安装 vSphere with Tanzu 版本 7.0 Update 1c 或将 主管集群 从版本 7.0 Update 1 升级到版本 7.0 Update 1c 时,需要升级 NSX Container Plug-in (NCP)。进而,需要迁移 主管集群、命名空间和 Tanzu Kubernetes 集群的网络拓扑。升级后,网络拓扑将从单个 Tier-1 网关拓扑升级到 主管集群 中的每个命名空间都具有一个 Tier-1 网关的拓扑。
在升级过程中,NCP 会将 NSX-T Data Center 资源配置为支持新拓扑。NCP 为具有较少的第 4 层和第 7 层负载均衡服务的命名空间提供共享网络基础架构。这将减少 NSX 上的资源,而将更多的资源用于 Tanzu Kubernetes 集群。
系统命名空间是指确保 主管集群 和 Tanzu Kubernetes 集群正常运行而必不可少的核心组件所使用的命名空间。包括 Tier-1 网关、负载均衡器和 SNAT IP 在内的共享网络资源分组在一个系统命名空间中。
默认情况下,NCP 为系统命名空间创建一个共享 Tier-1 网关,为每个命名空间创建一个 Tier-1 网关和负载均衡器。Tier-1 网关连接到 Tier-0 网关和默认分段。
NSX-T 负载均衡器以虚拟服务器的形式提供负载均衡服务。
- 每个 vSphere 命名空间 都有一个单独的网络和一组由命名空间中的应用程序共享的网络资源,例如,Tier-1 网关、负载均衡器服务和 SNAT IP 地址。
- 位于同一个命名空间中的工作负载(在 vSphere Pod、常规虚拟机或 Tanzu Kubernetes 集群中运行的工作负载)共享同一个 SNAT IP 实现南北向连接。
- 在 vSphere Pod 或 Tanzu Kubernetes 集群中运行的工作负载将具有与默认防火墙实施的相同隔离规则。
- 每个 Kubernetes 命名空间不需要单独的 SNAT IP。命名空间之间的东西向连接将不进行 SNAT。
可以运行的最大命名空间数量取决于 Edge 节点大小(中型、大型或超大型)以及 NSX Edge 集群中的 Edge 节点数。可以运行的命名空间数量小于 Edge 节点数的 20 倍。例如,如果 NSX Edge 集群具有 10 个大型 Edge 节点,则可以创建的最大主管命名空间数为 199。
有关 Edge 节点大小的详细信息,请参见《NSX-T Data Center 安装指南》。
主管集群的网络连接
主管集群在共享 Tier-1 网关中具有单独的分段。对于每个 Tanzu Kubernetes 集群,分段在命名空间的 Tier-1 网关中进行定义。
位于同一命名空间中的工作负载(包括 vSphere Pod 和 Tanzu Kubernetes 集群)将共享一个 SNAT IP 实现南北向连接。命名空间之间的东西向连接将不进行 SNAT。
Tanzu Kubernetes 集群网络连接
主管集群 升级后,当 DevOps 工程师在主管命名空间中置备第一个 Tanzu Kubernetes 集群时,该集群将与命名空间共享同一个 Tier-1 网关和负载均衡器。对于在该命名空间中置备的每个 Tanzu Kubernetes 集群,将为相应集群创建一个分段,并将其连接到其主管命名空间中的共享 Tier-1 网关。
当 Tanzu Kubernetes Grid 服务 置备 Tanzu Kubernetes 集群时,将创建一个虚拟服务器,以便为 Kubernetes API 提供第 4 层负载均衡。此虚拟服务器托管在与命名空间共享的负载均衡器上,负责将 kubectl 流量路由到控制平面。此外,对于集群上提供的每个 Kubernetes 服务负载均衡器,都会创建一个为该服务提供第 4 层负载均衡的虚拟服务器。
