In einer vSphere with Tanzu-Umgebung kann ein Supervisor-Cluster entweder den vSphere-Netzwerk-Stack oder VMware NSX-T Data Center™ verwenden, um Konnektivität für Kubernetes-Steuerungsebenen-VMs, Dienste und Arbeitslasten bereitzustellen. Wenn ein Supervisor-Cluster mit dem vSphere-Netzwerk-Stack konfiguriert ist, werden alle Hosts aus dem Cluster mit einem vSphere Distributed Switch verbunden, der Kubernetes-Arbeitslasten und Steuerungsebenen-VMs Konnektivität bereitstellt. Ein Supervisor-Cluster, der den vSphere-Netzwerk-Stack verwendet, benötigt einen Lastausgleichsdienst im vCenter Server-Verwaltungsnetzwerk, um DevOps-Benutzern und externen Diensten Konnektivität bereitzustellen. Ein Supervisor-Cluster, der mit VMware NSX-T Data Center™ konfiguriert ist, verwendet die softwarebasierten Netzwerke der Lösung sowie einen NSX Edge-Lastausgleichsdienst, der externen Diensten und DevOps-Benutzern Konnektivität bereitstellt.

Supervisor-Cluster-Netzwerk mit NSX-T Data Center

VMware NSX-T Data Center™ bietet Netzwerkkonnektivität zu den Objekten innerhalb des Supervisor-Clusters und externen Netzwerken. Die Konnektivität mit den ESXi-Hosts, die den Cluster umfassen, wird von den standardmäßigen vSphere-Netzwerken verarbeitet.

Sie können das Supervisor-Cluster-Netzwerk auch manuell konfigurieren, indem Sie eine vorhandene NSX-T Data Center-Bereitstellung verwenden oder eine neue NSX-T Data Center-Instanz bereitstellen.

In der folgenden Tabelle sind die unterstützten Versionen von NSX-T Data Center aufgelistet:
vSphere with Tanzu NSX-T Data Center
Version 7.0 Update 3 Versionen 3.0, 3.0.x, 3.1, 3.1.1, 3.1.2 und 3.1.3.
Version 7.0 Update 2 Versionen 3.0, 3.0.x, 3.1, 3.1.1 und 3.1.2.
Version 7.0 Update 1c Versionen 3.0, 3.0.x, 3.1 und 3.1.1.
Version 7.0 Update 1 Versionen 3.0, 3.0.1, 3.0.1.1 und 3.0.2.
Version 7.0 Version 3.0

In diesem Abschnitt wird die Netzwerktopologie beschrieben, wenn Sie vSphere with Tanzu, Version 7.0 Update 2 installieren und konfigurieren. Informationen zum Upgrade beim Upgrade von vSphere with Tanzu Version 7.0 Update 1 auf Version 7.0 Update 2 finden Sie unter Upgrade der Netzwerktopologie.

Abbildung 1. Supervisor-Cluster-Netzwerk
Supervisor-Clusternetzwerk.
  • NSX Container Plug-in (NCP) bietet Integration zwischen NSX-T Data Center und Kubernetes. Die Hauptkomponente von NCP wird in einem Container ausgeführt und kommuniziert mit NSX Manager und mit der Kubernetes-Steuerungsebene. NCP überwacht Änderungen an Containern und anderen Ressourcen und verwaltet Netzwerkressourcen wie logische Ports, Segmente, Router und Sicherheitsgruppen für die Container durch Aufrufen der NSX API.

    Das NCP erstellt standardmäßig ein freigegebenes Tier-1-Gateway für System-Namespaces und ein Tier-1-Gateway und einen Lastausgleichsdienst für jeden Namespace. Das Tier-1-Gateway ist mit dem Tier-0-Gateway und einem Standardsegment verbunden.

    System-Namespaces sind Namespaces, die von den Kernkomponenten verwendet werden, die für das Funktionieren des Supervisor-Clusters und von Tanzu Kubernetes von wesentlicher Bedeutung sind. Die freigegebenen Netzwerkressourcen, die das Tier-1-Gateway, den Lastausgleichsdienst und die SNAT-IP enthalten, sind in einem System-Namespace gruppiert.

