaceSelector 또는 podSelector와 결합하면 네트워크 정책이 올바르지 않습니다. ipBlockSelector는 정책 규격에 단독으로 사용해야 합니다.
  • Kubernetes 1.10 - 네트워크 정책의 규칙 절에 namespaceSelector, podSelectoripBlock 선택기를 최대 하나만 포함할 수 있습니다.

Kubernetes API 서버는 네트워크 정책 규격에 대한 검증을 수행하지 않습니다. 따라서 잘못된 네트워크 정책을 생성할 가능성이 있습니다. NCP는 이러한 네트워크 정책을 거부합니다. 네트워크 정책을 업데이트하여 올바르게 만들더라도 NCP가 해당 네트워크 정책을 처리하지 않습니다. 이 경우에는 네트워크 정책을 삭제한 후 규격이 올바른 네트워크 정책을 다시 생성해야 합니다.