Instale y configure NSX Advanced Load Balancer

Topología de la implementación de NSX Advanced Load Balancer

En Tanzu Kubernetes Grid, NSX Advanced Load Balancer incluye los siguientes componentes:

  • Avi Kubernetes Operator (AKO) proporciona equilibrio de carga de capa 4 a capa 7 para las aplicaciones que se implementan en un clúster de Kubernetes para el tráfico norte-sur. Escucha los objetos LoadBalancer de tipo de servicio y entrada de Kubernetes, e interactúa con las API del controlador AVI para crear objetos de VirtualService.
  • AKO Operator es una aplicación que permite la comunicación entre AKO y la API del clúster. Administra el ciclo de vida de AKO y proporciona una interfaz genérica al equilibrador de carga para los nodos del plano de control del clúster. El operador de AKO solo se implementa en el clúster de administración.
  • Los motores de servicio (SE) implementan el plano de datos en un formato de máquina virtual.
  • Los grupos de motores de servicio proporcionan una unidad de aislamiento en forma de un conjunto de motores de servicio, por ejemplo, un grupo SE dedicado para espacios de nombres importantes específicos. Esto ofrece control en la forma del tipo de SE (CPU, memoria, etc.) que se deben crear y también los límites en el número máximo de SE que se permiten.
  • El controlador AVI administra objetos VirtualService e interactúa con la infraestructura vCenter Server para administrar el ciclo de vida de los motores de servicio (SE). Es el portal para ver el estado de VirtualServices y SE, así como los análisis asociados que proporciona NSX Advanced Load Balancer. También es el punto de control para las operaciones de supervisión y mantenimiento, como la copia de seguridad y la restauración.

Tanzu Kubernetes Grid es compatible con NSX Advanced Load Balancer implementado en topologías de red de un brazo y de varios brazos.

Nota

Si desea implementar NSX ALB Essentials Edition en una topología de red de varios brazos, asegúrese de no haber configurado ninguna directiva de firewall o de red en las redes que están configuradas para la comunicación entre el SE de Avi y los nodos del clúster de Kubernetes. Para configurar cualquier directiva de red o de firewall en una topología de red de varios brazos en la que se implemente NSX ALB, debe NSX Advanced Load Balancer Enterprise Edition con la función de puerta de enlace automática habilitada.

El siguiente diagrama representa una implementación de NSX ALB de un brazo:

Topología de implementación de VMware NSX Advanced Load Balancer: un brazo

El siguiente diagrama representa una implementación de NSX ALB de varios brazos:

Topología de implementación de VMware NSX Advanced Load Balancer: varios brazos

Redes

  • Los SE se pueden implementar en modo de un brazo o de dos brazos en relación con la ruta de datos, con conectividad a la red de VIP y a la red de nodos del clúster de carga de trabajo. Si desea implementar SE en una topología de red de dos brazos mediante NSX ALB Essentials Edition, asegúrese de no haber configurado ninguna directiva de firewall o de red en las redes que desea utilizar.
  • La red VIP y las redes de carga de trabajo deben ser detectables en el mismo vCenter Cloud para que el controlador AVI pueda crear instancias de SE asociadas a ambas redes.
  • Las direcciones IP de la interfaz de datos VIP y SE se asignan desde la red VIP.

IPAM

  • Si DHCP no está disponible, el controlador AVI administra la IPAM para la dirección IP de la interfaz SE y VIP.
  • El perfil de IPAM en el controlador AVI está configurado con una nube y un conjunto de redes utilizables.
  • Si DHCP no está configurado para la red VIP, se debe crear al menos un grupo estático para la red de destino.

Aislamiento de recursos

  • El aislamiento del plano de datos en los clústeres de carga de trabajo se puede proporcionar mediante grupos de SE. El administrador de vSphere puede configurar un grupo de SE dedicado y configurarlo para un conjunto de clústeres de carga de trabajo que necesitan aislamiento.
  • Los grupos de SE ofrecen la capacidad de controlar las características de recursos de los SE creados por el controlador AVI, por ejemplo, CPU, memoria, etc.

Tenant

Con NSX Advanced Load Balancer Essentials, todos los usuarios del clúster de carga de trabajo se asocian con el tenant del administrador único.

Operador de AVI Kubernetes

El operador de AVI Kubernetes se instala en los clústeres de carga de trabajo. Se configura con la dirección IP del controlador AVI y las credenciales de usuario que el operador de AVI Kubernetes utiliza para comunicarse con el controlador AVI. Se crea un usuario dedicado por carga de trabajo con el tenant del administrador y una función personalizada. Esta función tiene acceso limitado, como se define en https://github.com/avinetworks/avi-helm-charts/blob/master/docs/AKO/roles/ako-essential.json.

Instalar el controlador AVI en vCenter Server

Para instalar Avi en vCenter Server, consulte Instalar Avi Vantage para VMware vCenter en la documentación de Avi.

Para instalar Avi en vCenter con VMware NSX, consulte Instalar Avi Vantage para obtener VMware vCenter con NSX en la documentación de Avi.

