Supervisor-Netzwerk

In einer vSphere IaaS control plane-Umgebung kann ein Supervisor entweder den vSphere-Netzwerk-Stack oder NSX verwenden, um Konnektivität für Supervisor-Steuerungsebenen-VMs, Dienste und Arbeitslasten bereitzustellen.

Wenn ein Supervisor mit dem vSphere-Netzwerk-Stack konfiguriert ist, werden alle Hosts aus dem Supervisor mit einem vDS verbunden, der Arbeitslasten und Supervisor-Steuerungsebenen-VMs Konnektivität bereitstellt. Ein Supervisor, der den vSphere-Netzwerk-Stack verwendet, benötigt einen Lastausgleichsdienst im vCenter Server-Verwaltungsnetzwerk, um DevOps-Benutzern und externen Diensten Konnektivität bereitzustellen.

Ein Supervisor, der mit NSX konfiguriert ist, verwendet die softwarebasierten Netzwerke der Lösung sowie einen NSX Edge-Lastausgleichsdienst oder den NSX Advanced Load Balancer, der externen Diensten und DevOps-Benutzern Konnektivität bereitstellt. Sie können den NSX Advanced Load Balancer auf NSX konfigurieren, wenn Ihre Umgebung die folgenden Bedingungen erfüllt:

NSX-Version ist 4.1.1 oder höher.
Die NSX Advanced Load Balancer Version ist 22.1.4 oder höher mit der Enterprise-Lizenz.
Der NSX Advanced Load Balancer Controller, den Sie konfigurieren möchten, ist auf NSX registriert.
Ein NSX-Lastausgleichsdienst ist auf dem Supervisor noch nicht konfiguriert.

Supervisor-Netzwerk mit VDS

In einem Supervisor, der von VDS als Netzwerk-Stack gestützt wird, müssen alle Hosts aus den vSphere-Clustern, die den Supervisor unterstützen, mit demselben VDS verbunden sein. Der Supervisor verwendet verteilte Portgruppen als Arbeitslastnetzwerke für Kubernetes-Arbeitslasten und Datenverkehr auf Steuerungsebene. Sie weisen Arbeitslastnetzwerke Namespaces im Supervisor zu.

Abhängig von der für den Supervisor implementierten Topologie können Sie eine oder mehrere verteilte Portgruppen als Arbeitslastnetzwerke verwenden. Das Netzwerk, das den Supervisor-Steuerungsebenen-VMs Konnektivität bereitstellt, wird als primäres Arbeitslastnetzwerk bezeichnet. Sie können dieses Netzwerk allen Namespaces auf dem Supervisor zuweisen. Sie können aber auch verschiedene Netzwerke für jeden Namespace verwenden. Die Tanzu Kubernetes Grid-Cluster stellen eine Verbindung zu dem Arbeitslastnetzwerk her, das dem Namespace zugewiesen wird, in dem sich der Cluster befindet.

Ein von einem VDS gestützter Supervisor verwendet einen Lastausgleichsdienst, um DevOps-Benutzern und externen Diensten Konnektivität bereitzustellen. Sie können die -NSX Advanced Load Balancer oder den HAProxy-Lastausgleichsdienst verwenden.

Weitere Informationen finden Sie unter Installieren und Konfigurieren von NSX Advanced Load Balancer und Installieren und Konfigurieren von HAProxy-Lastausgleichsdienst.

In einer Supervisor-Einrichtung mit einem Cluster wird Supervisor nur von einem vSphere-Cluster gestützt. Alle Hosts aus dem Cluster müssen mit einem VDS verbunden sein.

Netzwerkarchitektur von einem mit dem VDS-Netzwerk-Stack konfigurierten Supervisor. — Abbildung 1. Supervisor-Netzwerk mit einem Cluster und VDS

In einem Supervisor für drei Zonen stellen Sie Supervisor auf drei vSphere-Zonen bereit, die jeweils einem vSphere-Cluster zugeordnet sind. Alle Hosts aus diesen vSphere-Clustern müssen mit demselben VDS verbunden sein. Alle physischen Server müssen mit einem L2-Gerät verbunden sein. Arbeitslastnetzwerke, die Sie für den Namespace konfigurieren, erstrecken sich über alle drei vSphere-Zonen.

