In diesem Abschnitt wird die Konfiguration von Ressourcen im NSX Manager-Richtlinienmodus beschrieben.

In der NCP-Konfigurationsdatei ncp.ini können Sie NSX-T-Ressourcen mit den jeweiligen UUIDs oder Namen angeben.

Gateways und Segment

  1. Erstellen Sie ein Segment für die Kubernetes-Knoten, z. B. ocp4-segment.
  2. Erstellen Sie ein Tier-0-Gateway, z. B. T0GW1. Legen Sie die Option top_tier_router im Abschnitt [nsx_v3] der ncp.ini mit der ID des Gateways fest, wenn Sie über keine gemeinsam genutzte Tier-1-Topologie verfügen. Weitere Informationen zum Konfigurieren einer gemeinsam genutzten Tier-1-Topologie finden Sie unten. Legen Sie den HA-Modus auf „Aktiv-Standby“ fest, wenn Sie NAT-Regeln auf diesem Gateway konfigurieren möchten. Andernfalls legen Sie ihn auf „aktiv-aktiv“ fest. Aktivieren Sie Route Redistribution. Konfigurieren Sie dieses Gateway auch für den Zugriff auf das externe Netzwerk.
  3. Erstellen Sie ein Tier-1-Gateway, z. B. T1GW1. Verbinden Sie dieses Gateway mit dem Tier-0-Gateway.
  4. Konfigurieren Sie die Router-Ankündigung für T1GW1. Mindestens NSX-verbundene und NAT-Routen müssen aktiviert sein.
  5. Verbinden Sie T1GW1 mit ocp4-segment. Stellen Sie sicher, dass die IP-Adresse des Gateway-Ports nicht mit den IP-Adressen der Kubernetes-Knoten in Konflikt steht.
  6. Stellen Sie für jede Knoten-VM sicher, dass die vNIC für den Container-Datenverkehr an das Segment angehängt ist, der automatisch erstellt wird. Sie finden sie unter Netzwerk > Segmente mit demselben Namen wie das Segment, also ocp4-segment.
  7. Wenn Sie DHCP verwenden, können Sie die statische Bindung von DHCP auf dem Segment für die Knoten bereitstellen.

Hinweis: Wenn ein Knoten mit mehreren Segmenten verbunden ist, kann NSX-T DHCP nur für eines der Segmente konfiguriert sein.

NCP muss die VIF-ID der vNIC kennen. Sie können ocp4-segment-Ports anzeigen, die automatisch erstellt werden, indem Sie Netzwerk > Segmente öffnen. Diese Ports können mit Ausnahme ihrer Tag-Eigenschaft nicht bearbeitet werden. Diese Ports müssen die folgenden Tags aufweisen:
  • Tag: <cluster_name>, Geltungsbereich: ncp/cluster
  • Tag: <node_name>, Geltungsbereich: ncp/node_name

Hinweis: Es ist nicht notwendig, die obigen Tags manuell hinzuzufügen. Sie werden automatisch vom NCP-Netzwerkoperator hinzugefügt.

IP-Blöcke für Kubernetes-Pods

IP-Blocks werden automatisch von NCP erstellt. NSX-Netzwerkoperator gibt den Wert des cidr-Parameters im Abschnitt networking.clusterNetwork für install-config.yaml an. Beispiel: 
networking: 
  networkType: ncp 
  clusterNetwork: 
  - cidr: 10.4.0.0/16 
    hostPrefix: 23 
  machineCIDR: 10.114.16.0/24 
  serviceNetwork: 
  - 172.30.0.0/16

Der Openshift 4-Adapter erstellt einen neuen IP-Block für jedes in der Datei install-config.yaml konfigurierte CIDR. Sie müssen darauf achten, ob es einen bestehenden IP-Block mit demselben CIDR gibt. Es wird nicht empfohlen, überlappende IP-Blöcke zu verwenden, da NCP die Routenankündigung für verbundene Subnetze zwischen Tier-0 und Tier-1 ermöglicht.

Externe IP-Pools

Ein Pool an externen IPs wird für die Zuweisung von IP-Adressen, die für die Übersetzung von Pod-IPs unter Verwendung von SNAT-Regeln genutzt werden, und für die Freilegung von Ingress-Controllern sowie Diensten des Typs Lastausgleich unter Verwendung von SNAT/DNAT-Regeln genutzt, genau wie Openstack-Floating-IPs. Diese IP-Adressen werden auch als „externe IP-Adressen“ bezeichnet.

Navigieren Sie zu Netzwerk > IP-Adressverwaltung > IP-Adresspools, um einen IP-Pool zu erstellen. Legen Sie die Option external_ip_pools im Abschnitt [nsx_v3] der ncp.ini (Teil des NCP-Netzwerkoperators) auf die UUIDs der IP-Pools fest. Wenn Sie möchten, dass NCP automatisch IP-Pools erstellt, können Sie die Option external_ip_pools mit einer kommagetrennten Liste von Adressen im CIDR-Format oder IP-Bereichen festlegen.

Mehrere Kubernetes-Cluster verwenden denselben externen IP-Pool. Jede NCP-Instanz verwendet einen Teil dieses Pools für den Kubernetes-Cluster, den sie verwaltet. Standardmäßig wird dasselbe Subnetzpräfix für Pod-Subnetze verwendet. Wen Sie eine andere Subnetzgröße verwenden möchten, aktualisieren Sie die external_subnet_prefix-Option im [nsx_v3]-Abschnitt in ncp.ini.

Sie können zu einem anderen IP-Pool wechseln, indem Sie die nsx-ncp-operator-config-configmap im nsx-system-operator-Element nach der Bereitstellung des Clusters ändern.

Gemeinsam genutzte Tier-1-Topologie

Das folgende Diagramm veranschaulicht eine gemeinsame Tier-1-Topologie.

Dies ist die einzige Topologie für OpenShift 4. Führen Sie zum Einrichten dieser Topologie die folgenden Konfigurationen aus:
  • Legen Sie die Option top_tier_router auf die ID des Tier-1-Gateways fest. Verbinden Sie das Tier-1-Gateway mit einem Tier-0-Gateway für externe Verbindungen.
  • Legen Sie die Option single_tier_topology auf True fest. Der Standardwert lautet False.
  • Wenn NCP den Top-Tier-Router automatisch als Tier-1-Gateway konfigurieren soll, heben Sie die Option top_tier_router auf und legen Sie die Option tier0_gateway fest. NCP erstellt ein Tier-1-Gateway und einen Uplink zum Tier-0-Gateway, das in der Option tier0_gateway angegeben ist.