Nota

Consulte las Notas de la versión de Tanzu Kubernetes Grid v2.1 para determinar la versión del controlador Avi compatible con esta versión. Para actualizar el controlador AVI, consulte Actualizaciones flexibles para Avi Vantage.

Requisitos previos para instalar y configurar NSX ALB

Para habilitar la solución de integración Tanzu Kubernetes Grid NSX: Advanced Load Balancer, debe implementar y configurar el controlador AVI. Actualmente, Tanzu Kubernetes Grid admite la implementación del controlador AVI en la nube de vCenter y la nube de NSX-T.

Para garantizar que la solución de integración Tanzu Kubernetes Grid: NSX Advanced Load Balancer funcione, la topología de la red del entorno debe cumplir con los siguientes requisitos:

  • Se debe poder acceder al controlador AVI desde vCenter, el clúster de administración y el clúster de carga de trabajo.
  • El AKO en el clúster de administración y los clústeres de carga de trabajo deben ser accesibles para el controlador AVI con el fin de solicitar al controlador de AVI que implemente el plano de datos del tipo de servicio y entrada del equilibrador de carga.
  • El motor de servicio (SE) de AVI debe ser accesible desde los clústeres de Kubernetes a los que el SE proporciona el plano de datos de equilibrio de carga.
  • El motor de servicio de AVI debe enrutar el tráfico al clúster al que proporciona la funcionalidad de equilibrio de carga.

NSX Cloud

La integración de Tanzu Kubernetes Grid con NSX y NSX Advanced Load Balancer (AVI) es compatible con las siguientes versiones:

NSX Controlador AVI Tanzu Kubernetes Grid
3.0+ 20.1.1+ 1.5.2+

Configuración del controlador AVI: IPAM y DNS

Hay opciones adicionales para configurar en la interfaz de usuario del controlador antes de poder utilizar NSX Advanced Load Balancer.

  1. En la interfaz de usuario del controlador, vaya a Plantillas (Templates) > Perfiles (Profiles) > Perfiles de IPAM/DNS (IPAM/DNS Profiles), haga clic en Crear (Create) y seleccione Perfil de IPAM (IPAM Profile).

    • Introduzca un nombre para el perfil, por ejemplo, tkg-ipam-profile.
    • Deje Tipo (Type) establecido en IPAM de Avi Vantage (Avi Vantage IPAM).
    • Deje Asignar IP en VRF (Allocate IP in VRF) sin marcar.
    • Haga clic en Añadir red utilizable (Add Usable Network).
    • Seleccione Nube predeterminada (Default-Cloud).
    • Para Red utilizable (Usable Network), seleccione la red a la que desea asignar las direcciones IP virtuales. Si utiliza una topología de red plana, puede ser la misma red (red de administración) que seleccionó en el procedimiento anterior. Para una topología de red diferente, seleccione una red de grupo de puertos independiente para las direcciones IP virtuales.
    • (Opcional) Haga clic en Añadir red utilizable (Add Usable Network) para configurar redes VIP adicionales.
    • Haga clic en Guardar.

    Configurar los perfiles de IPAM y DNS

  2. En la vista Perfiles de IPAM/DNS (IPAM/DNS Profiles), vuelva a hacer clic en Crear (Create) y seleccione Perfil de DNS (DNS Profile).

    Nota

    El perfil de DNS es opcional para usar el tipo de servicio LoadBalancer.

    • Introduzca un nombre para el perfil, por ejemplo, tkg-dns-profile.
    • Para Tipo (Type), seleccione DNS de AVi Vantage (AVI Vantage DNS)
    • Haga clic en Añadir dominio del servicio DNS (Add DNS Service Domain) e introduzca al menos una entrada Nombre de dominio (Domain Name), por ejemplo, tkg.nsxlb.vmware.com.
      • Debe provenir de un dominio DNS que pueda administrar.
      • Esto es más importante para las configuraciones de entrada de capa 7 para los clústeres de carga de trabajo, en los que la controladora basa la lógica para enrutar el tráfico en los nombres de host.
      • Los recursos de entrada que administra el controlador deben utilizar nombres de host que pertenezcan al nombre de dominio que seleccione aquí.
      • Este nombre de dominio también se utiliza para los servicios de tipo LoadBalancer, pero es más pertinente si utiliza DNS VS de AVI como servidor de nombres.
      • Cada servicio virtual creará una entrada en la configuración de DNS de AVI. Por ejemplo, service.namespace.tkg-lab.vmware.com.
    • Haga clic en Guardar.

    Crear el perfil de DNS

  3. Haga clic en el menú situado en la esquina superior izquierda y seleccione Infraestructura (Infrastructure) > Nubes (Clouds).

  4. En Nube predeterminada (Default-Cloud), haga clic en el icono editar y, en Perfil de IPAM (IPAM Profile) y Perfil de DNS (DNS Profile), seleccione los perfiles de IPAM y DNS que creó anteriormente.

    Agregar los perfiles de IPAM y DNS a la nube

  5. Seleccione la pestaña Centro de datos (DataCenter).

    • Deje DHCP habilitado. Se establece por red.
    • Deje las casillas de verificación IPv6… y Rutas estáticas (Static Routes)… sin marcar.
  6. Aún no actualice la sección Red (Network).

