Installieren und Konfigurieren von NSX Advanced Load Balancer

Bereitstellungstopologie von NSX Advanced Load Balancer

In Tanzu Kubernetes Grid enthält NSX Advanced Load Balancer die folgenden Komponenten:

  • Avi-Kubernetes-Operator (AKO) bietet L4–L7-Lastausgleich für Anwendungen, die in einem Kubernetes-Cluster für vertikalen Datenverkehr bereitgestellt werden. Er überwacht Kubernetes-Ingress-Objekte und Objekte des Diensttyps LoadBalancer und interagiert mit den Avi-Controller-APIs, um VirtualService-Objekte zu erstellen.
  • AKO Operator ist eine Anwendung, die die Kommunikation zwischen AKO und der Cluster-API ermöglicht. Er verwaltet den Lebenszyklus von AKO und bietet eine generische Schnittstelle zum Lastausgleichsdienst für die Knoten der Steuerungsebene des Clusters. AKO-Operator wird nur auf dem Verwaltungscluster bereitgestellt.
  • Dienst-Engines (Service Engines, SE) implementieren die Datenebene in einem VM-Formfaktor.
  • Dienst-Engine-Gruppen ermöglichen es, einen Satz von Dienst-Engines als Einheit zu isolieren, z. B. eine dedizierte SE-Gruppe für spezifische wichtige Namespaces. Dies bietet Kontrolle über den zu erstellenden Typ von SEs (CPU, Arbeitsspeicher usw.) sowie die Grenzwerte für die maximal zulässige Anzahl von SEs.
  • Avi-Controller verwaltet VirtualService-Objekte und interagiert mit der vCenter Server-Infrastruktur, um den Lebenszyklus der Dienst-Engines (Service Engines, SEs) zu verwalten. Er fungiert als Portal zum Anzeigen des Zustands von VirtualServices und SEs sowie der zugehörigen Analysen, die NSX Advanced Load Balancer bereitstellt. Er ist auch die Kontrollstelle für Überwachungs- und Wartungsvorgänge wie Sicherung und Wiederherstellung.

Tanzu Kubernetes Grid unterstützt NSX Advanced Load Balancer, die in einarmigen und mehrarmigen Netzwerktopologien bereitgestellt werden.

Hinweis

Wenn Sie NSX ALB Essentials Edition in einer mehrarmigen Netzwerktopologie bereitstellen möchten, müssen Sie sicherstellen, dass Sie keine Firewalls oder Netzwerkrichtlinien in den Netzwerken konfiguriert haben, die für die Kommunikation zwischen Avi SE und den Kubernetes-Clusterknoten konfiguriert sind. Um Firewall- oder Netzwerkrichtlinien in einer mehrarmigen Netzwerktopologie zu konfigurieren, in der NSX ALB bereitgestellt wird, benötigen Sie NSX Advanced Load Balancer Enterprise Edition mit aktivierter Auto-Gateway-Funktion.

Das folgende Diagramm stellt eine einarmige NSX ALB-Bereitstellung dar:

Bereitstellungstopologie von VMware NSX Advanced Load Balancer – Einarmig

Das folgende Diagramm stellt eine mehrarmige NSX ALB-Bereitstellung dar:

Bereitstellungstopologie von VMware NSX Advanced Load Balancer – Mehrarmig

Netzwerk

  • SEs werden im einarmigen oder zweiarmigen Modus in Bezug auf den Datenpfad bereitgestellt, mit Konnektivität sowohl zum VIP-Netzwerk als auch zum Arbeitslastcluster-Knotennetzwerk. Wenn Sie SEs in einer zweiarmigen Netzwerktopologie mithilfe von NSX ALB Essentials Edition bereitstellen möchten, müssen Sie sicherstellen, dass Sie keine Firewalls oder Netzwerkrichtlinien in den Netzwerken konfiguriert haben, die Sie verwenden möchten.
  • Das VIP-Netzwerk und die Arbeitslastnetzwerke müssen in derselben vCenter Cloud erkannt werden können, damit der Avi-Controller SEs erstellen kann, die an beide Netzwerke angehängt sind.
  • Die IP-Adressen der VIP- und SE-Datenschnittstelle werden aus dem VIP-Netzwerk zugeteilt.

IPAM

  • Wenn DHCP nicht verfügbar ist, wird IPAM für die IP-Adresse der VIP- und SE-Schnittstelle vom Avi-Controller verwaltet.
  • Das IPAM-Profil im Avi-Controller ist mit einer Cloud und einem Satz nutzbarer Netzwerke konfiguriert.
  • Wenn DHCP nicht für das VIP-Netzwerk konfiguriert ist, muss mindestens ein statischer Pool für das Zielnetzwerk erstellt werden.

