NSX Container Plug-in (NCP) stellt eine Integration zwischen NSX-T Data Center und der Container-Orchestrierung wie z. B. Kubernetes sowie die Integration zwischen NSX-T Data Center und Container-basierten PaaS-Softwareprodukten (Plattform als Dienst), wie z. B. OpenShift, bereit. Dieses Handbuch beschreibt das Einrichten von NCP mit OpenShift.

Die Hauptkomponente von NCP wird in einem Container ausgeführt und kommuniziert mit NSX Manager und mit der OpenShift-Steuerungsebene. NCP überwacht Änderungen an den Containern und anderen Ressourcen und verwaltet Netzwerkressourcen wie logische Ports, Switches, Router und Sicherheitsgruppen für die Container per Aufruf der NSX API.

Das NSX CNI-Plugin wird auf jedem OpenShift-Knoten ausgeführt. Es überwacht Ereignisse im Container-Lebenszyklus, verbindet eine Containerschnittstelle mit dem Gast-vSwitch und programmiert den Gast-vSwitch für die Kennzeichnung und Weiterleitung des Containerdatenverkehrs zwischen den Containerschnittstellen und der VNIC.

NCP bietet die folgenden Funktionen:

  • Es erstellt automatisch eine logische NSX-T-Topologie für einen OpenShift-Cluster und erstellt ein separates logisches Netzwerk für jeden OpenShift-Namespace.

  • Es verbindet OpenShift-Pods mit dem logischen Netzwerk und weist IP- und MAC-Adressen zu.

  • Es unterstützt Netzwerkadressübersetzung (Network Address Translation – NAT) und weist eine separate SNAT-IP für jeden OpenShift-Namespace zu.

    Hinweis:

    Bei der Konfiguration von NAT darf die Gesamtzahl der übersetzten IPs 1000 nicht überschreiten.

  • Es implementiert OpenShift-Netzwerkrichtlinien mit verteilter NSX-T-Firewall.

    • Unterstützung für Ingress- und Egress-Netzwerkrichtlinien.

    • Unterstützung für IPBlock-Selektor in Netzwerkrichtlinien.

    • Unterstützung für matchLabels und matchExpression beim Angeben von Bezeichnungsselektoren für Netzwerkrichtlinien.

  • Es implementiert eine OpenShift-Route mit NSX-T-Load Balancer der Schicht 7.

    • Unterstützung für HTTP-Route und HTTPS-Route mit TLS-Edge-Beendigung.

    • Unterstützung für Routen mit alternativen Backends und Unterdomänen als Platzhalter.

  • Es erstellt auf dem logischen NSX-T-Switch-Port Tags für den Namespace, den Pod-Namen und die Bezeichnungen eines Pods und lässt zu, dass der Administrator die NSX-T Data Center-Sicherheitsgruppen und -richtlinien basierend auf den Tags festlegt.

In dieser Version unterstützt NCP einen einzelnen OpenShift-Cluster.