了解通过使用 NSX 网络堆栈和 NSX Advanced Load Balancer 在映射到 vSphere 区域的三个 vSphere 集群上启用 主管 的系统要求。

跨物理站点放置 vSphere 区域

可以跨不同的物理站点分布 vSphere 区域,前提是站点之间的延迟不超过 100 毫秒。例如,可以跨两个物理站点分布 vSphere 区域,其中第一个站点上有一个 vSphere 区域,第二个站点上有两个 vSphere 区域。

NSX 部署选项

有关部署 NSX 的最佳做法的详细信息,请参见 NSX 参考设计指南

管理和 Edge 集群的最低计算资源要求

系统 最小部署大小 CPU 内存 存储
vCenter Server 8 小型 2 21 GB 290 GB
ESXi 主机 8 2 个 ESXi 主机 8 每个主机 64 GB 不适用
NSX Manager 中等 6 24 GB 300 GB
NSX Edge 1 大型 8 32 GB 200 GB
NSX Edge 2 大型 8 32 GB 200 GB
服务引擎虚拟机 每个 主管 至少部署两个服务引擎虚拟机 1 2 GB 不适用
注: 确认已将加入计划配置 vSphere IaaS control plane 的 vSphere 集群的所有 ESXi 主机准备为 NSX 传输节点。有关详细信息,请参见 NSX文档中的 https://kb.vmware.com/s/article/95820将 ESXi 主机准备为传输节点

指定控制器的系统容量

您可以在部署期间指定控制器的系统容量。系统容量基于系统资源分配,例如 CPU、RAM 和磁盘。分配的资源量会对控制器的性能产生影响。

部署类型 节点计数 建议的分配 - CPU 建议的分配 - 内存 建议的分配 - 磁盘
演示/客户评估 1 6 24 GB 128 GB

在演示部署中,单个控制器就足够了,并用于执行所有控制平面活动和工作流以及分析。

在生产部署中,建议使用三节点集群。

有关详细信息,请参见 NSX Advanced Load Balancer 控制器大小调整

工作负载域集群的最低计算资源要求

系统 最小部署大小 CPU 内存 存储
vSphere 集群
  • 3 个 vSphere 集群
  • 每个 vSphere 集群上启用 vSphere DRS 和 HA。vSphere DRS 必须处于全自动模式。
  • 为每个 vSphere 集群配置独立的存储和网络连接。
 不适用 不适用 不适用
ESXi 主机 8
对于每个 vSphere 集群:
  • 不使用 vSAN:3 个 ESXi 主机,每个主机 1 个静态 IP。
  • 使用 vSAN:每个集群 4 个至少具有 2 个物理网卡的 ESXi 主机。
注: 请确保加入集群的主机的名称使用小写字母。否则,激活 主管 可能会失败。
8 每个主机 64 GB 不适用
Kubernetes 控制平面虚拟机 3 4 16 GB 16 GB

网络要求

注: 无法使用 vSphere 8 主管 创建 IPv6 集群,也无法在 Tanzu Mission Control 中注册 IPv6 集群。

查看 VMware 产品互操作性列表,了解支持的 NSX 版本。

表 1. 物理网络要求
组件 最小数量 所需的配置
第 2 层设备 1 处理 主管 流量的管理网络必须位于同一第 2 层设备上。每个处理管理流量的主机必须至少有一个物理网卡连接到该同一第 2 层设备。
物理网络 MTU 1700 在任何 vSphere Distributed Switch 端口组上,MTU 大小必须至少为 1700。
物理网卡 如果使用 vSAN,则每个主机必须具有至少 2 个物理网卡 要使用 Antrea CNI 并获得最佳 NSX 性能,每个参与 ESXi 主机上的每个物理网卡都必须支持并已启用 GENEVE 封装。
表 2. 常规网络要求
组件 最小数量 所需的配置
延迟 100 ms 主管 中 vSphere 区域中的每个集群之间的最大建议延迟。
NTP 和 DNS 服务器 1 可与 vCenter Server 结合使用的 DNS 服务器和 NTP 服务器。
注: 在所有 ESXi 主机和 vCenter Server 上配置 NTP。
DHCP 服务器 1 可选。配置 DHCP 服务器以自动获取管理网络和工作负载网络的 IP 地址以及浮动 IP。DHCP 服务器必须支持客户端标识符,并提供兼容的 DNS 服务器、DNS 搜索域和 NTP 服务器。