Ressourcenisolierung

  • Die Isolierung der Datenebene über Arbeitslastcluster hinweg kann mithilfe von SE-Gruppen bereitgestellt werden. Der vSphere-Administrator kann eine dedizierte SE-Gruppe für einen Satz von Arbeitslastclustern konfigurieren, die isoliert werden müssen.
  • SE-Gruppen bieten die Möglichkeit, die Ressourcenmerkmale der vom Avi-Controller erstellten SEs zu steuern, z. B. CPU, Arbeitsspeicher usw.

Mandantenfähigkeit

Mit NSX Advanced Load Balancer Essentials werden alle Benutzer des Arbeitslastclusters mit einem einzelnen Administrator-Mandanten verknüpft.

Avi-Kubernetes-Operator

Avi-Kubernetes-Operator wird auf Arbeitslastclustern installiert. Er wird mit der Avi-Controller-IP-Adresse und den Benutzeranmeldedaten konfiguriert, die der Avi-Kubernetes-Operator für die Kommunikation mit dem Avi-Controller verwendet. Ein dedizierter Benutzer pro Arbeitslast wird mit dem Administrator-Mandanten und einer angepassten Rolle erstellt. Diese Rolle hat eingeschränkten Zugriff, wie in https://github.com/avinetworks/avi-helm-charts/blob/master/docs/AKO/roles/ako-essential.json definiert.

Installieren von Avi-Controller auf vCenter Server

Informationen zum Installieren von Avi auf vCenter Server finden Sie unter Installieren von Avi Vantage für VMware vCenter in der Avi-Dokumentation.

Informationen zum Installieren von Avi auf vCenter mit VMware NSX finden Sie unter Installieren von Avi Vantage for VMware vCenter mit NSX in der Avi-Dokumentation.

Hinweis

In den Versionshinweisen zu Tanzu Kubernetes Grid v2.1 erfahren Sie, welche Avi-Controller-Versionen in dieser Version unterstützt werden. Informationen zum Upgrade des Avi-Controllers finden Sie unter Flexible Upgrades for Avi Vantage.

Voraussetzungen für die Installation und Konfiguration von NSX ALB

Um die Integrationslösung Tanzu Kubernetes Grid NSX – Advanced Load Balancer zu aktivieren, müssen Sie den Avi-Controller bereitstellen und konfigurieren. Derzeit unterstützt Tanzu Kubernetes Grid die Bereitstellung des Avi-Controllers in vCenter Cloud und NSX-T Cloud.

Um sicherzustellen, dass die Integrationslösung Tanzu Kubernetes Grid – NSX Advanced Load Balancer funktioniert, muss die Netzwerktopologie Ihrer Umgebung die folgenden Anforderungen erfüllen:

  • Der Avi-Controller sollte über vCenter, den Verwaltungscluster und den Arbeitslastcluster erreichbar sein.
  • Der AKO im Verwaltungscluster und in den Arbeitslastclustern muss für den Avi-Controller erreichbar sein, um den Avi-Controller aufzufordern, die Datenebene des Diensttyps „Load Balancer“ und „Ingress“ zu implementieren.
  • Die Avi-Dienst-Engine (SE) muss von den Kubernetes-Clustern aus erreichbar sein, für die die SE die Lastausgleichsdatenebene bereitstellt.
  • Die Avi-Dienst-Engine muss den Datenverkehr an den Cluster weiterleiten, für den sie Lastausgleichsfunktionen bereitstellt.

NSX Cloud

Die Integration von Tanzu Kubernetes Grid in NSX und NSX Advanced Load Balancer (Avi) wird in den folgenden Versionen unterstützt:

NSX Avi-Controller Tanzu Kubernetes Grid
3.0+ 20.1.1+ 1.5.2+

Avi-Controller-Einrichtung: IPAM und DNS

Es müssen zusätzliche Einstellungen in der Controller-Benutzeroberfläche konfiguriert werden, bevor Sie NSX Advanced Load Balancer verwenden können.

  1. Navigieren Sie auf der Controller-Benutzeroberfläche zu Vorlagen (Templates) > Profile (Profiles) > IPAM-/DNS-Profile (IPAM/DNS Profiles), klicken Sie auf Erstellen (Create) und wählen Sie IPAM-Profil (IPAM Profile) aus.

    • Geben Sie einen Namen für das Profil ein, z. B. tkg-ipam-profile.
    • Lassen Sie den Typ (Type) auf Avi Vantage IPAM eingestellt.
    • Lassen Sie IP in VRF zuteilen (Allocate IP in VRF) deaktiviert.
    • Klicken Sie auf Verwendbares Netzwerk hinzufügen (Add Usable Network).
    • Wählen Sie Default-Cloud aus.
    • Wählen Sie unter Verwendbares Netzwerk (Usable Network) das Netzwerk aus, dem die virtuellen IPs zugeteilt werden sollen. Wenn Sie eine flache Netzwerktopologie verwenden, kann dies dasselbe Netzwerk (Verwaltungsnetzwerk) sein, das Sie im vorherigen Prozess ausgewählt haben. Wählen Sie für eine andere Netzwerktopologie ein separates Portgruppennetzwerk für die virtuellen IPs aus.
    • (Optional) Klicken Sie auf Nutzbares Netzwerk hinzufügen (Add Usable Network), um zusätzliche VIP-Netzwerke zu konfigurieren.
    • Klicken Sie auf Speichern.

