了解在映射到三个 vSphere 区域的三个 vSphere 集群上使用 VDS 网络连接和 NSX Advanced Load Balancer 启用 主管 的要求。要为 vSphere IaaS control plane 配置 NSX Advanced Load Balancer(也称为 Avi 负载均衡器)时,您的环境必须满足特定要求。vSphere IaaS control plane 支持多个拓扑:对 Avi 服务引擎和负载均衡器服务使用一个 VDS 网络,对 Avi 管理平面使用一个 VDS,对 NSX Advanced Load Balancer 使用另一个 VDS。

工作负载网络

要为 主管 配置 VDS 网络连接堆栈,必须将集群中的所有主机都连接到 VDS。根据为 主管 实施的拓扑,您将创建一个或多个分布式端口组。可以将端口组指定为 vSphere 命名空间 的工作负载网络。

工作负载网络可提供与 Tanzu Kubernetes Grid 集群节点、通过 虚拟机服务 创建的虚拟机和 主管 控制平面虚拟机的连接。提供与 Kubernetes 控制平面虚拟机的连接的工作负载网络称为“主工作负载网络”。每个 主管 都必须有一个主工作负载网络。您必须将其中一个分布式端口组指定为 主管 的主工作负载网络。

主管 上的 Kubernetes 控制平面虚拟机使用分配给主工作负载网络的 IP 地址范围中的三个 IP 地址。Tanzu Kubernetes Grid 集群的每个节点都会被分配一个单独的 IP 地址,从配置了 Tanzu Kubernetes Grid 集群运行所在命名空间的工作负载网络的地址范围中进行分配。

网络要求

NSX Advanced Load Balancer 需要两个可路由子网:
  • 管理网络。管理网络是 Avi 控制器(也称为控制器)所在的位置。管理网络为控制器提供与 vCenter Server、ESXi 主机以及 主管 控制平面节点的连接。此网络是放置 Avi 服务引擎的管理接口的位置。此网络需要 VDS 和分布式端口组。
  • 数据网络。Avi 服务引擎(也称为服务引擎)的数据接口连接到此网络。从此网络分配负载均衡器虚拟 IP (VIP)。此网络需要 VDS 和分布式端口组。必须先配置 VDS 和端口组,然后再安装负载均衡器。

IP 地址的分配

控制器和服务引擎连接到管理网络。安装并配置 NSX Advanced Load Balancer 时,请为每个控制器虚拟机提供可路由的静态 IP 地址。

服务引擎可以使用 DHCP。如果 DHCP 不可用,可以为服务引擎配置 IP 地址池。

跨物理站点放置 vSphere 区域

可以跨不同的物理站点分布 vSphere 区域,前提是站点之间的延迟不超过 100 毫秒。例如,可以跨两个物理站点分布 vSphere 区域,其中第一个站点上有一个 vSphere 区域,第二个站点上有两个 vSphere 区域。

测试目的的最低计算要求

如果要测试 vSphere IaaS control plane 的功能,可以在非常最小的测试台上部署该平台。但是,您应该注意,此类测试台不适合运行生产规模工作负载,并且无法在集群级别提供 HA。

表 1. 测试目的的最低计算要求
系统 最小部署大小 CPU 内存 存储
vCenter Server 8.0 小型 2 21 GB 290 GB
vSphere 集群
  • 3 个 vSphere 集群
  • 每个 vSphere 集群上启用 vSphere DRS 和 HA。vSphere DRS 必须处于全自动或半自动模式。
  • 为每个 vSphere 集群配置独立的存储和网络连接。
 不适用 不适用 不适用
ESXi 主机 8.0

对于每个 vSphere 集群:

  • 不使用 vSAN:1 个 ESXi 主机,每个主机 1 个静态 IP。
  • 使用 vSAN:每个集群 2 个 ESXi 主机,每个主机至少 2 个物理网卡。
注: 请确保加入集群的主机的名称使用小写字母。否则,激活 主管可能会失败。
每个主机 8 个 每个主机 64 GB 不适用
Kubernetes 控制平面虚拟机 3 4 16 GB 16 GB
NSX Advanced Load Balancer 控制器

Enterprise

4(小型)

8(中型)

24 (大)

12 GB

24 GB

128 GB

128 GB

128 GB

128 GB

生产环境的最低计算要求

下表列出了在三个 vSphere 区域上使用 VDS 网络连接和 NSX Advanced Load Balancer 启用 主管 的最低计算要求。最佳做法是考虑将管理域和工作负载域分开。工作负载域托管运行工作负载的 主管。管理域托管所有管理组件,例如 vCenter Server
表 2. 最低计算要求
系统 最小部署大小 CPU 内存 存储
vCenter Server 8.0 小型 2 21 GB 290 GB
vSphere 集群
  • 3 个 vSphere 集群
  • 每个 vSphere 集群上启用 vSphere DRS 和 HA。vSphere DRS 必须处于全自动或半自动模式。
  • 为每个 vSphere 集群配置独立的存储和网络连接。
 不适用 不适用 不适用
ESXi 主机 8.0

对于每个 vSphere 集群:

  • 不使用 vSAN:3 个 ESXi 主机,每个主机 1 个静态 IP。
  • 使用 vSAN:每个集群 4 个至少具有 2 个物理网卡的 ESXi 主机。
注: 请确保加入集群的主机的名称使用小写字母。否则,启用 主管 可能会失败。
每个主机 8 个 每个主机 64 GB 不适用
Kubernetes 控制平面虚拟机 3 4 16 GB 16 GB
NSX Advanced Load Balancer 控制器

