設定部分網路資源時,您必須注意某些限制。
標記和標籤的限制
標記具有下列限制:
- 標籤範圍限制為 128 個字元。
- 標籤值限制為 256 個字元。
- 每個物件最多可以有 30 個標記。
將 Kubernetes 或 OpenShift 註解複製到 NSX 範圍和標記,並且超過限制時,即可能導致問題。例如,如果某個標籤適用於交換器連接埠但用於防火牆規則,則規則可能不會如預期般加以套用,因為註解金鑰或值在複製到範圍或標籤時已遭到截斷。
標籤具有下列限制:
- 網繭的標籤數目不得超過 25 個。
- 命名空間的標籤數目不得超過 27 個。
- 入口控制器網繭的標籤數目不得超過 24 個。
網路原則
NetworkPolicy 資源具有下列限制:
- podSelector 或 namespaceSelector 不可超過 4 個 matchLabels。
- 在 ingress from 區段或 egress to 區段中,如果您有一個同時指定 namespaceSelector 和 podSelector 的單一元素,則 namespaceSelector 不得選取超過 5 個命名空間。否則會出現錯誤。此類規格的範例 (請注意,podSelector 前面沒有連字號):
- namespaceSelector: matchLabels: project: myproject podSelector: matchLabels: role: db - 對於任何入口或出口規則,namespaceSelector 加上 podSelector 的總數不可超過 5 個。例如,不允許下列項目,因為規則總共有 6 個選取器:
ingress: - namespaceSelector: matchLabels: project: myproject1 - namespaceSelector: matchLabels: project: myproject2 - namespaceSelector: matchLabels: project: myproject3 - podSelector: matchLabels: role: db - podSelector: matchLabels: role: app - podSelector: matchLabels: role: infra - 不支援在 to.ports 區段中具有 namedPorts 的允許所有出口網路原則。
- 在原則模式中,在 podSelector 或 namespaceSelector 中指定 matchExpressions 時,最多允許包含一個 In 運算子。如果同時指定 namespaceSelector 和 podSelector,則其中一個可以具有最多一個 In 運算子。兩者不得都具有 In 運算子。例如,不允許使用下列規格:
- namespaceSelector: matchExpressions: - {key: key1, operator: In, values: [value1]} podSelector: matchExpressions: - {key: key1, operator: In, values: [value1]} - 在管理程式模式中,在 podSelector、namespaceSelector 或同時在 namespaceSelector 和 podSelector 中指定 matchExpressions 時,對 In 運算子的數量沒有任何限制。
- 不支援在 protocol 欄位中具有 SCTP 的網路原則。
若要解決這些限制,您可以建立具有更具體 matchLabels 的網路原則,或將一個網路原則取代為不要求超過 5 個選取器的數個網路原則。
如果 NCP 不支援網路原則,NCP 會將為其加上註解並顯示錯誤。您可以更新網路原則以修正錯誤,而 NCP 將再次處理該錯誤。
如果網路原則僅指定出口,但未指定入口,則不會為入口流量建立防火牆規則。同樣地,如果網路原則僅指定入口,但未指定出口,則不會為出口流量建立防火牆規則。
當 NSX 應用程式識別碼防火牆規則套用到 NCP 建立的資源時,僅支援「區段」和「區段連接埠」群組成員資格準則。請注意,僅當 NCP 設定為使用 NSX 原則 API 時,才支援應用程式識別碼防火牆規則功能。