    Konfigurieren eines IPAM- und DNS-Profils

  2. Klicken Sie in der Ansicht IPAM-/DNS-Profile erneut auf Erstellen (Create) und wählen Sie DNS-Profil aus.

    Hinweis

    Das DNS-Profil ist optional für die Verwendung des Diensttyps LoadBalancer.

    • Geben Sie einen Namen für das Profil ein, z. B. tkg-dns-profile.
    • Wählen Sie für Typ (Type) die Option AVI Vantage DNS aus.
    • Klicken Sie auf DNS-Dienstdomäne hinzufügen (Add DNS Service Domain) und geben Sie mindestens einen Eintrag für Domänennamen (Domain Name) ein, z. B. tkg.nsxlb.vmware.com.
      • Dieser sollte aus einer DNS-Domäne stammen, die Sie verwalten können.
      • Dies ist wichtiger für die L7-Ingress-Konfigurationen für Arbeitslastcluster, in denen der Controller die Logik zum Weiterleiten von Datenverkehr auf Hostnamen basiert.
      • Ingress-Ressourcen, die der Controller verwaltet, sollten Hostnamen verwenden, die zu dem hier ausgewählten Domänennamen gehören.
      • Dieser Domänenname wird auch für Dienste vom Typ LoadBalancer verwendet. Er ist jedoch vor allem relevant, wenn Sie AVI DNS VS als Namenserver verwenden.
      • Jeder virtuelle Dienst erstellt einen Eintrag in der AVI-DNS-Konfiguration. Beispiel: service.namespace.tkg-lab.vmware.com.
    • Klicken Sie auf Speichern.

    Erstellen des DNS-Profils

  3. Klicken Sie auf das Menü in der oberen linken Ecke und wählen Sie Infrastruktur (Infrastructure) > Clouds aus.

  4. Klicken Sie für Standard-Cloud (Default-Cloud) auf das Bearbeitungssymbol und wählen Sie unter IPAM-Profil und DNS-Profil die oben erstellten IPAM- und DNS-Profile aus.

    Fügen Sie die IPAM- und DNS-Profile zur Cloud hinzu.

  5. Wählen Sie die Registerkarte DataCenter (Datencenter) aus.

    • Lassen Sie „DHCP“ aktiviert. Dies wird pro Netzwerk festgelegt.
    • Lassen Sie die Kontrollkästchen IPv6… und Statische Routen (Static Routes)… deaktiviert.
  6. Aktualisieren Sie den Abschnitt Netzwerk (Network) noch nicht.

  7. Speichern Sie die Cloud-Konfiguration.
  8. Navigieren Sie zu Infrastruktur (Infrastructure) > Cloud-Ressourcen (Cloud Resources) > Netzwerke (Networks) und klicken Sie auf das Bearbeitungssymbol für das Netzwerk, das Sie als VIP-Netzwerk verwenden.

    Netzwerk für VIP-Netzwerk bearbeiten

  9. Eine bearbeitbare Liste von IP-Bereichen im IP-Adresspool wird angezeigt. Klicken Sie auf Statischen IP-Adresspool hinzufügen (Add Static IP Address Pool).

    Adresspool für VIP-Netzwerk bearbeiten

  10. Geben Sie einen IP-Adressbereich innerhalb der Subnetzgrenzen für den Pool statischer IP-Adressen ein, der als VIP-Netzwerk verwendet werden soll, z. B. 192.168.14.210-192.168.14.219. Klicken Sie auf Speichern (Save).

    IP-Pool für VIP-Netzwerk eingeben

(Empfohlen) Avi-Controller-Einrichtung: Virtueller Dienst

Wenn die SE-Gruppe, die Sie mit dem Verwaltungscluster verwenden möchten, über keinen virtuellen Dienst verfügt, kann dies darauf hinweisen, dass für diese SE-Gruppe keine Dienst-Engines ausgeführt werden. Daher muss der Bereitstellungsvorgang des Verwaltungsclusters warten, bis eine Dienst-Engine erstellt wird. Die Erstellung einer Dienst-Engine ist zeitaufwändig, da dafür eine neue VM bereitgestellt werden muss. Bei schlechten Netzwerkbedingungen kann dies zu einer internen Zeitüberschreitung führen, die verhindert, dass der Bereitstellungsvorgang des Verwaltungsclusters erfolgreich abgeschlossen wird.