管理网络的所有 IP 地址(如控制平面虚拟机 IP、浮动 IP、DNS 服务器、DNS、搜索域和 NTP 服务器)都将自动从 DHCP 服务器获取。

DHCP 配置由 主管 使用。负载均衡器可能需要静态 IP 地址进行管理。DHCP 范围不应与这些静态 IP 重叠。DHCP 不用于虚拟 IP。(VIPs)
映像注册表 1 访问服务注册表。
表 3. 管理网络要求
组件 最小数量 所需的配置
用于 Kubernetes 控制平面虚拟机的静态 IP 包含 5 个地址的块 要从管理网络分配给 主管 中的 Kubernetes 控制平面虚拟机的 5 个连续静态 IP 地址的块。
管理流量网络 1 可路由到 ESXi 主机、vCenter Server主管 和负载均衡器的管理网络。
管理网络子网 1
用于 ESXi 主机与 vCenter Server、NSX 设备和 Kubernetes 控制平面之间的管理流量的子网。子网的大小必须如下所示:
  • 每个主机 VMkernel 适配器一个 IP 地址。
  • 1 个 IP 地址用于 vCenter Server Appliance。
  • 用于 NSX Manager 的 1 个或 4 个 IP 地址。执行 3 个节点和 1 个虚拟 IP (VIP) 的 NSX Manager 集群时使用的 4 个 IP 地址。
  • 用于 Kubernetes 控制平面的 5 个 IP 地址。3 个节点中每个节点 1 个 IP 地址,1 个表示虚拟 IP,1 个用于滚动集群升级。
注: 管理网络和工作负载网络必须位于不同的子网上。不支持将同一子网分配给管理网络和工作负载网络,这可能会导致系统错误和问题。
管理网络 VLAN 1 管理网络子网的 VLAN ID。
表 4. 工作负载网络要求
组件 最小数量 所需的配置
vSphere Pod CIDR 范围 /23 个专用 IP 地址 vSphere Pod 提供 IP 地址的专用 CIDR 范围。这些地址也用于 Tanzu Kubernetes Grid 集群节点。
必须为每个集群指定唯一的 vSphere Pod CIDR 范围。
注: Kubernetes 服务地址的 vSphere Pod CIDR 范围和 CIDR 范围不能重叠。
Kubernetes 服务 CIDR 范围 /16 个专用 IP 地址 专用 CIDR 范围,用于将 IP 地址分配给 Kubernetes 服务。您必须为每个 主管 指定唯一的 Kubernetes 服务 CIDR 范围。
输出 CIDR 范围 /27 个静态 IP 地址 专用 CIDR 注释,用以确定 Kubernetes 服务的输出 IP。仅为 主管 中的每个命名空间分配一个输出 IP 地址。输出 IP 是外部实体用于与命名空间中的服务进行通信的地址。输出 IP 地址的数量限制了 主管 可以拥有的输出策略数。
最小值为 CIDR /27 或更大。例如, 10.174.4.96/27
注: 输出 IP 地址和输入 IP 地址不得重叠。
输入 CIDR /27 个静态 IP 地址 要用于输入 IP 地址的专用 CIDR 范围。输入让您能够将流量策略应用到从外部网络进入 主管 的请求。输入 IP 地址的数量限制了集群可以拥有的输入数量。
最小值为 CIDR /27 或更大。
注: 输出 IP 地址和输入 IP 地址不得重叠。
命名空间网络范围 1 一个或多个 IP CIDR,以创建子网/分段并将 IP 地址分配给工作负载。
命名空间子网前缀 1 子网前缀,以指定为命名空间分段预留的子网大小。Default is 28.
表 5. NSX 要求
组件 最小数量 V
VLAN 3 这些 VLAN IP 是隧道端点 (TEP) 的 IP 地址。ESXi 主机 TEP 和 Edge TEP 必须可路由。
以下对象需要 VLAN IP 地址:
  • ESXi 主机 VTEP
  • 使用静态 IP 的 Edge VTEP
  • 传输节点的第 0 层网关和上行链路。
注: ESXi 主机 VTEP 和 Edge VTEP 的 MTU 大小必须大于 1600。