Netzwerkarchitektur von einem Supervisor, der auf drei vSphere-Zonen ausgeführt wird, wobei sich jedes Arbeitslastnetzwerk über alle drei Zonen erstreckt. — Abbildung 2. Supervisor-Netzwerk für drei Zonen und VDS

Supervisor-Netzwerk mit NSX

NSX bietet Netzwerkkonnektivität zu den Objekten innerhalb des Supervisors und externen Netzwerken. Die Konnektivität mit den ESXi-Hosts, die den Cluster umfassen, wird von den standardmäßigen vSphere-Netzwerken verarbeitet.

Sie können das Supervisor-Netzwerk auch manuell konfigurieren, indem Sie eine vorhandene NSX-Bereitstellung verwenden oder eine neue NSX-Instanz bereitstellen.

Weitere Informationen finden Sie unter Installieren und Konfigurieren von NSX for vSphere IaaS control plane.

Netzwerkarchitektur von einem Supervisor, der mit dem NSX-Netzwerk-Stack konfiguriert wurde. — Abbildung 3. Supervisor-Netzwerk mit NSX

NSX Container Plugin (NCP) bietet Integration zwischen NSX und Kubernetes. Die Hauptkomponente von NCP wird in einem Container ausgeführt und kommuniziert mit NSX Manager und mit der Kubernetes-Steuerungsebene. NCP überwacht Änderungen an Containern und anderen Ressourcen und verwaltet Netzwerkressourcen wie logische Ports, Segmente, Router und Sicherheitsgruppen für die Container durch Aufrufen der NSX API.
Das NCP erstellt standardmäßig ein freigegebenes Tier-1-Gateway für System-Namespaces und ein Tier-1-Gateway und einen Lastausgleichsdienst für jeden Namespace. Das Tier-1-Gateway ist mit dem Tier-0-Gateway und einem Standardsegment verbunden.
System-Namespaces sind Namespaces, die von den Kernkomponenten verwendet werden, die für das Funktionieren des Supervisors und der Tanzu Kubernetes Grid-Cluster von wesentlicher Bedeutung sind. Die freigegebenen Netzwerkressourcen, die das Tier-1-Gateway, den Lastausgleichsdienst und die SNAT-IP enthalten, sind in einem System-Namespace gruppiert.
NSX Edge bietet Konnektivität von externen Netzwerken zu Supervisor-Objekten. Der NSX Edge-Cluster verfügt über einen Lastausgleichsdienst, der Redundanz für die Kubernetes-API-Server auf den Supervisor-Steuerungsebenen-VMs sowie für alle Anwendungen bietet, die veröffentlicht werden müssen und auf die ein Zugriff von außerhalb des Supervisors möglich sein muss.
Ein Tier-0-Gateway ist mit dem NSX Edge-Cluster verknüpft, um das Routing zum externen Netzwerk bereitzustellen. Die Uplink-Schnittstelle verwendet entweder das dynamische Routing-Protokoll, BGP oder statisches Routing.
Jeder vSphere-Namespace verfügt über ein separates Netzwerk und eine Reihe von Netzwerkressourcen, die von Anwendungen innerhalb des Namespace gemeinsam genutzt werden, wie z. B. das Tier-1-Gateway, den Lastausgleichsdienst und die SNAT-IP-Adresse.
Arbeitslasten, die in vSphere-Pods, regulären VMs oder Tanzu Kubernetes Grid-Clustern ausgeführt werden, die sich im selben Namespace befinden, nutzen dieselbe SNAT-IP für die Nord-Süd-Konnektivität.
Arbeitslasten, die in vSphere-Pods oder Tanzu Kubernetes Grid-Clustern ausgeführt werden, haben dieselbe Isolationsregel, die von der Standard-Firewall implementiert wird.
Eine eigene SNAT-IP ist nicht für jeden Kubernetes-Namespace erforderlich. Die Ost-West-Konnektivität zwischen Namespaces ist kein SNAT.
Die Segmente für die einzelnen Namespaces befinden sich auf dem im Standardmodus funktionierenden VDS, der dem NSX Edge-Cluster zugeordnet ist. Das Segment stellt dem Supervisor ein Overlay-Netzwerk zur Verfügung.
Supervisoren verfügen über getrennte Segmente innerhalb des gemeinsam genutzten Tier-1-Gateways. Für jeden Tanzu Kubernetes Grid-Cluster werden Segmente innerhalb des Tier-1-Gateways des Namespace definiert.
Die Spherelet-Prozesse auf den einzelnen ESXi-Hosts kommunizieren mit vCenter Server über eine Schnittstelle im Verwaltungsnetzwerk.

