Installer et configurer NSX Advanced Load Balancer

Topologie de déploiement de NSX Advanced Load Balancer

Dans Tanzu Kubernetes Grid, NSX Advanced Load Balancer inclut les composants suivants :

  • Avi Kubernetes Operator (AKO) fournit l'équilibrage de charge L4-L7 pour les applications déployées dans un cluster Kubernetes pour le trafic nord-sud. Il écoute les objets Kubernetes d'entrée et de type de service LoadBalancer et interagit avec les API du contrôleur Avi pour créer des objets VirtualService.
  • Opérateur AKO est une application qui active la communication entre AKO et l'API de cluster. Il gère le cycle de vie d'AKO et fournit une interface générique à l'équilibrage de charge pour les nœuds de plan de contrôle du cluster. L'opérateur AKO est déployé uniquement sur le cluster de gestion.
  • Les moteurs de service implémentent le plan de données dans un format de machine virtuelle.
  • Les groupes de moteurs de service fournissent une unité d'isolation sous la forme d'un ensemble de moteurs de service, par exemple un groupe de moteurs de service dédié pour des espaces de noms importants spécifiques. Cela offre un contrôle sous la forme du type de moteur de service (CPU, mémoire, et ainsi de suite) qui doit être créé, ainsi que les limites du nombre maximal de moteurs de service autorisés.
  • Le contrôleur Avi gère les objets VirtualService et interagit avec l'infrastructure vCenter Server pour gérer le cycle de vie des moteurs de service. Il s'agit du portail permettant d'afficher la santé des VirtualServices et des moteurs de service, ainsi que les analyses associées que NSX Advanced Load Balancer fournit. C’est également le point de contrôle des opérations de surveillance et de maintenance telles que la sauvegarde et la restauration.

Tanzu Kubernetes Grid prend en charge le dispositif NSX Advanced Load Balancer déployé dans des topologies réseau à une seule branche ou à plusieurs branches.

Remarque

Si vous souhaitez déployer NSX ALB Essentials Edition dans une topologie réseau à plusieurs branches, assurez-vous de n'avoir configuré aucun pare-feu ni aucune stratégie réseau dans les réseaux configurés pour la communication entre le moteur de service Avi et les nœuds de cluster Kubernetes. Pour configurer des stratégies de pare-feu ou de réseau dans une topologie réseau à plusieurs branches dans laquelle NSX ALB est déployé, vous avez besoin de NSX Advanced Load Balancer Enterprise Edition avec la fonctionnalité de passerelle automatique activée.

Le diagramme suivant représente un déploiement NSX ALB avec une seule branche :

Topologie de déploiement VMware NSX Advanced Load Balancer - Une seule branche

Le diagramme suivant représente un déploiement NSX ALB avec plusieurs branches :

Topologie de déploiement VMware NSX Advanced Load Balancer - Plusieurs branches

Mise en réseau

  • Les moteurs de service peuvent être déployés en mode une seule branche ou plusieurs branches en fonction du chemin des données, avec connectivité au réseau d'adresses IP virtuelles et au réseau de nœuds du cluster de charge de travail. Si vous souhaitez déployer des moteurs de service dans une topologie réseau à plusieurs branches à l'aide de NSX ALB Essentials Edition, assurez-vous de n'avoir configuré aucun pare-feu ni aucune stratégie réseau dans les réseaux que vous souhaitez utiliser.
  • Le réseau d'adresses IP virtuelles et les réseaux de charge de travail doivent être détectables dans le même dispositif vCenter Cloud afin que le contrôleur Avi puisse créer des moteurs de service attachés aux deux réseaux.
  • Les adresses IP de l'interface de données d'adresses IP virtuelles et de moteur de service sont allouées à partir du réseau d'adresses IP virtuelles.

IPAM

  • Si DHCP n'est pas disponible, IPAM pour l'adresse IP virtuelle et l'adresse IP de l'interface de moteur de service est géré par le contrôleur Avi.
  • Le profil IPAM dans le contrôleur Avi est configuré avec un cloud et un ensemble de réseaux utilisables.
  • Si DHCP n’est pas configuré pour le réseau VIP, au moins un pool statique doit être créé pour le réseau cible.

Isolation des ressources

  • L'isolation du plan de données entre les clusters de charge de travail peut être fournie à l'aide de groupes de moteurs de service. L'administrateur vSphere peut configurer un groupe de moteurs de service dédié et le configurer pour un ensemble de clusters de charge de travail nécessitant une isolation.
  • Les groupes de moteurs de service offrent la possibilité de contrôler les caractéristiques de ressource des moteurs de service créés par le contrôleur Avi, par exemple le CPU, la mémoire, etc.

Location

Avec NSX Advanced Load Balancer Essentials, tous les utilisateurs du cluster de charge de travail sont associés au locataire administrateur unique.

