要成功安装 NSX Application Platform 并激活它托管的 NSX 功能,您必须准备部署环境以使其满足所需的最少资源要求。

开始部署 NSX Application Platform 之前,必须满足以下部分中列出的必备条件。

NSX 版本要求

确认您使用的 NSX 产品版本与计划部署的 NSX Application Platform 版本及其相关的 NSX 功能(NSX IntelligenceNSX Network Detection and ResponseNSX 恶意软件防护NSX Metrics)兼容。

NSX Application Platform 上托管的 NSX 功能的版本需与 NSX Application Platform 版本号相匹配,而不是与 NSX 产品版本号相匹配。

重要说明:

NSX 联合环境中,只能在本地管理器上部署 NSX Application Platform。无法使用全局管理器部署 NSX Application Platform。只能使用本地管理器访问 NSX Application Platform

要确定可使用哪个 NSX 版本部署哪个 NSX Application Platform 版本,请使用以下兼容性列表。

NSX 版本

兼容的 NSX Application Platform 版本

3.2.x

3.2.0、3.2.1、4.0.1

4.0.0.1

3.2.1、4.0.1

4.0.1

4.0.1
确定要用于特定 NSX Application Platform 激活工作流的文档时,请使用以下信息。
  • 如果需要完成全新的 NSX 安装,请参见 VMware NSX 文档集中适用于 3.2 或更高版本的 NSX 安装指南,以了解安装说明。

  • 有关从 NSX Application Platform 版本 3.2.x 安装升级的信息,请参见升级 NSX Application Platform

  • 如果要从未安装 NSX IntelligenceNSX 3.1.x 或更低版本进行升级,请参见 VMware NSX 文档集中的NSX 升级指南

  • 如果要从安装了 NSX Intelligence 1.2.x 或更低版本的 NSX 3.1.x 或更低版本进行升级,您必须在升级到 NSX Intelligence 3.2.x 或更高版本以及 NSX 3.2.x 或更高版本之前准备当前的 NSX Intelligence 安装。请参见 VMware NSX Intelligence 文档集中适用于版本 3.2 或更高版本的激活和升级 VMware NSX Intelligence文档。

有效 NSXNSX Data Center 许可证要求

要部署 NSX Application Platform,在 NSX Application Platform 部署期间,当前正在使用的 NSX Manager 会话必须具有有效的许可证。

有关有效许可证的列表,请参见NSX Application Platform 部署的许可证要求

有效的 NSX 用户角色

要部署 NSX Application Platform,您必须具有企业管理员角色特权。

有效的 CA 签名证书

  • 如果您的 NSX Manager 设备在 NSX Manager Unified Appliance 集群上使用仅具有部分链的 CA 签名证书,必须将该证书替换为完整证书链。有关详细信息,请参见 VMware 知识库文章 78317

  • 使用多个 NSX Manager 设备时,您的环境必须满足以下证书必备条件之一。

    • 所有 设备必须共享相同的 SSL 证书。

    • 必须为每个设备颁发专用 SSL 证书,其中证书公用名称 (Common Name, CN) 在所有节点中必须是唯一的。

    • 在使用虚拟 IP (Virtual IP, VIP) 时,集群证书必须与所有单个设备共享的证书相同,或者在所有节点中必须是唯一的。

Kubernetes 集群所需的资源

  • VMware 支持在 Tanzu Kubernetes Grid (TKG) Cluster on Supervisor 或上游 Kubernetes 集群上部署 NSX Application Platform
    重要说明: 上游 Kubernetes 是指由云原生计算基金会 (Cloud Native Computing Foundation) 维护的开源 Kubernetes vanilla,并不涵盖下表中未明确列出的任何 Kubernetes 发行版或版本。

    有关 TKG Cluster on Supervisor 安装和配置信息,请参见安装和配置 vSphere with Tanzu(版本 8.0)或适用于其他版本的 VMware vSphere 文档网站

    VMware 测试并支持以下版本。
    NSX Application Platform 版本 TKG Cluster on Supervisor 版本 上游 Kubernetes 集群版本

    3.2.0、3.2.1

    1.17 - 1.21

    1.17 - 1.21

    4.0.1

    1.20 - 1.22

    1.20 - 1.24

  • 基础架构管理员必须配置 Kubernetes 集群,您可以在该集群上部署 NSX Application Platform 以及该平台托管的 NSX 功能。必须为用于部署 NSX Application Platform Pod 的 Kubernetes 集群分配足够的资源。由于每个受支持的 NSX 功能都有特定的资源要求,因此,请确定您计划使用的托管 NSX 功能。

    请参见NSX Application Platform 系统要求主题,以了解有关支持的规格及其资源要求的详细信息。

  • 重要说明: 用于 NSX Application Platform 的 Kubernetes 客户机集群必须使用默认服务域 cluster.local。这是默认值,在集群配置中定义:
    settings: network: serviceDomain: cluster.local 
    对于 NSX Application Platform,请勿更改此值或设置非默认服务域。
  • 基础架构管理员还必须提前安装和配置以下基础架构。

    • 容器网络接口 (Container Network Interface, CNI),例如 Antrea、Calico 或 Flannel。

    • 容器存储接口 (Container Storage Interface, CSI)。要置备动态卷,您使用的 Kubernetes 集群中必须具有可用的存储类。要纵向扩展数据存储卷,存储类必须支持卷大小调整。

