Antrea 是 VMware 提供的一种容器网络接口 (Container Network Interface, CNI) 插件,可以为基于 Kubernetes 的容器集群中的 Pod 提供网络连接和安全功能。
注: 以后,本文档将使用术语“Antrea Kubernetes 集群”来表示具有
Antrea CNI 的 Kubernetes 集群。术语“Kubernetes 集群”是一个通用术语,它表示具有
Antrea CNI 的
Tanzu Kubernetes Grid (TKG) 集群、具有
Antrea CNI 的 OpenShift 集群或具有
Antrea CNI 的自助式 (DIY) Kubernetes 集群。
其目标是将 Antrea Kubernetes 集群连接到 NSX 管理平面和中央控制平面 (CCP)。要实现此集成,必须在要集成到 NSX 的所有 Antrea Kubernetes 集群上部署 Antrea NSX 适配器。
集成优势
通过将
Antrea Kubernetes 集群集成到
NSX,可以实现以下功能:
- 在 NSX Manager UI(策略模式)中查看 Antrea Kubernetes 集群资源。
- 集中管理 NSX 中引用 Antrea Kubernetes 集群和 NSX 资源(例如虚拟机)的的组和安全策略。
- 将 NSX 安全策略分发到 Kubernetes 集群,以便 Antrea CNI 在集群中实施这些策略。
- 将 NSX 网络诊断和故障排除功能(例如收集支持包、监控日志和执行流跟踪操作)扩展到 Antrea Kubernetes 集群。
- 在 NSX Manager UI 中监控 Antrea Kubernetes 集群组件和 Antrea 代理的运行时状态和运行状况。
当 Antrea 是 Kubernetes 集群中的主 CNI 或辅助 CNI 时,所有 NSX-Antrea 集成功能都可以使用。
互操作性要求
要将 NSX 与 Antrea 集成在一起,必须满足特定的互操作性要求。有关更多详细信息,请参见 VMware 产品互操作性列表。
networkPolicyOnly 模式下的 Antrea CNI
NSX 可以集成到将 Antrea CNI 部署为在 networkPolicyOnly 模式下运行的 Antrea Kubernetes 集群。在这种情况下,Antrea 作为辅助 CNI 运行,并执行在集群中实施网络策略的任务。本机路由 CNI(主 CNI)用于执行 IP 地址管理和 Pod 网络连接任务。
要将 Antrea CNI 设置为在 networkPolicyOnly 模式下运行,需要在 Kubernetes 集群中部署 VMware Container Networking™ with Antrea™ v1.8 或更高版本。
当 Antrea CNI 以 networkPolicyOnly 模式部署时,本章中介绍的所有 NSX-Antrea 集成功能均受支持。
