要成功安装 NSX Application Platform 并激活它托管的 NSX 功能,您必须准备部署环境以使其满足所需的最少资源要求。
开始部署 NSX Application Platform 之前,必须满足以下部分中列出的必备条件。
NSX-T Data Center 版本要求
确认您使用的 NSX-T Data Center 产品版本与计划部署的 NSX Application Platform 版本及其相关的 NSX-T Data Center 功能(NSX Intelligence、NSX Network Detection and Response、NSX 恶意软件防护 和 NSX Metrics)兼容。
在 NSX Application Platform 上托管的 NSX-T Data Center 功能的版本需与 NSX Application Platform 版本号相匹配,而不是与 NSX-T Data Center 产品版本号相匹配。
在 NSX 联合环境中,只能在本地管理器上部署 NSX Application Platform。无法使用全局管理器部署 NSX Application Platform。只能使用本地管理器访问 NSX Application Platform。
要确定可使用哪个 NSX-T Data Center 版本部署哪个 NSX Application Platform 版本,请使用以下兼容性列表。
NSX-T Data Center 版本 |
兼容的 NSX Application Platform 版本 |
---|---|
3.2.x |
3.2.0、3.2.1 |
- 如果需要完成全新的 NSX-T Data Center 安装,请参见 VMware NSX 文档集中适用于 3.2.x 或更高版本的 NSX-T Data Center 安装指南,以了解安装说明。
- 有关从早期 NSX Application Platform 版本 3.2.x 安装升级的信息,请参见升级 NSX Application Platform。
- 如果要从未安装 NSX Intelligence 的 NSX-T Data Center 3.1.x 或更低版本进行升级,请参见 VMware NSX 文档集中的NSX-T Data Center 升级指南。
- 如果从安装了 NSX Intelligence 1.2.x 或更低版本的 NSX-T Data Center 3.1.x 或更低版本进行升级,您必须在升级到 NSX Intelligence 3.2.x 和 NSX-T Data Center 3.2.x 之前准备当前的 NSX Intelligence 安装。请参见 VMware NSX Intelligence 文档集中适用于版本 3.2 的激活和升级 VMware NSX Intelligence 文档。
有效 NSX-T 或 NSX Data Center 许可证要求
要部署 NSX Application Platform,在 NSX Application Platform 部署期间,当前正在使用的 NSX Manager 会话必须具有有效的许可证。
有关有效许可证的列表,请参见NSX Application Platform 部署的许可证要求。
有效的 NSX-T Data Center 用户角色
要部署 NSX Application Platform,您必须具有企业管理员角色特权。
有效的 CA 签名证书
-
如果您的 NSX Manager 设备在 NSX Manager Unified Appliance 集群上使用仅具有部分链的 CA 签名证书,必须将该证书替换为完整证书链。有关详细信息,请参见 VMware 知识库文章 78317。
-
使用多个 NSX Manager 设备时,您的环境必须满足以下证书必备条件之一。
-
所有 设备必须共享相同的 SSL 证书。
-
必须为每个设备颁发专用 SSL 证书,其中证书公用名称 (Common Name, CN) 在所有节点中必须是唯一的。
-
在使用虚拟 IP (Virtual IP, VIP) 时,集群证书必须与所有单个设备共享的证书相同,或者在所有节点中必须是唯一的。
-
Kubernetes 集群所需的资源
-
VMware 支持在 Tanzu Kubernetes Grid (TKG) Cluster on Supervisor 或上游 Kubernetes 集群上部署 NSX Application Platform。重要说明: 上游 Kubernetes 是指由云原生计算基金会 (Cloud Native Computing Foundation) 维护的开源 Kubernetes vanilla,并不涵盖下表中未明确列出的任何 Kubernetes 发行版或版本。
有关 TKG Cluster on Supervisor 安装和配置信息,请参见安装和配置 vSphere with Tanzu(版本 8.0)或适用于其他版本的 VMware vSphere 文档网站。
VMware 测试并支持以下版本。NSX Application Platform 版本
TKG Cluster on Supervisor 版本
上游 Kubernetes 集群版本
3.2.0、3.2.1 -
1.17.17、1.18.19(请参见以下说明)
-
1.19.11, 1.20.7, 1.21.2, 1.21.6
1.17, 1.18, 1.19, 1.20, 1.21
注:在 TKG Cluster on Supervisor 1.17.x 和 1.18.x 版上不支持 NSX Application Platform 纵向扩展操作。有关详细信息,请参见无法增加数据存储磁盘的卷大小。
-
-
基础架构管理员必须配置 TKG Cluster on Supervisor 或上游 Kubernetes 集群,您可以在该集群上部署 NSX Application Platform 以及该平台托管的 NSX 功能。必须为 TKG Cluster on Supervisor 或上游 Kubernetes 集群分配足够的资源,才能部署 NSX Application Platform Pod。由于每个受支持的 NSX 功能都有特定的资源要求,因此,请确定您计划使用的托管 NSX 功能。
请参见NSX Application Platform 系统要求主题,以了解有关支持的规格及其资源要求的详细信息。
-
重要说明: 用于 NSX Application Platform 的 Kubernetes 客户机集群必须使用默认服务域 cluster.local。这是默认值,在集群配置中定义:
settings: network: serviceDomain: cluster.local
对于 NSX Application Platform,请勿更改此值或设置非默认服务域。 -
基础架构管理员还必须提前安装和配置以下基础架构。