  7. Guarde la configuración de nube.
  8. Abra Infraestructura (Infrastructure) > Cloud Resources (Recursos de la nube) > Redes (Networks) y haga clic en el icono de edición de la red que está utilizando como red VIP.

    Editar red para red VIP

  9. Aparecerá una lista editable de rangos de IP en el grupo de direcciones IP. Haga clic Agregar grupo de direcciones IP estáticas (Add Static IP Address Pool).

    Editar grupos de direcciones de red VIP

  10. Introduzca un rango de direcciones IP dentro de los límites de la subred para el grupo de direcciones IP estáticas que se utilizará como red VIP, por ejemplo, 192.168.14.210-192.168.14.219. Haga clic en Guardar (Save).

    Introducir grupo de direcciones IP para la red de VIP

(Recomendado) Configuración del controlador AVI: Servicio virtual

Si el grupo de SE que desea utilizar con el clúster de administración no tiene un servicio virtual, puede sugerir que no haya motores de servicio en ejecución para ese grupo de SE. Por lo tanto, el proceso de implementación del clúster de administración tendrá que esperar a que se cree un motor de servicio. La creación de un motor de servicio lleva mucho tiempo, ya que requiere la implementación de una nueva máquina virtual. En condiciones de redes deficientes, esto puede provocar que se agote el tiempo de espera interno que impida que el proceso de implementación del clúster de administración finalice correctamente.

Para evitar este problema, se recomienda crear un servicio virtual ficticio a través de la interfaz de usuario del controlador AVI para activar la creación de un motor de servicio antes de implementar el clúster de administración.

Para comprobar que el grupo de SE tiene asignado un servicio virtual, en la interfaz de usuario del controlador, vaya a Infraestructura (Infrastructure) > Grupo de motores de servicio (Service Engine Group) y consulte los detalles del grupo de SE. Si el grupo de SE no tiene un servicio virtual asignado, cree un servicio virtual ficticio:

  1. En la interfaz de usuario del controlador, vaya a Aplicaciones (Applications) > Servicio virtual (Virtual Service).

  2. Haga clic en Crear servicio virtual (Create Virtual Service) y seleccione Configuración básica (Basic Setup).

  3. Configure la VIP:

    1. Seleccione Auto-Allocate (Asignación automática).
    2. Seleccione la Red de VIP (VIP Network) y la Subred de VIP (VIP Subnet) configuradas para su perfil de IPAM en Configuración del controlador AVI: IPAM y DNS.
    3. Haga clic en Guardar.
Nota

Puede eliminar el servicio virtual ficticio después de que el clúster de administración se implemente correctamente.

Para obtener información completa sobre la creación de un servicio virtual, más de lo necesario para crear un servicio ficticio, consulte Crear un servicio virtual en la documentación de Avi Networks.

Configuración del controlador AVI: Certificado personalizado

El certificado NSX Advanced Load Balancer predeterminado no contiene la IP o el FQDN del controlador en los nombres alternativos del sujeto (SAN), pero se deben definir SAN válidas en el certificado del controlador AVI. En consecuencia, debe crear un certificado personalizado para proporcionarlo cuando implemente clústeres de administración.

  1. En la interfaz de usuario del controlador, haga clic en el menú de la esquina superior izquierda y seleccione Plantillas (Templates) > Seguridad (Security) > SSL/TLS Certificates (Certificados SSL/TLS), haga clic en Crear (Create) y seleccione Certificado de controlador (Controller Certificate).
  2. Escriba el mismo nombre en los cuadros de texto Nombre (Name) y Nombre de comando (Common Name).
  3. Seleccione Autofirmado (Self-Signed).
  4. En Nombre alternativo del sujeto (SAN) (Subject Alternate Name [SAN]), introduzca la dirección IP o el FQDN, o ambos, de la máquina virtual del controlador.

    Si solo se utiliza la dirección IP o el FQDN, debe coincidir con el valor que se utiliza para el Host del controlador cuando configure VMware NSX Advanced Load Balancer o especifique en la variable AVI_CONTROLLER del archivo de configuración del clúster de administración.

  5. Deje los demás campos vacíos y haga clic en Guardar (Save).
  6. En el menú de la esquina superior izquierda, seleccione Administración (Administration) > Configuración (Settings) > Configuración de acceso (Access Settings) y haga clic en el icono editar de Configuración de acceso del sistema (System Access Settings).
  7. Elimine todos los certificados en Certificado SSL/TLS (SL/TLS Certificate).
  8. Utilice el menú desplegable Certificado SSL/TLS (SL/TLS Certificate) para agregar el certificado personalizado que creó anteriormente.
  9. En el menú de la esquina superior izquierda, seleccione Plantillas (Templates) > Seguridad (Security) > Certificados SSL/TLS (SSL/TLS Certificates), seleccione el certificado que cree y haga clic en el icono de exportación.
  10. Copie el contenido del certificado.

    Necesitará el contenido del certificado cuando implemente clústeres de administración.

check-circle-line exclamation-circle-line close-line
Scroll to top icon