此集成架构介绍了使用 Antrea CNI 的 Kubernetes 集群与部署在 NSX 中的 NSX Manager 设备之间交换的信息。
本文档没有介绍 Kubernetes (K8s) 集群中 Antrea 组件的功能。要了解 Antrea 架构以及 Kubernetes 集群中 Antrea 组件的功能,请参见 Antrea 文档门户,网址为 https://antrea.io/docs。
本文档的主要目标是介绍用于将使用 Antrea CNI 的 Kubernetes 集群集成到 NSX Manager 设备的 Antrea NSX 适配器 的功能。
架构图
Antrea NSX 适配器
该组件在
Kubernetes 控制平面节点之一上作为 Pod 运行。
Antrea NSX 适配器包含以下两个子组件:
- 管理平面适配器(MP 适配器)
- 中央控制平面适配器(CCP 适配器)
管理平面适配器可以与 NSX 管理平面(策略)、Kubernetes API 服务器和 Antrea 控制器 进行通信。中央控制平面适配器可以与 NSX 中央控制平面 (CCP) 和 Kubernetes API 服务器进行通信。
管理平面适配器的功能
- 通过 Kubernetes API 监视 Kubernetes 资源清单并将清单报告给 NSX Manager。Antrea Kubernetes 集群的资源清单包括 Pod、输入、服务、网络策略、命名空间和节点等资源。
- 从 NSX Manager 中响应策略统计信息查询。它将接收来自 Antrea 控制器 API 的统计信息或 Antrea 代理在每个 K8s 工作节点上导出的统计信息,并将统计信息报告给 NSX Manager。
- 从 NSX Manager 接收故障排除操作请求,将这些请求发送到 Antrea 控制器 API 服务器,收集结果,并将这些信息返回给 NSX Manager。故障排除操作示例包括流跟踪请求、支持包收集请求、日志收集请求。
- 通过 Antrea 监控 CustomResourceDefinition (CRD) 对象来监视 Antrea Kubernetes 集群的运行时状态和运行状况,并将状态报告给 NSX Manager。将基于每个集群来报告状态。例如,向 NSX Manager 报告以下组件的运行状况:
- 管理平面适配器
- 中央控制平面适配器
- Antrea 控制器
- Antrea 代理
中央控制平面适配器的功能
- 从 NSX 中央控制平面接收分布式防火墙 (DFW) 规则和组,将其转换为 Antrea 策略,并在 K8s API 中创建 Antrea 策略 CRD。
- 通过 K8s 网络策略和本机 Antrea 策略 CRD 来监视策略实现状态,并将状态报告给 NSX 中央控制平面。
中央控制平面适配器的无状态特性
中央控制平面适配器是无状态的。每次该适配器重新启动或重新连接到 K8s API 或
NSX Manager 时,它始终会与 K8s API 和 NSX 中央控制平面同步状态。重新同步状态可确保以下几点:
- 最新的 Antrea 策略始终会作为本机 Antrea 策略 CRD 推送到 K8s API。
- 如果在 NSX 中删除了相应的安全策略,则会移除失效的策略 CRD。
