Em um ambiente vSphere with Tanzu, um Supervisor pode usar uma pilha de rede VDS ou NSX para fornecer conectividade a Supervisor VMs, serviços e cargas de trabalho do plano de controle. Quando um Supervisor é configurado com a pilha de rede VDS, todos os hosts do Supervisor são conectados a um VDS que fornece conectividade a cargas de trabalho e Supervisor VMs do plano de controle. Um Supervisor que usa a pilha de rede VDS requer um balanceador de carga na rede de gerenciamento vCenter Server para fornecer conectividade a usuários de DevOps e serviços externos. Um Supervisor configurado com NSX usa as redes baseadas em software da solução, bem como um balanceador de carga NSX Edge para fornecer conectividade a serviços externos e usuários de DevOps.

Supervisor Rede com VDS

Em um Supervisor que é apoiado por VDS como a pilha de rede, todos os hosts dos clusters vSphere que apoiam o Supervisor devem estar conectados ao mesmo VDS. O Supervisor usa grupos de portas distribuídos como redes de carga de trabalho para cargas de trabalho do Kubernetes e o tráfego do plano de controle. Você atribui redes de carga de trabalho a namespaces no arquivo Supervisor.

Dependendo da topologia que você implementa para o Supervisor, você pode usar um ou mais grupos de portas distribuídos como redes de carga de trabalho. A rede que fornece conectividade às VMs do plano de controle Supervisor é chamada de rede de carga de trabalho primária. Você pode atribuir essa rede a todos os namespaces no Supervisor ou pode usar redes diferentes para cada namespace. Os clusters Tanzu Kubernetes Grid se conectam à Workload Network que está designada ao namespace no qual os clusters residem.

Um Supervisor com suporte de um VDS usa um balanceador de carga para fornecer conectividade a usuários de DevOps e serviços externos. Você pode usar o balanceador de carga NSX Advanced Load Balancer ou HAProxy.

Para obter mais informações, consulte Instalar e configurar o NSX Advanced Load Balancer e Instalar e configurar o balanceador de carga do HAProxy.

Em uma configuração de cluster único Supervisor, o Supervisor é apoiado por apenas um cluster vSphere. Todos os hosts do cluster devem estar conectados a um VDS.

Figura 1. Rede de cluster único Supervisor com VDS

Arquitetura de rede de um Supervisor configurado com a pilha de rede VDS.

Em um Supervisor de três zonas, você implanta o Supervisor em três zonas vSphere, cada uma mapeada para um cluster vSphere. Todos os hosts desses clusters vSphere devem estar conectados ao mesmo VDS. Todos os servidores físicos devem estar conectados a um dispositivo L2. As redes de carga de trabalho que você configura para o namespace abrangem todas as três zonas vSphere.

Figura 2. Rede de três zonas Supervisor com VDS

Arquitetura de rede de um Supervisor em execução em três zonas vSphere, em que cada rede de carga de trabalho abrange todas as três zonas.

Supervisor Rede com NSX

NSX fornece conectividade de rede para os objetos dentro do Supervisor e das redes externas. A conectividade com os hosts ESXi que compõem o cluster é tratada pelas redes vSphere padrão.

Você também pode configurar a rede Supervisor manualmente usando uma implantação NSX existente ou implantando uma nova instância de NSX.

Figura 3. Supervisor em rede com NSX
Arquitetura de rede de um Supervisor configurado com a pilha de rede NSX.
  • O NSX Container Plugin (NCP) fornece integração entre o NSX e o Kubernetes. O componente principal do NCP é executado em um contêiner e se comunica com NSX Manager e com o plano de controle do Kubernetes. O NCP monitora as alterações em contêineres e outros recursos e gerencia os recursos de rede, como portas lógicas, segmentos, roteadores e grupos de segurança para os contêineres, chamando o método NSX API.

    O NCP cria um gateway de camada 1 compartilhado para namespaces do sistema e um gateway de camada 1 e um balanceador de carga para cada namespace, por padrão. O gateway de camada 1 está conectado ao gateway de camada 0 e a um segmento padrão.

    Os namespaces do sistema são namespaces usados pelos principais componentes que são essenciais para o funcionamento dos clustersSupervisor e Tanzu Kubernetes Grid. Os recursos de rede compartilhada que incluem o gateway de camada 1, o balanceador de carga e o IP SNAT são agrupados em um namespace do sistema.

  • NSX Edge fornece conectividade de redes externas para objetos Supervisor. O cluster NSX Edge tem um balanceador de carga que fornece uma redundância para os servidores da API Kubernetes que residem nas VMs do plano de controle Supervisor e qualquer aplicativo que deva ser publicado e estar acessível de fora do Supervisor.
  • Um gateway de nível 0 está associado ao cluster NSX Edge para fornecer roteamento para a rede externa. A interface de uplink usa o protocolo de roteamento dinâmico, BGP ou roteamento estático.
  • Cada vSphere Namespace tem uma rede separada e um conjunto de recursos de rede compartilhados por aplicativos dentro do namespace, como gateway de camada 1, serviço de balanceador de carga e endereço IP SNAT.
  • Cargas de trabalho em execução em vSphere Pods, VMs normais ou clusters Tanzu Kubernetes Grid, que estão no mesmo namespace, compartilham um mesmo IP SNAT para conectividade Norte-Sul.
  • As cargas de trabalho em execução nos clusters vSphere Pods ou Tanzu Kubernetes Grid terão a mesma regra de isolamento implementada pelo firewall padrão.
  • Um IP SNAT separado não é necessário para cada namespace Kubernetes. A conectividade Leste-Oeste entre namespaces não será SNAT.
  • Os segmentos para cada namespace residem no VDS funcionando no modo Padrão associado ao cluster NSX Edge. O segmento fornece uma rede de sobreposição para o Supervisor.
  • Supervisors têm segmentos separados no gateway de camada 1 compartilhado. Para cada cluster Tanzu Kubernetes Grid, os segmentos são definidos no gateway de camada 1 do namespace.
  • Os processos do Spherelet em cada ESXi hosts se comunicam com vCenter Server por meio de uma interface na Rede de Gerenciamento.

Em um Supervisor de três zonas configurado com NSX como a pilha de rede, todos os hosts de todos os três clusters vSphere mapeados para as zonas devem estar conectados ao mesmo VDS e participar da mesma Sobreposição de NSX Zona de Transporte. Todos os hosts devem estar conectados ao mesmo dispositivo físico L2.

Figura 4. Rede de três zonas Supervisor com NSX

Arquitetura de rede de um Supervisor com rede NSX, em execução em três zonas. Os segmentos para redes de carga de trabalho abrangem todas as três zonas.

Métodos de configuração de rede com NSX

Supervisor usa uma configuração de rede com opinião. Existem dois métodos para configurar a rede Supervisor com NSX que resultam na implantação do mesmo modelo de rede para um Supervisor de zona única:
  • A maneira mais simples de configurar a rede Supervisor é usando o VMware Cloud Foundation SDDC Manager. Para obter mais informações, consulte a documentação VMware Cloud Foundation SDDC Manager. Para obter informações, consulte Como trabalhar com o gerenciamento de carga de trabalho.
  • Você também pode configurar a rede Supervisor manualmente usando uma implantação NSX existente ou implantando uma nova instância de NSX. Consulte Instalar e configurar NSX para vSphere with Tanzu para obter mais informações.