In einer Supervisor-Konfiguration für drei Zonen mit NSX als Netzwerk-Stack müssen alle Hosts aus allen drei vSphere-Clustern, die den Zonen zugeordnet sind, mit demselben VDS verbunden sein und an derselben NSX-Overlay-Transportzone teilnehmen. Alle Hosts müssen mit demselben physischen L2-Gerät verbunden sein.

Netzwerkarchitektur von einem Supervisor mit NSX-Netzwerk, der auf drei Zonen ausgeführt wird. Segmente für Arbeitslastnetzwerke umfassen alle drei Zonen. — Abbildung 4. Supervisor-Netzwerk für drei Zonen mit NSX

Supervisor-Netzwerk mit NSX und NSX Advanced Load Balancer

NSX bietet Netzwerkkonnektivität zu den Objekten innerhalb des Supervisors und externen Netzwerken. Ein mit NSX konfigurierter Supervisor kann den NSX Edge oder den NSX Advanced Load Balancer verwenden.

Zu den Komponenten des NSX Advanced Load Balancer gehören der NSX Advanced Load Balancer Controller-Cluster, Dienst-Engines (Datenebenen-) VMs und der Avi Kubernetes Operator (AKO).

Der NSX Advanced Load Balancer Controller interagiert mit dem vCenter Server, um den Lastausgleich für die Tanzu Kubernetes Grid-Cluster zu automatisieren. Er ist für die Bereitstellung von Dienst-Engines, die Koordination von Ressourcen anhand von Dienst-Engines sowie die Zusammenfassung von Dienst-Engine-Metriken und -Protokollen zuständig. Der Controller bietet eine Web-Schnittstelle, Befehlszeilenschnittstelle und API für den Benutzerbetrieb und die programmgesteuerte Integration. Nachdem Sie die Controller-VM bereitgestellt und konfiguriert haben, können Sie einen Controller-Cluster bereitstellen, um den Steuerungsebenen-Cluster für HA einzurichten.

Die Dienst-Engine ist die virtuelle Maschine der Datenebene. Eine Dienst-Engine führt einen oder mehrere virtuelle Dienste aus. Eine Dienst-Engine wird vom NSX Advanced Load Balancer Controller verwaltet. Der Controller stellt Dienst-Engines für das Hosten virtueller Dienste zur Verfügung.

Die Dienst-Engines verfügen über zwei Arten von Netzwerkschnittstellen:

Die erste Netzwerkschnittstelle, vnic0 der VM, wird mit dem Verwaltungsnetzwerk verbunden, wo sie eine Verbindung zum NSX Advanced Load Balancer Controller herstellen kann.
Die restlichen Schnittstellen, vnic1 - 8, verbinden sich mit dem Datennetzwerk, in dem virtuelle Dienste ausgeführt werden.

Die Dienst-Engine-Schnittstellen stellen automatisch eine Verbindung mit den richtigen vDS-Portgruppen her. Jede Dienst-Engine kann bis zu 1.000 virtuelle Dienste unterstützen.

