从 NCP 2.5.1 开始,您可以创建 CRD (CustomResourceDefinition) 来监控 NSX 负载均衡器的使用情况,以及创建额外的 NSX 第 7 层负载均衡器来处理默认负载均衡器无法处理的 Ingress 工作负载。这些 CRD 不会用于缩放为 Kubernetes LoadBalancer 服务创建的第 4 层负载均衡器。
- NSXLoadBalancerMonitor - 此 CRD 用于报告 NSX 负载均衡器的使用情况统计信息。
- LoadBalancer - 此 CRD 用于创建新的 NSX 负载均衡器。此资源的定义位于 NCP YAML 文件中。这是集群范围的资源,并且未绑定到特定的命名空间。
要启用此功能,必须在 NCP YAML 文件中,将 k8s 部分中的 enable_lb_crd 选项设置为 True,并将 policy_nsxapi 选项设置为 False。因此,您必须使用管理器 UI 和 API 来配置 NSX-T 资源。
apiVersion: vmware.com/v1alpha1
kind: LoadBalancer
metadata:
name: cluster1-lbs0
spec:
httpConfig: {}
此 YAML 文件将创建小型的 NSX 负载均衡器,并创建一对无持久性、SSL 或 X 转发设置的第 7 层虚拟服务器。虚拟服务器的 IP 从为负载均衡器配置的默认外部池进行分配。默认情况下,端口为 80 和 443。
kubectl get lb <name of the LoadBalancer> -o yaml
status: conditions: - status: "True" type: Ready httpVirtualIP: <realized virtual IP>
此结果表示创建成功。如果创建失败,status 将为 "False",并且不会提供虚拟 IP。
spec:
httpConfig:
virtualIP: <ip address, default to auto-allocate>
port: <port number, default to 80>
spec:
httpConfig:
xForwardedFor: <INSERT or REPLACE, default to None>
affinity:
type: <source_ip or cookie, default to None>
timeout: <timeout number, default to 10800>
spec:
httpConfig:
tls:
port: <tls port number, default to 443>
secretName: <name of secret, default to None>
secretNamespace: <namespace of secret, default to None>
curl -I -HHost:tea.example.com http://$INGRESS_IP:$CRD_LB_HTTP_PORT/tea
您可以在创建 LoadBalancer 之前或之后创建密钥。要更新证书,请先移除 LoadBalancer 规范中的 secretName 和 secretNamespace,更新密钥的数据,然后使用上述配置重新附加相同的密钥。或者,也可以通过创建新密钥并更新 secretName 和 secretNamespace 来实现此目的。请注意,不支持在不同的 CRD 负载均衡器之间共享相同的密钥数据。您必须使用不同的证书配置 CRD 负载均衡器。
kubectl get lbm
- 使用情况 - NSX 负载均衡器上的工作负载数量。
- 流量 - 每个虚拟服务器的汇总统计信息。
- 运行状况 - 此字段有两个维度:
- servicePressureIndex - 此维度表示负载均衡器的性能。它提供了两个值:评分和严重性。
- infraPressureIndex - 此维度表示底层基础架构组件的性能。在 NCP 2.5.1 中,此值并非始终准确。
- 字段 metrics 为计算运行状况评分时考虑的参数提供了相关概念。
当负载均衡器的 servicePressureIndex 为 HIGH 时,您可以将 Ingress 工作负载迁移到其他负载均衡器,该负载均衡器必须是默认负载均衡器或使用 LoadBalancer CRD 创建的负载均衡器。
annotations: nsx/loadbalancer: <name of the LoadBalancer CRD>
如果缺少该注释或将该注释设置为 null,则会将 Ingress 放置在默认的 NSX 负载均衡器上。
