從 VMware Cloud Director 10.2.2 開始,預設只能從建立叢集之相同組織虛擬資料中心內的網路 IP 子網路連線到 Tanzu Kubernetes 叢集。如有必要,您可以手動設定對 Tanzu Kubernetes 叢集中特定服務的外部存取權。
向組織 VDC 發佈 VDC Kubernetes 原則後,將自動在叢集 Edge 閘道上部署防火牆原則,以允許從 VDC 內的授權來源存取該叢集。此外,還會自動向組織 VDC 內的 NSX Edge 閘道新增系統 SNAT 規則,以確保組織 VDC 內的工作負載可連線至叢集 Edge 閘道。
除非系統管理員從 VDC 刪除 Kubernetes 原則,否則無法移除叢集 Edge 閘道上佈建的防火牆原則以及 NSX Edge 閘道上的 SNAT 規則。
如有必要,您可以手動設定從外部網路存取 Tanzu Kubernetes 叢集中的特定服務。若要執行此操作,您必須在 NSX Edge 閘道上建立 DNAT 規則,以確保來自外部位置的流量會轉送至叢集 Edge 閘道。
從 VMware Cloud Director 10.3 開始,Tanzu Kubernetes 叢集支援 NSX 群組網路。如果已建立叢集的組織 VDC 屬於具有 Edge 閘道的 NSX 群組,而該 Edge 閘道在群組中的 VDC 之間共用,則位於此群組內其他 VDC 中的虛擬機器可以連線到 Tanzu Kubernetes 叢集。若要提供從叢集到資料中心群組中其他 VDC 中虛擬機器的網路存取權,則需要在資料中心群組的 NSX Edge 閘道上手動設定 DNAT 規則。
必要條件
- 確認您的雲端基礎結構受 vSphere 7.0 Update 1C、7.0 Update 2 或更新版本支援。連絡您的系統管理員。
- 確認您是組織管理員。
- 確認您的系統管理員已在 Tanzu Kubernetes 叢集所在的組織虛擬資料中心內建立 NSX Edge 閘道。
- 確認要用於服務的公用 IP 位址已配置給您要新增 DNAT 規則的 Edge 閘道介面。
- 使用
kubectl
命令列工具的get services my-service
命令擷取要公開之服務的外部 IP。
程序
- 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道索引標籤。
- 按一下 Edge 閘道,然後在服務下,按一下 NAT。
- 若要新增規則,請按一下新增。
- 針對要連線至外部網路的服務設定 DNAT 規則。
選項 描述 名稱 為規則輸入有意義的名稱。 描述 (選擇性) 為規則輸入說明。 狀態 若要在建立時啟用規則,請開啟狀態切換按鈕。 介面類型 從下拉式功能表中,選取 [DNAT]。 外部 IP 輸入服務的公用 IP 位址。 您輸入的 IP 位址必須屬於 NSX Edge 閘道的子配置 IP 範圍。
應用程式 將方塊保留空白。 內部 IP 輸入從 Kubernetes 入口集區配置的服務 IP 位址。 內部連接埠 (選擇性) 輸入將輸入流量導向到的連接埠號碼。 記錄 (選擇性) 若要記錄此規則執行的位址轉譯,請開啟記錄選項。 - 按一下儲存。