設定部分網路資源時,應該注意某些限制。

NSX-T Data Center 標記限制

NSX-T Data Center 對於標記物件具有下列限制:

  • 範圍限制為 128 個字元。
  • 標記限制為 256 個字元。
  • 每個物件最多可以有 30 個標記。

將 Kubernetes 或 OpenShift 註解複製到 NSX-T Data Center 範圍和標記,並且超過限制時,即可能導致問題。例如,如果某個標記適用於交換器連接埠但用於防火牆規則,則規則可能不會如預期般加以套用,因為註解金鑰或值在複製到範圍或標記時已遭到截斷。

設定網路原則

網路原則使用標籤選取器選取網繭或命名空間。

NCP 的網路原則支援與 Kubernetes 所提供的支援相同,視 Kubernetes 版本而定。

  • Kubernetes 1.11 - 您可以指定下列規則選取器:
    • podSelector:此選取器會選取建立網路原則所在命名空間中的所有網繭。
    • namespaceSelector:此選取器會選取所有命名空間。
    • podSelector AND namespaceSelector:此選取器會選取 namespaceSelector 所選取命名空間中的所有網繭。
    • ipBlockSelector:如果 ipBlockSelectornamespaceSelectorpodSelector 組合使用,網路原則將無效。ipBlockSelector 必須獨立存在於原則規格中。
  • Kubernetes 1.10 - 網路原則中的規則子句可包含 namespaceSelectorpodSelectoripBlock 中的最多一個選取器。

Kubernetes API 伺服器不會執行網路原則規格驗證。可能會建立無效的網路原則。NCP 會拒絕此類網路原則。如果您更新該網路原則使其有效,NCP 仍不會處理該網路原則。您必須刪除該網路原則,並重新建立一個具有有效規格的網路原則。