En este tema se enumeran los objetos de red creados para un clúster de TKG cuando se utiliza Supervisor con redes NSX.
Objetos de redes NSX para clústeres de TKG
Cada clúster de TKG debe tener los siguientes recursos de red: una red virtual, una interfaz de red virtual y un servicio de máquina virtual.
El sistema aprovisiona automáticamente un equilibrador de carga NSX integrado cuando está habilitado vSphere IaaS control plane y se implementa una instancia de Supervisor. Este equilibrador de carga es para el plano de control de Supervisor y proporciona acceso al servidor de API de Kubernetes.
Cuando se crea un servicio de Kubernetes de tipo LoadBalancer para un clúster de TKG, se aprovisiona un equilibrador de carga integrado NSX para ese servicio.
| Objeto de red | Recursos de red | Descripción |
|---|---|---|
| Red virtual | Enrutador de nivel 1 y segmento vinculado | Red de nodo para el clúster |
| VirtualNetworkInterface | Puerto lógico en el segmento | Interfaz de red de nodo para nodos del clúster |
| Servicio de máquina virtual | N/C | Se crea el servicio de máquina virtual y se traduce a un servicio k8s. |
| Servicio | Servidor de equilibrador de carga con instancia de servidor virtual y grupo de servidores asociado (grupo de miembros) | Se crea un servicio de Kubernetes de tipo equilibrador de carga para acceder al servidor de API del clúster de TKG. |
| Endpoints | Los miembros del endpoint (nodos de plano de control del clúster de TKG) deben estar en el grupo de miembros. | Se crea un endpoint para incluir todos los nodos del plano de control del clúster de TKG. |
| Servicio de máquina virtual en supervisor | N/C | Se crea un servicio de máquina virtual en supervisor y se traduce en un servicio de Kubernetes en supervisor |
| Servicio de equilibrador de carga en supervisor | Servidor virtual en el equilibrador de carga del clúster de TKG y un grupo de miembros asociado. | Se crea el servicio de equilibrador de carga en supervisor para acceder a este tipo de servicio de equilibrador de carga |
| Endpoints en Supervisor | Los miembros del endpoint (nodos de trabajo del clúster de TKG) deben estar en el grupo de miembros en NSX. | Se crea un endpoint para incluir todos los nodos de trabajo del clúster de TKG |
| Servicio de equilibrador de carga en el clúster de TKG | N/C | El servicio del equilibrador de carga en el clúster de TKG implementado por el usuario debe tener su estado actualizado con la IP del equilibrador de carga |
Redes de nodos
Cada clúster de TKG debe tener creados los siguientes objetos de red y recursos de NSX asociados.
| Objeto de red | Recursos de NSX | Descripción | IPAM |
|---|---|---|---|
| Red virtual | Puerta de enlace de nivel 1 y segmento vinculado | Red de nodo para el clúster de TKG | Se ha asignado la dirección IP de SNAT |
| VirtualNetworkInterface | Puerto lógico en el segmento vinculado | Interfaz de red de nodo para nodos de clúster de TKG | A cada nodo se le asigna una dirección IP |
Equilibrador de carga del plano de control
| Objeto de red | Recursos de red | Descripción | IPAM |
|---|---|---|---|
| Servicio de máquina virtual | N/C | VirtualMachineService se crea y se traduce en un servicio de Kubernetes. | Incluye la VIP del equilibrador de carga. |
| Servicio | Servidor de equilibrador de carga con instancia de servidor virtual y grupo de servidores asociado (grupo de miembros) | Se crea un servicio de Kubernetes de tipo equilibrador de carga para acceder al servidor de API del clúster de TKG. | Se ha asignado una dirección IP externa. |
| Endpoints | Los miembros del endpoint son los nodos del plano de control del clúster de TKG y deben estar en el grupo de miembros. | Se crea un endpoint para incluir todos los nodos del plano de control del clúster de TKG. | N/C |
Equilibradores de carga de NSX
Para cada clúster de TKG creado, el sistema crea una única instancia de un equilibrador de carga de NSX pequeño. Este equilibrador de carga contiene los objetos enumerados en la siguiente tabla:
| Número de objeto | Descripción |
|---|---|
| 1 | Servidor virtual (VS, Virtual Server) para acceder a la API del plano de control de Kubernetes en el puerto 8443. |
| 1 | Grupo de servidores que contiene los 3 nodos del plano de control de Kubernetes. |
| 1 | VS para el controlador de entrada HTTP. |
| 1 | VS para el controlador de entrada HTTPS. |
Reglas NAT
Para cada clúster de TKG creado, el sistema define las siguientes reglas NAT de NSX en el enrutador lógico de nivel 0:
| Número de objeto | Descripción |
|---|---|
| 1 | Regla SNAT creada para cada espacio de nombres de Kubernetes mediante 1 IP del grupo de direcciones IP flotantes como dirección IP traducida. |
| 1 | (Solo topología NAT) Regla SNAT creada para cada clúster de Kubernetes mediante 1 IP del grupo de direcciones IP flotantes como dirección IP traducida. La subred del clúster de Kubernetes se deriva del bloque de direcciones IP de los nodos mediante una máscara de red /24. |
Reglas DFW
Para cada clúster de TKG creado, el sistema define las siguientes reglas de firewall distribuido de NSX:
| Número de objeto | Descripción |
|---|---|
| 1 | Regla DFW para kube-dns, aplicada al puerto lógico del pod de CoreDNS: |
| 1 | Regla DFW para el validador en el espacio de nombres, aplicada al puerto lógico del pod del validador: |
