設定網路資源

設定部分網路資源時,您必須注意某些限制。

標記和標籤的限制

標記具有下列限制:
  • 標籤範圍限制為 128 個字元。
  • 標籤值限制為 256 個字元。
  • 每個物件最多可以有 30 個標記。
將 Kubernetes 或 OpenShift 註解複製到
NSX-T Data Center
範圍和標記,並且超過限制時,即可能導致問題。例如,如果某個標籤適用於交換器連接埠但用於防火牆規則,則規則可能不會如預期般加以套用,因為註解金鑰或值在複製到範圍或標籤時已遭到截斷。
標籤具有下列限制:
  • 網繭的標籤數目不得超過 25 個。
  • 命名空間的標籤數目不得超過 27 個。
  • 入口控制器網繭的標籤數目不得超過 24 個。

網路原則

NetworkPolicy
資源具有下列限制:
  • podSelector
    namespaceSelector
    不可超過 4 個
    matchLabels
  • ingress from
    區段或
    egress to
    區段中,如果您有一個同時指定
    namespaceSelector
    podSelector
    的單一元素,則
    namespaceSelector
    不得選取超過 5 個命名空間。否則會出現錯誤。此類規格的範例 (請注意,
    podSelector
    前面沒有連字號):
    - namespaceSelector: matchLabels: project: myproject podSelector: matchLabels: role: db
  • 對於任何入口或出口規則,
    namespaceSelector
    加上
    podSelector
    的總數不可超過 5 個。例如,不允許下列項目,因為規則總共有 6 個選取器:
    ingress: - namespaceSelector: matchLabels: project: myproject1 - namespaceSelector: matchLabels: project: myproject2 - namespaceSelector: matchLabels: project: myproject3 - podSelector: matchLabels: role: db - podSelector: matchLabels: role: app - podSelector: matchLabels: role: infra
  • 不支援在
    to.ports
    區段中具有
    namedPorts
    的允許所有出口網路原則。
  • 不支援
    matchExpressions
    欄位。
  • 不支援在
    protocol
    欄位中具有 SCTP 的網路原則。
若要解決這些限制,您可以建立具有更具體
matchLabels
的網路原則,或將一個網路原則取代為不要求超過 5 個選取器的數個網路原則。
如果 NCP 不支援網路原則,NCP 會將為其加上註解並顯示錯誤。您可以更新網路原則以修正錯誤,而 NCP 將再次處理該錯誤。
在 NCP 3.0.0 及 3.0.1 中,如果網路原則僅指定出口,但未指定入口,則系統會建立防火牆規則以允許所有入口流量。同樣地,如果網路原則僅指定入口,但未指定出口,則系統會建立防火牆規則以允許所有出口流量。
從 NCP 3.0.2 開始,如果網路原則僅指定出口,但未指定入口,則不會為入口流量建立防火牆規則。同樣地,如果網路原則僅指定入口,但未指定出口,則不會為出口流量建立防火牆規則。