ESXi 主机和 NSX-T Edge 节点充当隧道端点,并会向每个主机和 Edge 节点分配隧道端点 (TEP) IP。

由于 ESXi 主机的 TEP IP 会在 Edge 节点上创建具有 TEP IP 的覆盖通道,因此 VLAN IP 应当可路由。

需要使用额外的 VLAN 来提供与第 0 层网关的南北向连接。

可以在集群之间共享 IP 池。但是,主机覆盖网络 IP 池/VLAN 不得与 Edge 覆盖网络 IP 池/VLAN 共享。

注: 如果主机 TEP 和 Edge TEP 使用不同的物理网卡,则使用相同的 VLAN。
第 0 层上行链路 IP /24 个专用 IP 地址 用于第 0 层上行链路的 IP子网。第 0 层上行链路的 IP 地址要求如下所示:
  • 1 个 IP:如果不使用 Edge 冗余。
  • 4 个 IP:如果使用 BGP 和 Edge 冗余,则每个 Edge 2 个 IP 地址。
  • 3 个 IP:如果使用静态路由和 Edge 冗余。

Edge 管理 IP、子网、网关、上行链路 IP、子网和网关必须唯一。
表 6. 负载均衡器网络要求
NTP 和 DNS 服务器 1 NSX Advanced Load Balancer 控制器需要 DNS 服务器 IP 才能正确解析 vCenter Server 和 ESXi 主机名。NTP 为可选项,因为默认情况下使用公共 NTP 服务器。
数据网络子网 1 服务引擎的数据接口连接到此网络。为服务引擎配置 IP 地址池。从此网络分配负载均衡器虚拟 IP (VIP)。
NSX Advanced Load Balancer 控制器 IP 1 或 4 如果将 NSX Advanced Load Balancer 控制器部署为单个节点,则需要一个静态 IP 作为其管理接口。

对于 3 节点集群,需要 4 个 IP 地址。每个控制器虚拟机一个,集群 VIP 一个。这些 IP 必须来自管理网络子网。
VIP IPAM 范围 -

专用 CIDR 范围,用于将 IP 地址分配给 Kubernetes 服务。IP 必须来自数据网络子网。必须为每个主管集群指定唯一的 Kubernetes 服务 CIDR 范围。

端口和协议

下表列出了管理 NSX Advanced Load BalancervCenter Server 和其他 vSphere IaaS control plane 组件之间的 IP 连接所需的协议和端口。

目标 协议和端口
NSX Advanced Load Balancer 控制器 NSX Advanced Load Balancer 控制器(在集群中)

TCP 22 (SSH)

TCP 443 (HTTPS)

TCP 8443 (HTTPS)
服务引擎 用于实现 HA 的服务引擎

TCP 9001(对于 VMware、LSC 和 NSX-T 云)
服务引擎 NSX Advanced Load Balancer 控制器

TCP 22 (SSH)

TCP 8443 (HTTPS)

UDP 123 (NTP)
NSX Advanced Load Balancer 控制器 vCenter Server、ESXi、NSX-T Manager TCP 443 (HTTPS)
主管控制平面节点 (AKO) NSX Advanced Load Balancer 控制器 TCP 443 (HTTPS)

有关 NSX Advanced Load Balancer 的端口和协议的详细信息,请参见 https://ports.esp.vmware.com/home/NSX-Advanced-Load-Balancer