Opérateur Avi Kubernetes

Avi Kubernetes Operator est installé sur les clusters de charge de travail. Il est configuré avec l'adresse IP du contrôleur Avi et les informations d'identification de l'utilisateur que l'opérateur Avi Kubernetes utilise pour communiquer avec le contrôleur Avi. Un utilisateur dédié par charge de travail est créé avec le locataire admin et un rôle personnalisé. Ce rôle dispose d'un accès limité, tel que défini dans https://github.com/avinetworks/avi-helm-charts/blob/master/docs/AKO/roles/ako-essential.json.

Installer le contrôleur Avi sur vCenter Server

Pour installer Avi sur vCenter Server, reportez-vous à la section Installation d'Avi Vantage pour VMware vCenter (en anglais) dans la documentation d'Avi.

Pour installer Avi sur vCenter avec VMware NSX, reportez-vous à la section Installation d'Avi Vantage pour VMware vCenter avec NSX (en anglais) dans la documentation d'Avi.

Remarque

Reportez-vous aux Notes de mise à jour de Tanzu Kubernetes Grid v2.2 pour connaître la version de contrôleur Avi prise en charge dans cette version. Pour mettre à niveau le contrôleur Avi, reportez-vous à la section Mises à niveau flexibles pour Avi Vantage.

Conditions préalables à l'installation et à la configuration de NSX ALB

Pour activer la solution d'intégration Tanzu Kubernetes Grid NSX - Advanced Load Balancer, vous devez déployer et configurer le contrôleur Avi. Actuellement, Tanzu Kubernetes Grid prend en charge le déploiement du contrôleur Avi dans vCenter Cloud et NSX-T Cloud.

Pour vous assurer que la solution d'intégration de Tanzu Kubernetes Grid - NSX Advanced Load Balancer fonctionne, la topologie réseau de votre environnement doit répondre aux exigences suivantes :

  • Le contrôleur Avi doit être accessible depuis vCenter, le cluster de gestion et le cluster de charge de travail.
  • L'AKO dans le cluster de gestion et les clusters de charge de travail doit être accessible au contrôleur Avi pour demander au contrôleur Avi d'implémenter le plan de données du type de service et d'entrée d'équilibrage de charge.
  • Le moteur de service Avi doit être accessible à partir des clusters Kubernetes auxquels le moteur de service fournit le plan de données d'équilibrage de charge.
  • Le moteur de service Avi doit acheminer le trafic vers le cluster auquel il fournit la fonctionnalité d'équilibrage de charge.

NSX Cloud

L'intégration de Tanzu Kubernetes Grid à NSX et NSX Advanced Load Balancer (Avi) est prise en charge dans les versions suivantes :

NSX Contrôleur Avi Tanzu Kubernetes Grid
3.0+ 20.1.1+ 1.5.2+

Configuration du contrôleur Avi : IPAM et DNS

Des paramètres supplémentaires doivent être configurés dans l'interface utilisateur du contrôleur avant de pouvoir utiliser NSX Advanced Load Balancer.

  1. Dans l'interface utilisateur du contrôleur, accédez à Modèles (Templates) > Profils (Profiles) > Profils IPAM/DNS (IPAM/DNS Profiles), cliquez sur Créer (Create) et sélectionnez Profil IPAM (IPAM Profile).

    • Entrez un nom pour le profil, par exemple, tkg-ipam-profile.
    • Laissez le Type défini sur Avi Vantage IPAM.
    • Laissez la case Allouer l'adresse IP dans VRF (Allocate IP dans VRF) décochée.
    • Cliquez sur Ajouter un réseau utilisable (Add Usable Network).
    • Sélectionnez Default-Cloud.
    • Pour Réseau utilisable (Usable Network), sélectionnez le réseau sur lequel vous souhaitez allouer les adresses IP virtuelles. Si vous utilisez une topologie de réseau plat, il peut s'agir du même réseau (réseau de gestion) que celui que vous avez sélectionné dans la procédure précédente. Pour une topologie réseau différente, sélectionnez un réseau de groupe de ports distinct pour les adresses IP virtuelles.
    • (Facultatif) Cliquez sur Ajouter un réseau utilisable (Add Usable Network) pour configurer des réseaux d'adresses IP virtuelles supplémentaires.
    • Cliquez sur Enregistrer.

    Configurer les profils IPAM et DNS

  2. Dans la vue Profils IPAM/DNS (IPAM/DNS Profiles), cliquez sur Créer (Create) de nouveau et sélectionnez Profil DNS (DNS Profile).

    Remarque

    le profil DNS est facultatif pour utiliser le type de service LoadBalancer.

