VMware NSX Container Plugin 3.0

3.0 3.2 3.1 4.0 4.1 4.2
简体中文 Deutsch Español Français Italiano 日本語 한국어 繁體中文 English

設定網路資源

設定部分網路資源時,您必須注意某些限制。

標記和標籤的限制

標記具有下列限制:
  • 標籤範圍限制為 128 個字元。
  • 標籤值限制為 256 個字元。
  • 每個物件最多可以有 30 個標記。
將 Kubernetes 或 OpenShift 註解複製到
NSX-T Data Center
 範圍和標記,並且超過限制時,即可能導致問題。例如,如果某個標籤適用於交換器連接埠但用於防火牆規則,則規則可能不會如預期般加以套用,因為註解金鑰或值在複製到範圍或標籤時已遭到截斷。
標籤具有下列限制:
  • 網繭的標籤數目不得超過 25 個。
  • 命名空間的標籤數目不得超過 27 個。
  • 入口控制器網繭的標籤數目不得超過 24 個。

網路原則

NetworkPolicy
 資源具有下列限制:
  • podSelector
    namespaceSelector
     不可超過 4 個
    matchLabels
  • ingress from
     區段或
    egress to
     區段中,如果您有一個同時指定
    namespaceSelector
    podSelector
     的單一元素,則
    namespaceSelector
     不得選取超過 5 個命名空間。否則會出現錯誤。此類規格的範例 (請注意,
    podSelector
     前面沒有連字號):
    - namespaceSelector:
    matchLabels:
      project: myproject
  podSelector:
    matchLabels:
      role: db
  • 對於任何入口或出口規則,
    namespaceSelector
     加上
    podSelector
     的總數不可超過 5 個。例如,不允許下列項目,因為規則總共有 6 個選取器:
    ingress:
    - namespaceSelector:
        matchLabels:
          project: myproject1
    - namespaceSelector:
        matchLabels:
          project: myproject2
    - namespaceSelector:
        matchLabels:
          project: myproject3
    - podSelector:
        matchLabels:
          role: db
    - podSelector:
        matchLabels:
          role: app
    - podSelector:
        matchLabels:
          role: infra
  • 不支援在
    to.ports
     區段中具有
    namedPorts
     的允許所有出口網路原則。
  • 不支援
    matchExpressions
     欄位。
  • 不支援在
    protocol
     欄位中具有 SCTP 的網路原則。
若要解決這些限制,您可以建立具有更具體
matchLabels
 的網路原則,或將一個網路原則取代為不要求超過 5 個選取器的數個網路原則。
如果 NCP 不支援網路原則,NCP 會將為其加上註解並顯示錯誤。您可以更新網路原則以修正錯誤,而 NCP 將再次處理該錯誤。
在 NCP 3.0.0 及 3.0.1 中,如果網路原則僅指定出口,但未指定入口,則系統會建立防火牆規則以允許所有入口流量。同樣地,如果網路原則僅指定入口,但未指定出口,則系統會建立防火牆規則以允許所有出口流量。
從 NCP 3.0.2 開始,如果網路原則僅指定出口,但未指定入口,則不會為入口流量建立防火牆規則。同樣地,如果網路原則僅指定入口,但未指定出口,則不會為出口流量建立防火牆規則。

Content feedback and comments