TKG 集群的 NSX 网络连接对象

本主题列出了对主管使用 NSX 网络连接时为 TKG 集群创建的网络连接对象。

每个 TKG 集群应具有以下网络资源：虚拟网络、虚拟网络接口和虚拟机服务。

启用 vSphere IaaS control plane 并部署主管实例时，系统会自动置备 NSX 嵌入式负载均衡器。此负载均衡器适用于主管控制平面，并可用于访问 Kubernetes API 服务器。

为 TKG 集群创建 LoadBalancer 类型的 Kubernetes 服务时，将为该服务置备 NSX 嵌入式负载均衡器。

网络对象	网络资源	描述
VirtualNetwork	Tier-1 路由器和链接的分段	集群的节点网络
虚拟网络接口	分段上的逻辑端口	集群节点的节点网络接口
VirtualMachineService	不适用	已创建 VirtualMachineService 并将其转换为 k8s 服务。
服务	具有 VirtualServer 实例的负载均衡器服务器和关联的服务器池（成员池）	已创建负载均衡器类型的 Kubebernetes 服务，以访问 TKG 集群 API 服务器。
端点	端点成员（TKG 集群控制平面节点）应位于成员池中。	将创建一个端点以包含所有 TKG 集群控制平面节点。
主管中的 VirtualMachineService	不适用	在主管中创建 VirtualMachineService 并在主管中转换为 Kubernetes 服务
主管中的负载均衡器服务	TKG 集群负载均衡器中的 VirtualServer 以及关联的成员池。	在主管中创建负载均衡器服务以访问此 LB 类型的服务
主管中的端点	端点成员（TKG 集群工作节点）应位于 NSX 中的成员池中。	将创建一个端点以包含所有 TKG 集群工作节点
TKG 集群中的负载均衡器服务	不适用	用户部署的 TKG 集群中的负载均衡器服务应使用负载均衡器 IP 更新其状态

节点网络连接

每个 TKG 集群应创建以下网络对象和关联的 NSX 资源。

网络对象	NSX 资源	描述	IPAM
VirtualNetwork	Tier-1 网关和链接分段	TKG 集群的节点网络	已分配 SNAT IP
虚拟网络接口	链接分段上的逻辑端口	TKG 集群节点的节点网络接口	为每个节点分配一个 IP

网络对象	网络资源	描述	IPAM
VirtualMachineService	不适用	VirtualMachineService 已创建并转换为 Kubernetes 服务。	包括负载均衡器 VIP
服务	具有 VirtualServer 实例的负载均衡器服务器和关联的服务器池（成员池）	已创建负载均衡器类型的 Kubebernetes 服务，以访问 TKG 集群 API 服务器。	分配外部 IP。
端点	端点成员是 TKG 集群控制平面节点且应位于成员池中。	将创建一个端点以包含所有 TKG 集群控制平面节点。	不适用

对于创建的每个 TKG 集群，系统会创建小型 NSX 负载均衡器的单个实例。此负载均衡器包含下表中列出的对象：

对象数量	描述
1	用于在端口 8443 上访问 Kubernetes 控制平面 API 的虚拟服务器 (VS)。
1	包含 3 个 Kubernetes 控制平面节点的服务器池。
1	用于 HTTP 输入控制器的 VS。
1	用于 HTTPS 输入控制器的 VS。

对于创建的每个 TKG 集群，系统会在 Tier-0 逻辑路由器上定义以下NSX NAT 规则：

对象数量	描述
1	使用浮动 IP 池中的 1 个 IP 作为转换的 IP 地址，为每个 Kubernetes 命名空间创建的 SNAT 规则。
1	（仅限 NAT 拓扑）使用浮动 IP 池中的 1 个 IP 作为转换的 IP 地址，为每个 Kubernetes 集群创建的 SNAT 规则。Kubernetes 集群子网派生自使用 /24 网络掩码的节点 IP 段。

对于创建的每个 TKG 集群，系统会定义以下NSX分布式防火墙规则：

对象数量	描述
1	`kube-dns` 的 DFW 规则，应用于 CoreDNS Pod 逻辑端口
1	命名空间中验证器的 DFW 规则，应用于验证器 Pod 逻辑端口