Um dieses Problem zu vermeiden, wird empfohlen, vor der Bereitstellung des Verwaltungsclusters einen virtuellen Dummy-Dienst über die Benutzeroberfläche des Avi-Controllers zu erstellen, um die Erstellung einer Dienst-Engine auszulösen.

Um zu überprüfen, ob der SE-Gruppe ein virtueller Dienst zugewiesen ist, navigieren Sie in der Controller-Benutzeroberfläche zu Infrastruktur (Infrastructure) > Dienst-Engine-Gruppe (Service Engine Group) und zeigen Sie die Details der SE-Gruppe an. Wenn der SE-Gruppe kein virtueller Dienst zugewiesen ist, erstellen Sie einen virtuellen Dummy-Dienst:

  1. Navigieren Sie auf der Controller-Benutzeroberfläche zu Anwendungen (Applications) > Virtueller Dienst (Virtual Service).

  2. Klicken Sie auf Virtuellen Dienst erstellen (Create Virtual Service) und wählen Sie Grundlegende Einrichtung (Basic Setup) aus.

  3. Konfigurieren der VIP:

    1. Wählen Sie Automatisch zuteilen (Auto-Allocate) aus.
    2. Wählen Sie das VIP-Netzwerk (VIP Network) und das VIP-Subnetz (VIP Subnet) aus, dass für Ihr IPAM-Profil unter Avi-Controller-Einrichtung: IPAM und DNS konfiguriert haben.
    3. Klicken Sie auf Speichern.
Hinweis

Sie können den virtuellen Dummy-Dienst löschen, nachdem der Verwaltungscluster erfolgreich bereitgestellt wurde.

Umfassende Informationen zur Erstellung eines virtuellen Diensts, die über die Erstellung eines Dummy-Diensts hinausgehen, finden Sie unter Create a Virtual Service in der Avi Networks-Dokumentation.

Avi-Controller-Einrichtung: Benutzerdefiniertes Zertifikat

Das Standardzertifikat für NSX Advanced Load Balancer enthält nicht die IP oder den FQDN des Controllers in den SANs (Subject Alternative Names). Es müssen jedoch gültige SANs müssen im Avi-Controller-Zertifikat definiert werden. Folglich müssen Sie ein benutzerdefiniertes Zertifikat erstellen, das zusammen mit den Verwaltungsclustern bereitgestellt werden soll.

  1. Klicken Sie in der Controller-Benutzeroberfläche auf das Menü in der oberen linken Ecke und wählen Sie Vorlagen (Templates) > Sicherheit (Security) > SSL-/TLS-Zertifikate (SSL/TLS Certificates) aus. Klicken Sie dann auf Erstellen (Create) und wählen Sie Controller-Zertifikat (Controller Certificate) aus.
  2. Geben Sie denselben Namen in die Textfelder Name und Gemeinsamer Name (Common Name) ein.
  3. Wählen Sie Selbstsigniert (Self-Signed) aus.
  4. Geben Sie als Subject Alternativer Name (SAN) entweder die IP-Adresse oder den FQDN der Controller-VM ein, oder geben Sie beides ein.

    Wenn nur die IP-Adresse oder der FQDN verwendet wird, muss diese/r mit dem Wert übereinstimmen, den Sie bei der Konfiguration von VMware NSX Advanced Load Balancer für den Controller-Host verwenden oder in der Variablen AVI_CONTROLLER in der Konfigurationsdatei des Verwaltungsclusters angeben.

  5. Lassen Sie die anderen Felder leer und klicken Sie auf Speichern (Save).
  6. Wählen Sie im Menü in der oberen linken Ecke Administration > Einstellungen (Settings) > Zugriffseinstellungen (Access Settings) aus und klicken Sie auf das Bearbeitungssymbol in Systemzugriffseinstellungen (System Access Settings).
  7. Löschen Sie alle Zertifikate in SSL-/TLS-Zertifikat (SSL/TLS Certificate).
  8. Verwenden Sie das Dropdown-Menü SSL-/TLS-Zertifikat (SSL/TLS Certificate), um das oben erstellte benutzerdefinierte Zertifikat hinzuzufügen.
  9. Wählen Sie im Menü in der oberen linken Ecke Vorlagen (Templates) > Sicherheit (Security) > SSL-/TLS-Zertifikate (SSL/TLS Certificates) aus. Wählen Sie dann das Zertifikat aus, das Sie erstellen, und klicken Sie auf das Exportsymbol.
  10. Kopieren Sie die Zertifikatinhalte.

    Sie benötigen die Inhalte des Zertifikats, wenn Sie Verwaltungscluster bereitstellen.

check-circle-line exclamation-circle-line close-line
Scroll to top icon