VMware Cloud Director 10.2.2 開始,預設只能從建立叢集之相同組織虛擬資料中心內的網路 IP 子網路連線到 Tanzu Kubernetes 叢集。如有必要,您可以手動設定對 Tanzu Kubernetes 叢集中特定服務的外部存取權。

向組織 VDC 發佈 VDC Kubernetes 原則後,將自動在叢集 Edge 閘道上部署防火牆原則,以允許從 VDC 內的授權來源存取該叢集。此外,還會自動向組織 VDC 內的 NSX-T Data Center Edge 閘道新增系統 SNAT 規則,以確保組織 VDC 內的工作負載可連線至叢集 Edge 閘道。

除非系統管理員從 VDC 刪除 Kubernetes 原則,否則無法移除叢集 Edge 閘道上佈建的防火牆原則以及 NSX-T Data Center Edge 閘道上的 SNAT 規則。

如有必要,您可以手動設定從外部網路存取 Tanzu Kubernetes 叢集中的特定服務。若要執行此操作,您必須在 NSX-T Data Center Edge 閘道上建立 DNAT 規則,以確保來自外部位置的流量會轉送至叢集 Edge 閘道。

VMware Cloud Director 10.3 開始,Tanzu Kubernetes 叢集支援 NSX-T Data Center 群組網路。如果已建立叢集的組織 VDC 屬於具有 Edge 閘道的 NSX-T Data Center 群組,而該 Edge 閘道在群組中的 VDC 之間共用,則位於此群組內其他 VDC 中的虛擬機器可以連線到 Tanzu Kubernetes 叢集。若要提供從叢集到資料中心群組中其他 VDC 中虛擬機器的網路存取權,則需要在資料中心群組的 NSX-T Data Center Edge 閘道上手動設定 DNAT 規則。

必要條件

  • 確認您的雲端基礎結構受 vSphere 7.0 Update 1C、7.0 Update 2 或更新版本支援。連絡您的系統管理員
  • 確認您是組織管理員
  • 確認您的系統管理員已在 Tanzu Kubernetes 叢集所在的組織虛擬資料中心內建立 NSX-T Data Center Edge 閘道。
  • 確認要用於服務的公用 IP 位址已配置給您要新增 DNAT 規則的 Edge 閘道介面。
  • 使用 kubectl 命令列工具的 get services my-service 命令擷取要公開之服務的外部 IP。

程序

  1. 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道索引標籤。
  2. 按一下 Edge 閘道,然後在服務下,按一下 NAT
  3. 若要新增規則,請按一下新增
  4. 針對要連線至外部網路的服務設定 DNAT 規則。
    選項 描述
    名稱 為規則輸入有意義的名稱。
    描述 (選擇性) 為規則輸入說明。
    狀態 若要在建立時啟用規則,請開啟狀態切換按鈕。
    介面類型 從下拉式功能表中,選取 [DNAT]。
    外部 IP 輸入服務的公用 IP 位址。

    您輸入的 IP 位址必須屬於 NSX-T Data Center Edge 閘道的子配置 IP 範圍。
    應用程式 將方塊保留空白。
    內部 IP 輸入從 Kubernetes 入口集區配置的服務 IP 位址。
    內部連接埠 (選擇性) 輸入將輸入流量導向到的連接埠號碼。
    記錄 (選擇性) 若要記錄此規則執行的位址轉譯,請開啟記錄選項。
  5. 按一下儲存

下一步

如果您要提供從外部網路到發佈為 Kubernetes 服務之其他應用程式的存取權,則必須為每個應用程式設定其他 DNAT 規則。