Tanzu tkgi mit NSX

Verflixt und zugenäht… Im Homelab rennt auf vSphere 7.U2 ein Workload Cluster für K8s. Da NSX-T im Cluster installiert ist, kommt dies natürlich als Netzwerk und Ingress zum Einsatz.

Nun habe ich für meine Internet Facing Service (wie dieses Blog) natürlich Firewall Regeln erstellt und auch mit NSX Intelligence Security Regeln aktiviert (nämlich Distributed IDS/IPS). Aber jedes mal beim ausrollen eines Helm Charts (für Harbor) oder beim aktivieren interner Dienste (integrated Harbor oder Mini etc.) konnte die Umgebung nicht ausgerollt werden. Das Helm Chart für Harbor beispielsweise meldete nur den Fehler: ErrImagePull

Danke für das Gespräch. Ich habe mit die Logs angesehen und es kam zu Tage, dass die Hosts nicht in der Lage schienen, die Registry zu erreichen, um die Container Images für Harbor zu laden. Tatsächlich war die Internetverbindung aber einwandfrei. Also, woran lag es?

Ich sag mal so: RTFM…

Wenn man IDS/IPS aktiviert hat, funktioniert TKG nicht mehr. Super. Test aufs Exempel. IDS/IPS ausschalten. Deployment funktioniert einwandfrei.

IDS/IPS an, deployment schlägt fehl…
Regelset angepasst, so dass nur noch meine manuell erstellten Segmente gefiltert werden: Deployment läuft….

Merke: IDS/IPS nur für non-kubernetes Segmente aktivieren!!

Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.