Internet 访问要求

确保 NSX 系统可以访问 VMware 托管的公共注册表和存储库,您可以从中获取打包的 NSX Application Platform Helm Chart 和 Docker 映像。仅在安装和升级操作期间需要 Internet 直接访问权限。此访问权限仅限于在 TCP 端口 443 (HTTPS) 上对 https://projects.registry.vmware.com 进行出站访问,以便访问 NSX Application Platform Helm Chart 和 Docker 映像。不需要入站访问权限或永久出站访问权限。

NSX Unified Appliance 虚拟机和 NSX Application Platform 客户机集群工作节点均需要出站 Internet 访问权限。

请注意,如果已使用系统 > 常规设置 > Internet 代理服务器选项卡将 NSX 环境配置为使用 Internet 代理服务器,则无法使用 Internet 代理服务器部署 NSX Application Platform。如果您的 Kubernetes 集群无权访问 Internet 或您具有安全限制,请参见下一个可选要求以了解具有 Chart 存储库服务的可选专用容器注册表。

(可选要求)具有 Chart 存储库服务的专用容器注册表

要简化 NSX Application Platform 部署过程,请使用 VMware 托管的注册表和存储库。此部署过程仅使用出站连接,不会保留客户数据。

(可选)如果您的 Kubernetes 集群无权访问 Internet 或您具有安全限制,基础架构管理员必须设置具有 Chart 存储库服务的专用容器注册表。使用此专用容器注册表上载部署 NSX Application Platform 所需的 NSX Application Platform Helm Chart 和 Docker 映像。VMware 使用 Harbor 验证使用专用容器注册表的部署过程,但是,NSX Application Platform 部署基于标准。请参见将 NSX Application Platform Docker 映像和 Helm Chart 上载到专用容器注册表以了解详细信息。

(可选要求)专用容器注册表的 URL

如果使用的是专用容器注册表,请从基础架构管理员处获取该注册表的 URL。您可以在部署过程中使用此 URL。

所需的 Kubernetes 配置文件

您还必须从基础架构管理员获取 Kubernetes 配置文件。要安全访问您使用的 Kubernetes 集群,需要在部署 NSX Application Platform 期间为 NSX Manager 提供 kubeconfig 文件。要访问您使用的 Kubernetes 集群的所有资源,kubeconfig 文件必须具有所有特权。

重要说明:

VMware vSphere® with Tanzu Kubernetes 客户机集群中的默认 kubeconfig 文件包含一个令牌,默认情况下,该令牌在 10 小时后过期。虽然此过期令牌不会影响功能,但它会导致显示有关过期凭据的警告消息。为避免出现该警告,在 TKG Cluster on Supervisor 上部署 NSX Application Platform 之前,请与基础架构管理员一起创建可在 NSX Application Platform 部署期间使用的长期令牌。有关如何提取令牌的详细信息,请参见使用未过期的令牌生成 TKG Cluster on Supervisor 配置文件

所需的服务名称或接口服务名称 (FQDN)

NSX Application Platform 部署期间,您可以在 NSX 3.2.0 部署中为服务名称文本框或者在 NSX 3.2.1 或更高版本部署中为接口服务名称文本框提供完全限定域名 (Fully Qualified Domain Name, FQDN)。

服务名称接口服务名称值用作 HTTPS 端点以连接到 NSX Application Platform

要获取 FQDN 值,请使用以下工作流之一。

  • 在部署 NSX Application Platform 之前,您必须为 FQDN 配置 DNS 服务器中的静态 IP 地址。您使用的 Kubernetes 集群基础架构必须能够分配静态 IP 地址。以下是支持的 Kubernetes 环境。

    • MetalLB - 上游 Kubernetes 集群的外部负载均衡器。

    • VMware Tanzu® Kubernetes for VMware vSphere® 7.0 U2 以及具有 NSX 的 VMware vSphere 7.0 U3。

    • 使用 vSphere 网络的 VMware vSphere with Tanzu。有关详细信息,请参见 VMware vSphere 文档《使用 vSphere 网络启用工作负载管理》

  • 如果您已安装外部 DNS(请参见 Kubernetes SIG - 外部 DNS 网页),您只需在系统提示输入服务名称时提供 FQDN。Kubernetes 基础架构自动为 FQDN 配置 DNS 服务器中的动态 IP 地址。

    安装了外部 DNS 的工作负载控制平面 (Workload Control Plane, WCP) 是支持的 Kubernetes 环境。

所需的消息传递服务名称(适用于 NSX 3.2.1 或更高版本的部署)

“消息传递服务名称”值是用于从 NSX 数据源接收简化数据的 HTTPS 端点的 FQDN。

所需的端口和协议

验证是否打开了 Kubernetes 集群主机上的所需端口以供 NSX Application Platform 访问。请参见 VMware Ports and Protocols 网页。

来自 Kubernetes 集群节点的所需通信

确认您所使用的 Kubernetes 集群节点可以访问 NSX Manager 设备。

系统时间同步要求

同步您所使用的 Kubernetes 集群节点和 NSX Manager 设备上的系统时间。