設定網路資源
設定部分網路資源時,您必須注意某些限制。
標記和標籤的限制
標記具有下列限制:
- 標籤範圍限制為 128 個字元。
- 標籤值限制為 256 個字元。
- 每個物件最多可以有 30 個標記。
將 Kubernetes 或 OpenShift 註解複製到
NSX-T Data Center
範圍和標記,並且超過限制時,即可能導致問題。例如,如果某個標籤適用於交換器連接埠但用於防火牆規則,則規則可能不會如預期般加以套用,因為註解金鑰或值在複製到範圍或標籤時已遭到截斷。
標籤具有下列限制:
- 網繭的標籤數目不得超過 25 個。
- 命名空間的標籤數目不得超過 27 個。
- 入口控制器網繭的標籤數目不得超過 24 個。
網路原則
NetworkPolicy
資源具有下列限制:- podSelector或namespaceSelector不可超過 4 個matchLabels。
- 在ingress from區段或egress to區段中,如果您有一個同時指定namespaceSelector和podSelector的單一元素,則namespaceSelector不得選取超過 5 個命名空間。否則會出現錯誤。此類規格的範例 (請注意,podSelector前面沒有連字號):- namespaceSelector: matchLabels: project: myproject podSelector: matchLabels: role: db
- 對於任何入口或出口規則,namespaceSelector加上podSelector的總數不可超過 5 個。例如,不允許下列項目,因為規則總共有 6 個選取器:ingress: - namespaceSelector: matchLabels: project: myproject1 - namespaceSelector: matchLabels: project: myproject2 - namespaceSelector: matchLabels: project: myproject3 - podSelector: matchLabels: role: db - podSelector: matchLabels: role: app - podSelector: matchLabels: role: infra
- 不支援在to.ports區段中具有namedPorts的允許所有出口網路原則。
- 不支援matchExpressions欄位。
- 不支援在protocol欄位中具有 SCTP 的網路原則。
若要解決這些限制,您可以建立具有更具體
matchLabels
的網路原則,或將一個網路原則取代為不要求超過 5 個選取器的數個網路原則。如果 NCP 不支援網路原則,NCP 會將為其加上註解並顯示錯誤。您可以更新網路原則以修正錯誤,而 NCP 將再次處理該錯誤。
在 NCP 3.0.0 及 3.0.1 中,如果網路原則僅指定出口,但未指定入口,則系統會建立防火牆規則以允許所有入口流量。同樣地,如果網路原則僅指定入口,但未指定出口,則系統會建立防火牆規則以允許所有出口流量。
從 NCP 3.0.2 開始,如果網路原則僅指定出口,但未指定入口,則不會為入口流量建立防火牆規則。同樣地,如果網路原則僅指定入口,但未指定出口,則不會為出口流量建立防火牆規則。