了解在具有 VDS 网络连接和 NSX Advanced Load Balancer(也称为 Avi 负载均衡器)的 vSphere 集群上启用主管的要求。vSphere IaaS control plane 支持多个拓扑:对 Avi 服务引擎和负载均衡器服务使用一个 VDS 网络,对 Avi 管理平面使用一个 VDS,对 NSX Advanced Load Balancer 使用另一个 VDS。
工作负载网络
要为主管配置 VDS 网络堆栈,必须将集群中的所有主机都连接到 VDS。根据为 主管 实施的拓扑,您将创建一个或多个分布式端口组。可以将端口组指定为 vSphere 命名空间 的工作负载网络。工作负载网络可提供与 Tanzu Kubernetes Grid 集群节点和 主管 控制平面虚拟机的连接。提供与 Kubernetes 控制平面虚拟机的连接的工作负载网络称为“主工作负载网络”。每个 主管 都必须有一个主工作负载网络。您必须将其中一个分布式端口组指定为 主管 的主工作负载网络。
主管 上的 Kubernetes 控制平面虚拟机使用分配给主工作负载网络的 IP 地址范围中的三个 IP 地址。Tanzu Kubernetes Grid 集群的每个节点都会被分配一个单独的 IP 地址,从配置了 Tanzu Kubernetes Grid 集群运行所在命名空间的工作负载网络的地址范围中进行分配。
网络要求
- 管理网络。管理网络是 NSX Advanced Load Balancer 控制器(也称为控制器)所在的位置。管理网络为控制器提供与 vCenter Server、ESXi 主机以及 主管 控制平面节点的连接。此网络是放置 Avi 服务引擎的管理接口的位置。此网络需要 vDS 和分布式端口组。
- 数据网络。Avi 服务引擎(也称为服务引擎)的数据接口连接到此网络。从此网络分配负载均衡器虚拟 IP (VIP)。此网络需要 vDS 和分布式端口组。在安装负载均衡器之前,必须配置 vDS 和分布式端口组。
IP 地址的分配
控制器和服务引擎连接到管理网络。安装并配置 NSX Advanced Load Balancer 时,请为每个控制器虚拟机提供可路由的静态 IP 地址。
服务引擎可以使用 DHCP。如果 DHCP 不可用,可以为服务引擎配置 IP 地址池。
最低计算要求
| 系统 | 最小部署大小 | CPU | 内存 | 存储 |
|---|---|---|---|---|
| vCenter Server 8.0 | 小型 | 2 | 21 GB | 290 GB |
| ESXi 主机 8.0 |
必须将这些主机加入启用 vSphere DRS 和 HA 的集群。vSphere DRS 必须处于全自动或半自动模式。
注: 请确保加入集群的主机的名称使用小写字母。否则,启用
主管 可能会失败。
|
8 | 每个主机 64 GB | 不适用 |
| Kubernetes 控制平面虚拟机 | 3 | 4 | 16 GB | 16 GB |
| NSX Advanced Load Balancer 控制器 | Enterprise 对于生产环境,建议安装一个包含 3 个 Avi 控制器虚拟机的集群。至少需要 2 个服务引擎虚拟机才能实现 HA。 |
4(小型) 8(中型) 24 (大型) |
12 GB 24 GB 128 GB |
128 GB 128 GB 128 GB |
| 服务引擎 | 至少需要 2 个服务引擎虚拟机才能实现 HA。 | 1 | 2 GB | 15 GB |
最低网络要求
| 组件 | 最小数量 | 所需的配置 |
|---|---|---|
| 物理网络 MTU | 1500 | 在任何分布式端口组上,MTU 大小必须至少为 1500。 |
| 组件 | 最小数量 | 所需的配置 |
|---|---|---|
| NTP 和 DNS 服务器 | 1 | 可与 vCenter Server 结合使用的 DNS 服务器和 NTP 服务器。
注: 在所有 ESXi 主机和
vCenter Server 上配置 NTP。
|
| DHCP 服务器 | 1 | 可选。配置 DHCP 服务器以自动获取管理网络和工作负载网络的 IP 地址以及浮动 IP。DHCP 服务器必须支持客户端标识符,并提供兼容的 DNS 服务器、DNS 搜索域和 NTP 服务器。 管理网络的所有 IP 地址(如控制平面虚拟机 IP、浮动 IP、DNS 服务器、DNS、搜索域和 NTP 服务器)都将自动从 DHCP 服务器获取。 DHCP 配置由 主管 使用。负载均衡器可能需要静态 IP 地址进行管理。DHCP 范围不应与这些静态 IP 重叠。DHCP 不用于虚拟 IP。(VIPs)
