Los recursos de NSX-T Data Center que necesita configurar incluyen una zona de transporte de superposición, un enrutador lógico de nivel 0, un conmutador lógico para conectar las máquinas virtuales del nodo, bloques de IP para los nodos de Kubernetes y un grupo de IP para SNAT.

Importante:

Si ejecuta NSX-T Data Center 2.4 o una versión posterior, debe configurar los recursos de NSX-T mediante la pestaña Opciones avanzadas de redes y seguridad.

En el archivo de configuración de NCP ncp.ini, los recursos de NSX-T Data Center se especifican mediante sus UUID o nombres.

Zona de transporte superpuesta

Inicie sesión en NSX Manager y busque la zona de transporte superpuesta que se usa para las redes de los contenedores o cree una nueva.

Especifique una zona de transporte superpuesta de un clúster configurando la opción overlay_tz en la sección [nsx_v3] de ncp.ini. Este paso es opcional. Si no se configura overlay_tz, NCP recuperará automáticamente el identificador de zona de transporte superpuesta del enrutador de nivel 0.

Enrutamiento lógico de nivel 0

Inicie sesión en NSX Manager y busque el enrutador que se usa para las redes de los contenedores o cree uno nuevo.

Especifique un enrutador lógico de nivel 0 de un clúster configurando la opción tier0_router en la sección [nsx_v3] de ncp.ini.

Nota:

El enrutador se debe crear en modo activo-en espera.

Conmutador lógico

Las vNIC que usan el nodo para el tráfico de datos deben estar conectadas a un conmutador lógico superpuesto. No es obligatorio que la interfaz de administración del nodo esté conectada a NSX-T Data Center, aunque hacerlo facilitaría la configuración. Puede crear un conmutador lógico iniciando sesión en NSX Manager. En el conmutador, cree puertos lógicos y asocie las vNIC del nodo a ellos. Los puertos lógicos deben tener las siguientes etiquetas:

  • etiqueta: <cluster_name>, ámbito: ncp/cluster

  • etiqueta: <node_name>, ámbito: ncp/node_name

El valor de <cluster_name> debe coincidir con el valor de la opción cluster de la sección [coe] de ncp.ini.

Bloques de IP para los pods de Kubernetes

Inicie sesión en NSX Manager y cree uno o varios bloques de direcciones IP. Especifique el bloque de IP en formato CIDR

Especifique bloques de IP de pods de Kubernetes configurando la opción container_ip_blocks en la sección [nsx_v3] de ncp.ini.

También puede crear bloques de IP específicamente para espacios de nombres que no sean SNAT.

Especifique bloques de IP que no sean SNAT configurando la opción no_snat_ip_blocks en la sección [nsx_v3] de ncp.ini.

Si crea bloques de IP que no sean SNAT mientras NCP se ejecuta, debe reiniciar NCP. De lo contrario, NCP seguirá usando los bloques de IP compartidos hasta que se agoten.

Nota:

Cuando cree un bloque de IP, el prefijo no debe tener una longitud superior al valor del parámetro subnet_prefix en el archivo de configuración de NCP ncp.ini.

Grupo de IP de SNAT

El grupo de IP se emplea para asignar las direcciones IP que se usarán para traducir las IP de los pods mediante reglas SNAT y para exponer las controladoras de entrada a través de las reglas SNAT/DNAT, igual que las IP flotantes de OpenStack. Estas direcciones IP también se denominan "IP externas".

Varios clústeres de Kubernetes usan el mismo grupo de IP externas. Cada instancia de NCP usa un subgrupo de este grupo para el clúster de Kubernetes que administra. De forma predeterminada, se usará el mismo prefijo de subred para subredes de pods. Para usar un tamaño de subred diferente, actualice la opción external_subnet_prefix en la sección [nsx_v3] de ncp.ini.

Inicie sesión en NSX Manager y cree un grupo o busque uno ya existente.

Especifique grupos de IP para SNAT configurando la opción external_ip_pools en la sección [nsx_v3] de ncp.ini.

También puede configurar SNAT para un determinado servicio agregando una anotación en el servicio. Por ejemplo,

    apiVersion: v1
    kind: Service
    metadata:
      name: svc-example
      annotations:
        ncp/snat_pool: <external IP pool ID or name>
      selector:
        app: example
    ...

NCP configurará la regla SNAT para este servicio. La IP de origen de la regla es el conjunto de pods de back-end. La IP de destino es la IP SNAT asignada desde el grupo de IP externo especificado. Tenga en cuenta lo siguiente:

  • El grupo de direcciones IP que ncp/snat_pool especifica ya debe existir en NSX-T Data Center antes de configurar el servicio. El grupo de direcciones IP debe tener la etiqueta {"ncp/owner": cluster:<cluster>}.

  • En NSX-T Data Center, la prioridad de la regla SNAT para el servicio es mayor que la del proyecto.

  • Si se configura un pod con varias reglas SNAT, solo funcionará una.

Puede especificar el espacio de nombres al que es posible asignar direcciones IP del grupo de direcciones IP de SNAT agregando la siguiente etiqueta al grupo de direcciones IP.

  • En el ámbito ncp/owner, la etiqueta debe ser ns:<namespace_UUID>.

Puede obtener el UUID de espacio de nombres con uno de los siguientes comandos:

oc get ns -o yaml

Tenga en cuenta lo siguiente:

  • Cada etiqueta debe especificar un UUID. Puede crear varias etiquetas para el mismo grupo.

  • Si se cambian las etiquetas después de que se asignen direcciones IP a algunos espacios de nombres en función de las etiquetas anteriores, no se recuperarán dichas direcciones IP hasta que se cambien los ajustes de SNAT de los servicios o se reinicie NCP.

  • La etiqueta de propietario de espacio de nombres es opcional. Sin esta etiqueta, se pueden asignar direcciones IP del grupo de direcciones IP de SNAT a cualquier espacio de nombres.

(Opcional) Secciones del marcador de firewall

Para que el administrador pueda crear reglas de firewall que no interfieran con las secciones del firewall creadas por NCP en función de las directivas de red, inicie sesión en NSX Manager y cree dos secciones de firewall.

Especifique secciones de firewall del marcador configurando las opciones bottom_firewall_section_marker y top_firewall_section_marker en la sección [nsx_v3] de ncp.ini.

La sección del firewall inferior debe estar bajo la sección del firewall superior. Con estas secciones del firewall, todas las secciones del firewall creadas por NCP para el aislamiento se crearán sobre la sección del firewall inferior, y todas las secciones del firewall creadas por NCP para la directiva se crearán bajo la sección del firewall superior. Si no se crean estas secciones de marcador, todas las reglas de aislamiento se crearán en la parte inferior, y todas las secciones de la directiva se crearán en la parte superior. No puede haber varias secciones del firewall de marcador con el mismo valor en cada clúster, ya que se producirá un error.