Ein virtueller Dienst stellt Ebene-4- und Ebene-7-Lastausgleichsdienste für Tanzu Kubernetes Grid-Clusterarbeitslasten zur Verfügung. Ein virtueller Dienst ist mit einer virtuellen IP und mehreren Ports konfiguriert. Wenn ein virtueller Dienst bereitgestellt wird, wählt der Controller automatisch einen ESX-Server aus, startet eine Dienst-Engine und verbindet sie mit den richtigen Netzwerken (Portgruppen).

Die erste Dienst-Engine wird erst erstellt, nachdem der erste virtuelle Dienst konfiguriert wurde. Alle nachfolgenden virtuellen Dienste, die konfiguriert werden, verwenden die vorhandene Dienst-Engine.

Jeder virtuelle Server macht einen Load Balancer der Ebene 4 mit einer eindeutigen IP-Adresse des Typs Load Balancer für einen Tanzu Kubernetes Grid verfügbar. Die IP-Adresse, die jedem virtuellen Server zugewiesen ist, wird aus dem IP-Adressblock ausgewählt, der dem Controller bei der Konfiguration zugewiesen wurde.

Der Avi-Kubernetes-Operator (AKO) überwacht Kubernetes-Ressourcen und kommuniziert mit dem NSX Advanced Load Balancer Controller, um die entsprechenden Lastausgleichsressourcen anzufordern. Der Avi-Kubernetes-Operator wird im Rahmen des Aktivierungsprozesses auf den Supervisoren installiert.

Weitere Informationen finden Sie unter Installieren und Konfigurieren von NSX und NSX Advanced Load Balancer.

Netzwerk-Architektur einer Supervisor, die mit dem NSX-Netzwerk-Stack und NSX Advanced Load Balancer konfiguriert ist. — Abbildung 5. Supervisor-Netzwerk mit NSX und NSX Advanced Load Balancer Controller

Netzwerkarchitektur von einem Supervisor mit NSX-Netzwerk und NSX Advanced Load Balancer Controller, der auf drei Zonen ausgeführt wird. Segmente für Arbeitslastnetzwerke umfassen alle drei Zonen. — Abbildung 6. Supervisor-Netzwerk für drei Zonen mit NSX und NSX Advanced Load Balancer Controller

Wichtig: Wenn Sie den NSX Advanced Load Balancer Controller in einer NSX-Bereitstellung konfigurieren, sollten Sie Folgendes berücksichtigen:

Sie können den NSX Advanced Load Balancer Controller nicht in einer vCenter Server-Bereitstellung im erweiterten verknüpften Modus bereitstellen. Sie können den NSX Advanced Load Balancer Controller nur in einer Bereitstellung mit einem einzelnen vCenter Server bereitstellen. Wenn mehrere vCenter Server verknüpft sind, kann nur einer davon beim Konfigurieren des NSX Advanced Load Balancer Controller verwendet werden.
Sie können den NSX Advanced Load Balancer Controller nicht in einer mehrschichtigen Tier-0-Topologie konfigurieren. Wenn die NSX-Umgebung mit einer Tier-0-Topologie mit mehreren Ebenen eingerichtet ist, können Sie beim Konfigurieren des NSX Advanced Load Balancer Controller nur ein Tier-0-Gateway verwenden.

Netzwerkkonfigurationsmethoden mit NSX

Supervisor verwendet eine Opinionated-Netzwerkkonfiguration. Zum Konfigurieren des Supervisor-Netzwerks mit NSX gibt es zwei Methoden, die zur Bereitstellung desselben Netzwerkmodells für einen Supervisor für eine Zone führen:

Die einfachste Möglichkeit zur Konfiguration des Supervisor-Netzwerks besteht darin, VMware Cloud Foundation SDDC Manager zu verwenden. Weitere Informationen finden Sie in der Dokumentation zu VMware Cloud Foundation SDDC Manager. Weitere Informationen finden Sie im Administratorhandbuch für VMware Cloud Foundation.
Sie können das Supervisor-Netzwerk auch manuell konfigurieren, indem Sie eine vorhandene NSX-Bereitstellung verwenden oder eine neue NSX-Instanz bereitstellen. Weitere Informationen finden Sie unter Installieren und Konfigurieren von NSX for vSphere IaaS control plane.