設定部分網路資源時,您必須注意某些限制。

標記和標籤的限制

標記具有下列限制:

  • 標籤範圍限制為 128 個字元。
  • 標籤值限制為 256 個字元。
  • 每個物件最多可以有 30 個標記。

將 Kubernetes 或 OpenShift 註解複製到 NSX 範圍和標記,並且超過限制時,即可能導致問題。例如,如果某個標籤適用於交換器連接埠但用於防火牆規則,則規則可能不會如預期般加以套用,因為註解金鑰或值在複製到範圍或標籤時已遭到截斷。

標籤具有下列限制:

  • 網繭的標籤數目不得超過 25 個。
  • 命名空間的標籤數目不得超過 27 個。
  • 入口控制器網繭的標籤數目不得超過 24 個。

網路原則

NetworkPolicy 資源具有下列限制:
  • podSelectornamespaceSelector 不可超過 4 個 matchLabels
  • ingress from 區段或 egress to 區段中,如果您有一個同時指定 namespaceSelectorpodSelector 的單一元素,則 namespaceSelector 不得選取超過 5 個命名空間。否則會出現錯誤。此類規格的範例 (請注意,podSelector 前面沒有連字號):
    - namespaceSelector:
        matchLabels:
          project: myproject
      podSelector:
        matchLabels:
          role: db
  • 對於任何入口或出口規則,namespaceSelector 加上 podSelector 的總數不可超過 5 個。例如,不允許下列項目,因為規則總共有 6 個選取器:
    ingress:
        - namespaceSelector:
            matchLabels:
              project: myproject1
        - namespaceSelector:
            matchLabels:
              project: myproject2
        - namespaceSelector:
            matchLabels:
              project: myproject3
        - podSelector:
            matchLabels:
              role: db
        - podSelector:
            matchLabels:
              role: app
        - podSelector:
            matchLabels:
              role: infra
  • 不支援在 to.ports 區段中具有 namedPorts 的允許所有出口網路原則。
  • 在原則模式中,在 podSelectornamespaceSelector 中指定 matchExpressions 時,最多允許包含一個 In 運算子。如果同時指定 namespaceSelectorpodSelector,則其中一個可以具有最多一個 In 運算子。兩者不得都具有 In 運算子。例如,不允許使用下列規格:
        - namespaceSelector:
            matchExpressions:
            - {key: key1, operator: In, values: [value1]}
          podSelector:
            matchExpressions:
            - {key: key1, operator: In, values: [value1]}
  • 在管理程式模式中,在 podSelectornamespaceSelector 或同時在 namespaceSelectorpodSelector 中指定 matchExpressions 時,對 In 運算子的數量沒有任何限制。
  • 不支援在 protocol 欄位中具有 SCTP 的網路原則。

若要解決這些限制,您可以建立具有更具體 matchLabels 的網路原則,或將一個網路原則取代為不要求超過 5 個選取器的數個網路原則。

如果 NCP 不支援網路原則,NCP 會將為其加上註解並顯示錯誤。您可以更新網路原則以修正錯誤,而 NCP 將再次處理該錯誤。

如果網路原則僅指定出口,但未指定入口,則不會為入口流量建立防火牆規則。同樣地,如果網路原則僅指定入口,但未指定出口,則不會為出口流量建立防火牆規則。

當 NSX 應用程式識別碼防火牆規則套用到 NCP 建立的資源時,僅支援「區段」和「區段連接埠」群組成員資格準則。請注意,僅當 NCP 設定為使用 NSX 原則 API 時,才支援應用程式識別碼防火牆規則功能。