Enterprise

对于生产环境,建议安装一个包含 3 个 控制器虚拟机的集群。至少需要 2 个服务引擎虚拟机才能实现 HA。

4(小型)

8(中型)

24 (大)

12 GB

24 GB

128 GB

128 GB

128 GB

128 GB

最低网络要求

下表列出了使用 VDS 网络连接和 NSX Advanced Load Balancer 启用 主管 的最低网络要求。
表 3. 物理网络要求
组件 最小数量 所需的配置
第 2 层设备 1 对于 主管 的所有集群,处理 主管 流量的管理网络必须位于同一第 2 层设备上。主工作负载网络也必须位于同一第 2 层设备上。
物理网络 MTU 1500 在任何分布式端口组上,MTU 大小必须至少为 1500。
表 4. 常规网络要求
组件 最小数量 所需的配置
延迟 100 ms 主管 中 vSphere 区域中的每个集群之间的最大建议延迟。
NTP 和 DNS 服务器 1 可与 vCenter Server 结合使用的 DNS 服务器和 NTP 服务器。
注: 在所有 ESXi 主机和 vCenter Server 上配置 NTP。
DHCP 服务器 1 可选。配置 DHCP 服务器以自动获取管理网络和工作负载网络的 IP 地址以及浮动 IP。DHCP 服务器必须支持客户端标识符,并提供兼容的 DNS 服务器、DNS 搜索域和 NTP 服务器。

管理网络的所有 IP 地址(如控制平面虚拟机 IP、浮动 IP、DNS 服务器、DNS、搜索域和 NTP 服务器)都将自动从 DHCP 服务器获取。

DHCP 配置由 主管 使用。负载均衡器可能需要静态 IP 地址进行管理。DHCP 范围不应与这些静态 IP 重叠。DHCP 不用于虚拟 IP。(VIPs)
表 5. 管理网络要求
组件 最小数量 所需的配置
用于 Kubernetes 控制平面虚拟机的静态 IP 包含 5 个地址的块 要从管理网络分配给 主管 中的 Kubernetes 控制平面虚拟机的 5 个连续静态 IP 地址的块。
管理流量网络 1 可路由到 ESXi 主机、vCenter Server主管 和负载均衡器的管理网络。
管理网络子网 1

管理网络是 NSX Advanced Load Balancer 控制器(也称为控制器)所在的位置。

它也是连接服务引擎管理接口的位置。控制器必须从此网络连接到 vCenter Server 和 ESXi 管理 IP

注: 管理网络和工作负载网络必须位于不同的子网上。不支持将同一子网分配给管理网络和工作负载网络,这可能会导致系统错误和问题。
表 6. 工作负载网络要求
组件 最小数量 所需的配置
vSphere Distributed Switch 1 所有三个 vSphere 集群中的所有主机都必须连接到 VDS。
工作负载网络 1 必须在配置为主工作负载网络的 VDS 上创建至少一个分布式端口组。根据选择的拓扑,您可以与命名空间的工作负载网络使用相同的分布式端口组,也可以创建更多端口组并将其配置为工作负载网络。工作负载网络必须满足以下要求:
  • 可在任何工作负载网络和 NSX Advanced Load Balancer 用于虚拟 IP 分配的网络之间进行路由。
  • 主管 内所有工作负载网络中的 IP 地址范围不得重叠。
Kubernetes 服务 CIDR 范围 /16 个专用 IP 地址 专用 CIDR 范围,用于将 IP 地址分配给 Kubernetes 服务。您必须为每个 主管 指定唯一的 Kubernetes 服务 CIDR 范围。
表 7. 负载均衡器网络要求
NTP 和 DNS 服务器 1 NSX Advanced Load Balancer 控制器需要 DNS 服务器 IP 才能正确解析 vCenter Server 和 ESXi 主机名。NTP 为可选项,因为默认情况下使用公共 NTP 服务器。
数据网络子网 1 服务引擎的数据接口连接到此网络。为服务引擎配置 IP 地址池。从此网络分配负载均衡器虚拟 IP (VIP)。
NSX Advanced Load Balancer 控制器 IP 1 或 4 如果将 NSX Advanced Load Balancer 控制器部署为单个节点,则需要一个静态 IP 作为其管理接口。

对于 3 节点集群,需要 4 个 IP 地址。每个控制器虚拟机一个,集群 VIP 一个。这些 IP 必须来自管理网络子网。
VIP IPAM 范围 -

专用 CIDR 范围,用于将 IP 地址分配给 Kubernetes 服务。IP 必须来自数据网络子网。必须为每个主管集群指定唯一的 Kubernetes 服务 CIDR 范围。

端口和协议

下表列出了管理 NSX Advanced Load BalancervCenter Server 和其他 vSphere IaaS control plane 组件之间的 IP 连接所需的协议和端口。

目标 协议和端口
NSX Advanced Load Balancer 控制器 NSX Advanced Load Balancer 控制器(在集群中)

TCP 22 (SSH)

TCP 443 (HTTPS)

TCP 8443 (HTTPS)
服务引擎 用于实现 HA 的服务引擎

TCP 9001(对于 VMware、LSC 和 NSX-T 云)
服务引擎 NSX Advanced Load Balancer 控制器

TCP 22 (SSH)

TCP 8443 (HTTPS)

UDP 123 (NTP)
NSX Advanced Load Balancer 控制器 vCenter Server、ESXi、NSX-T Manager TCP 443 (HTTPS)
主管控制平面节点 (AKO) NSX Advanced Load Balancer 控制器 TCP 443 (HTTPS)

有关 NSX Advanced Load Balancer 的端口和协议的详细信息,请参见 https://ports.esp.vmware.com/home/NSX-Advanced-Load-Balancer