-
容器网络接口 (Container Network Interface, CNI),例如 Antrea、Calico 和 Flannel。
-
容器存储接口 (Container Storage Interface, CSI)。您必须在 TKG Cluster on Supervisor 或上游 Kubernetes 集群中具有可用的存储类才能置备动态卷。要纵向扩展数据存储卷,存储类必须支持卷大小调整。
-
Internet 访问要求
确保 NSX-T Data Center 系统可以访问 VMware 托管的公共注册表和存储库,您可以从中获取打包的 NSX Application Platform Helm Chart 和 Docker 映像。仅在安装和升级操作期间需要 Internet 直接访问权限。此访问权限仅限于在 TCP 端口 443 (HTTPS) 上对 https://projects.registry.vmware.com 进行出站访问,以便获取 NSX Application Platform 安装 Helm Chart 和 Docker 映像。不需要入站访问权限或永久出站访问权限。
NSX-T Data Center Unified Appliance 虚拟机和 NSX Application Platform 客户机集群工作节点均需要 Internet 出站访问权限。
请注意,如果已使用NSX-T Data Center 环境配置为使用 Internet 代理服务器,则无法使用 Internet 代理服务器部署 NSX Application Platform。如果您的 Kubernetes 集群无权访问 Internet 或您具有安全限制,请参见下一个可选要求以了解具有 Chart 存储库服务的可选专用容器注册表。
选项卡将(可选要求)具有 Chart 存储库服务的专用容器注册表
要简化 NSX Application Platform 部署过程,请使用 VMware 托管的注册表和存储库。此部署过程仅使用出站连接,不会保留客户数据。
(可选)如果您的 Kubernetes 集群无权访问 Internet 或您具有安全限制,基础架构管理员必须设置具有 Chart 存储库服务的专用容器注册表。使用此专用容器注册表上载部署 NSX Application Platform 所需的 NSX Application Platform Helm Chart 和 Docker 映像。VMware 使用 Harbor 验证使用专用容器注册表的部署过程,但是,NSX Application Platform 部署基于标准。请参见将 NSX Application Platform Docker 映像和 Helm Chart 上载到专用容器注册表以了解详细信息。
(可选要求)专用容器注册表的 URL
如果使用的是专用容器注册表,请从基础架构管理员处获取该注册表的 URL。您可以在部署过程中使用此 URL。
所需的 Kubernetes 配置文件
您还必须从基础架构管理员获取 Kubernetes 配置文件。您在 NSX Application Platform 部署期间需要使用 kubeconfig 文件,以便 NSX Manager 安全地访问 TKG Cluster on Supervisor 或上游 Kubernetes 集群。kubeconfig 文件必须具有所有特权才能访问 TKG Cluster on Supervisor 或上游 Kubernetes 集群的所有资源。
VMware vSphere® with Tanzu Kubernetes 客户机集群中的默认 kubeconfig 文件包含一个令牌,默认情况下,该令牌在 10 小时后过期。虽然此过期令牌不会影响功能,但它会导致显示有关过期凭据的警告消息。为避免出现该警告,在 TKG Cluster on Supervisor 上部署 NSX Application Platform 之前,请与基础架构管理员一起创建可在平台部署期间使用的长期令牌。有关如何提取令牌的详细信息,请参见使用未过期的令牌生成 TKG Cluster on Supervisor 配置文件。
所需的服务名称或接口服务名称 (FQDN)
在 NSX Application Platform 部署期间,您可以在 NSX-T Data Center 3.2.0 部署中为服务名称文本框或者在 NSX-T Data Center 3.2.1 或更高版本部署中为接口服务名称文本框提供完全限定域名 (Fully Qualified Domain Name, FQDN)。
服务名称或接口服务名称值用作 HTTPS 端点以连接到 NSX Application Platform。
要获取 FQDN 值,请使用以下工作流之一。
-
在部署 NSX Application Platform 之前,您必须为 FQDN 配置 DNS 服务器中的静态 IP 地址。TKG Cluster on Supervisor 或上游 Kubernetes 集群基础架构必须能够分配静态 IP 地址。以下是支持的 Kubernetes 环境。
-
MetalLB - 上游 Kubernetes 集群的外部负载均衡器。
-
VMware Tanzu® Kubernetes for VMware vSphere® 7.0 U2 以及具有 NSX-T Data Center 的 VMware vSphere 7.0 U3。
-
使用 vSphere 网络的 VMware vSphere with Tanzu。有关详细信息,请参见 VMware vSphere 文档《使用 vSphere 网络启用工作负载管理》。
-
-
如果您已安装外部 DNS(请参见 Kubernetes SIG - 外部 DNS 网页),您只需在系统提示输入服务名称时提供 FQDN。Kubernetes 基础架构自动为 FQDN 配置 DNS 服务器中的动态 IP 地址。
安装了外部 DNS 的工作负载控制平面 (Workload Control Plane, WCP) 是支持的 Kubernetes 环境。
所需的消息传递服务名称(适用于 NSX-T Data Center 3.2.1 或更高版本的部署)
“消息传递服务名称”值是用于从 NSX-T Data Center 数据源接收简化数据的 HTTPS 端点的 FQDN。
所需的端口和协议
验证是否打开了 Kubernetes 集群主机上的所需端口以供 NSX Application Platform 访问。请参见 VMware Ports and Protocols 网页。
来自 Kubernetes 集群节点的所需通信
确认您所使用的 Kubernetes 集群节点可以访问 NSX Manager 设备。
系统时间同步要求
将 TKG Cluster on Supervisor 或上游 Kubernetes 集群节点上的系统时间与 NSX Manager 设备同步。