NSX Container Plugin (NCP) 提供 NSX-T Data Center 和容器协调器(如 Kubernetes)之间的集成,以及 NSX-T Data Center 和基于容器的 PaaS(平台即服务)的软件产品(如 OpenShift)之间的集成。

本指南介绍了如何使用 OpenShift 4 设置 NCP。要使用 OpenShift 3 设置 NCP,请参阅本指南的 NCP 2.5 版本。

NCP 的主要组件在容器中运行,并与 NSX Manager 和 OpenShift 控制平面进行通信。NCP 通过调用 NSX-T 策略 API 来监控对容器和其他资源的更改以及管理网络资源,如容器的逻辑端口、交换机、路由器和安全组。

NSX CNI 插件在每个 OpenShift 节点上运行。它监控容器生命周期事件,将容器接口连接到客户机 vSwitch,并对客户机 vSwitch 进行编程以标记和转发容器接口和 vNIC 之间的容器流量。

NCP 提供了以下功能:
  • 自动为 OpenShift 集群创建 NSX-T 逻辑拓扑,并为每个 OpenShift 命名空间创建一个单独的逻辑网络。
  • 将 OpenShift pod 连接到逻辑网络,并分配 IP 和 MAC 地址。
  • 支持网络地址转换 (NAT) 并为每个 OpenShift 命名空间分配一个单独的 SNAT IP。
    注: 配置 NAT 时,转换后 IP 的总数不能超过 1000。
  • 使用 NSX-T 分布式防火墙实现 OpenShift 网络策略。
    • 支持输入和输出网络策略。
    • 支持网络策略中的 IPBlock 选择器。
    • 为网络策略指定标签选择器时,支持 matchLabelsmatchExpression
  • 使用 NSX-T 第 7 层负载均衡器实现 OpenShift 路由。
    • 通过 TLS Edge 终止支持 HTTP 路由和 HTTPS 路由。
    • 支持具有备用后端和通配符子域的路由。
  • 在 NSX-T 逻辑交换机端口上为命名空间、pod 名称和 pod 标签创建标记,并允许管理员根据标记定义 NSX-T Data Center 安全组和策略。