  • NSX Edge bietet Konnektivität von externen Netzwerken zu Supervisor-Cluster-Objekten. Der NSX Edge-Cluster verfügt über einen Load Balancer, der Redundanz für die Kubernetes-API-Server auf den Steuerungsebenen-VMs sowie für alle Anwendungen bietet, die veröffentlicht werden müssen und auf die ein Zugriff von außerhalb des Supervisor-Clusters möglich sein muss.
  • Ein Tier-0-Gateway ist mit dem NSX Edge-Cluster verknüpft, um das Routing zum externen Netzwerk bereitzustellen. Die Uplink-Schnittstelle verwendet entweder das dynamische Routing-Protokoll, BGP oder statisches Routing.
  • Jeder vSphere-Namespace verfügt über ein separates Netzwerk und eine Reihe von Netzwerkressourcen, die von Anwendungen innerhalb des Namespace gemeinsam genutzt werden, wie z. B. das Tier-1-Gateway, den Lastausgleichsdienst und die SNAT-IP-Adresse.
  • Arbeitslasten, die in vSphere Pods, regulären VMs oder Tanzu Kubernetes-Clustern ausgeführt werden, die sich im selben Namespace befinden, nutzen dieselbe SNAT-IP für die Nord-Süd-Konnektivität.
  • Arbeitslasten, die in vSphere Pods oder Tanzu Kubernetes-Clustern ausgeführt werden, haben dieselbe Isolationsregel, die von der Standard-Firewall implementiert wird.
  • Eine eigene SNAT-IP ist nicht für jeden Kubernetes-Namespace erforderlich. Die Ost-West-Konnektivität zwischen Namespaces ist kein SNAT.
  • Die Segmente für die einzelnen Namespaces befinden sich auf dem im Standardmodus funktionierenden vSphere Distributed Switch (VDS), der dem NSX Edge-Cluster zugeordnet ist. Das Segment stellt dem Supervisor-Cluster ein Overlay-Netzwerk zur Verfügung.
  • Supervisor-Cluster verfügen über getrennte Segmente innerhalb des gemeinsam genutzten Tier-1-Gateways. Für jeden Tanzu Kubernetes-Cluster werden Segmente innerhalb des Tier-1-Gateways des Namespace definiert.
  • Die Spherelet-Prozesse auf den einzelnen ESXi-Hosts kommunizieren mit vCenter Server über eine Schnittstelle im Verwaltungsnetzwerk.

Um mehr über Supervisor-Cluster-Netzwerke zu erfahren, sehen Sie sich das Video vSphere 7 with Kubernetes-Netzwerkdienst – Teil 1 – Der Supervisor-Cluster an.

Netzwerkkonfigurationsmethoden mit NSX-T Data Center

Der Supervisor-Cluster verwendet eine Opinionated-Netzwerkkonfiguration, d. h. eine Konfiguration, bei der ein bestimmter Ansatz als besser geeignet eingestuft und entsprechend priorisiert wird. Zum Konfigurieren des Supervisor-Cluster-Netzwerks mit NSX-T Data Center gibt es zwei Methoden, die zur Bereitstellung desselben Netzwerkmodells führen:
  • Die einfachste Möglichkeit zur Konfiguration des Supervisor-Cluster-Netzwerks besteht darin, VMware Cloud Foundation SDDC Manager zu verwenden. Weitere Informationen finden Sie in der Dokumentation zu VMware Cloud Foundation SDDC Manager. Weitere Informationen finden Sie unter Arbeiten mit Arbeitslastverwaltung.
  • Sie können das Supervisor-Cluster-Netzwerk auch manuell konfigurieren, indem Sie eine vorhandene NSX-T Data Center-Bereitstellung verwenden oder eine neue NSX-T Data Center-Instanz bereitstellen. Weitere Informationen hierzu finden Sie unter Installieren und Konfigurieren von NSX-T Data Center für vSphere with Tanzu.

Supervisor-Cluster-Netzwerk mit vSphere Distributed Switch

Ein Supervisor-Cluster, der durch einen vSphere Distributed Switch gestützt wird, verwendet verteilte Portgruppen als Arbeitslastnetzwerke für Namespaces.

Abbildung 2. Namespace-Netzwerk mit vSphere Distributed Switch

Namespace-Netzwerk mit vSphere Distributed Switch

Abhängig von der für den Supervisor-Cluster implementierten Topologie können Sie eine oder mehrere verteilte Portgruppen als Arbeitslastnetzwerke verwenden. Das Netzwerk, das den Kubernetes-Steuerungsebenen-VMs Konnektivität bereitstellt, wird als primäres Arbeitslastnetzwerk bezeichnet. Sie können dieses Netzwerk allen Namespaces auf dem Supervisor-Cluster zuweisen. Sie können aber auch verschiedene Netzwerke für jeden Namespace verwenden. Die Tanzu Kubernetes-Cluster stellen eine Verbindung zu dem Arbeitslastnetzwerk her, das dem Namespace zugewiesen wird, in dem sich der Cluster befindet.

Ein von einem vSphere Distributed Switch gestützter Supervisor-Cluster verwendet einen Lastausgleichsdienst (Load Balancer), um DevOps-Benutzern und externen Diensten Konnektivität bereitzustellen. Sie können die -NSX Advanced Load Balancer oder den HAProxy-Lastausgleichsdienst verwenden.

Weitere Informationen finden Sie unter Konfigurieren des vSphere-Netzwerks und NSX Advanced Load Balancer für vSphere with Tanzu und Installieren und Konfigurieren des HAProxy-Lastausgleichsdiensts.