注: 配置了 VDS 堆栈的
主管上的
主管服务不支持工作负载网络的 DHCP 配置。要使用
主管服务,请为工作负载网络配置静态 IP 地址。您仍可以将 DHCP 用于管理网络。
|
| 组件 | 最小数量 | 所需的配置 |
|---|---|---|
| 用于 Kubernetes 控制平面虚拟机的静态 IP | 包含 5 个地址的块 | 要从管理网络分配给 主管 中的 Kubernetes 控制平面虚拟机的 5 个连续静态 IP 地址的块。 |
| 管理流量网络 | 1 | 可路由到 ESXi 主机、vCenter Server、主管 和负载均衡器的管理网络。 |
| 管理网络子网 | 1 | 管理网络是 NSX Advanced Load Balancer 控制器(也称为控制器)所在的位置。 它也是连接服务引擎管理接口的位置。控制器必须从此网络连接到 vCenter Server 和 ESXi 管理 IP
注: 管理网络和工作负载网络必须位于不同的子网上。不支持将同一子网分配给管理网络和工作负载网络,这可能会导致系统错误和问题。
|
| 组件 | 最小数量 | 所需的配置 |
|---|---|---|
| vSphere Distributed Switch | 1 | vSphere 集群中的所有主机都必须连接到 VDS。 |
| 工作负载网络 | 1 | 必须在配置为主工作负载网络的 VDS 上创建至少一个分布式端口组。根据选择的拓扑,您可以与命名空间的工作负载网络使用相同的分布式端口组,也可以创建更多端口组并将其配置为工作负载网络。工作负载网络必须满足以下要求:
|
| Kubernetes 服务 CIDR 范围 | /16 个专用 IP 地址 | 专用 CIDR 范围,用于将 IP 地址分配给 Kubernetes 服务。您必须为每个 主管 指定唯一的 Kubernetes 服务 CIDR 范围。 |
| NTP 和 DNS 服务器 | 1 | NSX Advanced Load Balancer 控制器需要 DNS 服务器 IP 才能正确解析 vCenter Server 和 ESXi 主机名。NTP 为可选项,因为默认情况下使用公共 NTP 服务器。 |
| 数据网络子网 | 1 | NSX Advanced Load Balancer 服务引擎(也称为服务引擎)的数据接口连接到此网络。为服务引擎配置 IP 地址池。从此网络分配负载均衡器虚拟 IP (VIP)。 |
| NSX Advanced Load Balancer 控制器 IP | 1 或 4 | 如果将 NSX Advanced Load Balancer 控制器部署为单个节点,则需要一个静态 IP 作为其管理接口。 对于 3 节点集群,需要 4 个 IP 地址。每个 NSX Advanced Load Balancer 控制器虚拟机一个,集群 VIP 一个。这些 IP 必须来自管理网络子网。 |
| VIP IPAM 范围 | - | 专用 CIDR 范围,用于将 IP 地址分配给 Kubernetes 服务。IP 必须来自数据网络子网。必须为每个主管集群指定唯一的 Kubernetes 服务 CIDR 范围。 |
端口和协议
下表列出了管理 NSX Advanced Load Balancer、vCenter 和其他 vSphere IaaS control plane 组件之间的 IP 连接所需的协议和端口。
| 源 | 目标 | 协议和端口 |
|---|---|---|
| NSX Advanced Load Balancer 控制器 | NSX Advanced Load Balancer 控制器(在集群中) | TCP 22 (SSH) TCP 443 (HTTPS) TCP 8443 (HTTPS) |
| 服务引擎 | 用于实现 HA 的服务引擎 | TCP 9001(对于 VMware、LSC 和 NSX-T 云) |
| 服务引擎 | NSX Advanced Load Balancer 控制器 | TCP 22 (SSH) TCP 8443 (HTTPS) UDP 123 (NTP) |
| Avi 控制器 | vCenter Server、ESXi、NSX-T Manager | TCP 443 (HTTPS) |
| 主管控制平面节点 (AKO) | NSX Advanced Load Balancer 控制器 | TCP 443 (HTTPS) |
有关 NSX Advanced Load Balancer 的端口和协议的详细信息,请参见 https://ports.esp.vmware.com/home/NSX-Advanced-Load-Balancer。