    • Entrez un nom pour le profil, par exemple, tkg-dns-profile.
    • Pour Type, sélectionnez DNS AVI Vantage (AVI Vantage DNS)
    • Cliquez sur Ajouter un domaine de service DNS (Add DNS Service Domain) et entrez au moins une entrée Nom de domaine (Domain Name), par exemple tkg.nsxlb.vmware.com.
      • Cela doit provenir d'un domaine DNS que vous pouvez gérer.
      • Cela est plus important pour les configurations d'entrée L7 pour les clusters de charge de travail, dans lesquelles le contrôleur se base sur la logique pour acheminer le trafic sur les noms d'hôte.
      • Les ressources d’entrée gérées par le contrôleur doivent utiliser des noms d’hôte qui appartiennent au nom de domaine que vous sélectionnez ici.
      • Ce nom de domaine est également utilisé pour les services de type LoadBalancer, mais il est surtout pertinent si vous utilisez AVI DNS VS comme serveur de noms.
      • Chaque service virtuel créera une entrée dans la configuration DNS AVI. Par exemple, service.namespace.tkg-lab.vmware.com.
    • Cliquez sur Enregistrer.

    Créer le profil DNS

  3. Cliquez sur le menu dans le coin supérieur gauche et sélectionnez Infrastructure > Clouds.

  4. Pour Default-Cloud, cliquez sur l'icône de modification et, sous Profil IPAM (IPAM Profile) et Profil DNS (DNS Profile), sélectionnez les profils IPAM et DNS que vous avez créés ci-dessus.

    Ajouter les profils IPAM et DNS au cloud

  5. Sélectionnez l'onglet Centre de données (DataCenter).

    • Laissez DHCP activé. Cette valeur est définie par réseau.
    • Laissez les cases IPv6… et Routes statiques (Static Routes)… décochées.
  6. Ne mettez pas encore à jour la section Réseau (Network).

  7. Enregistrez la configuration du cloud.
  8. Ouvrez Infrastructure > Ressources de cloud (Cloud Resources) > Réseaux (Networks) et cliquez sur l'icône de modification du réseau que vous utilisez comme réseau VIP.

    Modifier le réseau pour le réseau VIP

  9. Une liste modifiable de plages d'adresses IP dans le pool d'adresses IP s'affiche. Cliquez sur Ajouter un pool d'adresses IP statiques (Add Static IP Address Pool).

    Modifier les pools d'adresses réseau VIP

  10. Entrez une plage d'adresses IP dans les limites du sous-réseau pour le pool d'adresses IP statiques à utiliser comme réseau VIP, par exemple 192.168.14.210-192.168.14.219. Cliquez sur Enregistrer.

    Entrer le pool d'adresses IP pour le réseau VIP

(Recommandé) Configuration du contrôleur Avi : Service virtuel

Si le groupe de moteur de service que vous souhaitez utiliser avec le cluster de gestion ne dispose pas d'un service virtuel, il peut suggérer qu'aucun moteur de service n'est en cours d'exécution pour ce groupe de moteur de service. Par conséquent, le processus de déploiement du cluster de gestion devra attendre la création d'un moteur de service. La création d'un moteur de service prend beaucoup de temps, car elle nécessite le déploiement d'une nouvelle machine virtuelle. Dans de mauvaises conditions de mise en réseau, cela peut entraîner un délai d'expiration interne qui empêche le processus de déploiement du cluster de gestion de se terminer correctement.

Pour éviter ce problème, il est recommandé de créer un service virtuel factice via l'interface utilisateur du contrôleur Avi pour déclencher la création d'un moteur de service avant de déployer le cluster de gestion.

Pour vérifier qu'un service virtuel est attribué au groupe de moteur de service, dans l'interface utilisateur du contrôleur, accédez à Infrastructure > Groupe de moteur de service (Service Engine Group) et affichez les détails du groupe de moteur de service. Si aucun service virtuel n'est attribué au groupe de moteur de service, créez un service virtuel factice :

  1. Dans l'interface utilisateur du contrôleur, accédez à Applications > Service virtuel (Virtual Service).

  2. Cliquez sur Créer un service virtuel (Create Virtual Service) et sélectionnez Configuration de base (Basic Setup).

  3. Configurez le réseau VIP :

    1. Sélectionnez Allocation automatique (Auto-Allocate).
    2. Sélectionnez le Réseau d'adresses IP virtuelles (VIP Network) et le Sous-réseau d'adresses IP virtuelles (VIP Subnet) configurés pour votre profil IPAM dans Configuration du contrôleur Avi : (Avi Controller Setup:) IPAM et DNS.
    3. Cliquez sur Enregistrer.
Remarque

vous pouvez supprimer le service virtuel factice après le déploiement réussi du cluster de gestion.

Pour obtenir des informations complètes sur la création d'un service virtuel, reportez-vous à la section Créer un service virtuel dans la documentation d'Avi Networks.

Configuration du contrôleur Avi : Certificat personnalisé

Le certificat de NSX Advanced Load Balancer par défaut ne contient pas l'adresse IP ou le nom de domaine complet du contrôleur dans le SAN (Subject Alternate Names), mais des SAN valides doivent être définis dans le certificat du contrôleur Avi. Par conséquent, vous devez créer un certificat personnalisé à fournir lorsque vous déployez des clusters de gestion.

  1. Dans l'interface utilisateur du contrôleur, cliquez sur le menu dans le coin supérieur gauche et sélectionnez Modèles (Templates) > Sécurité (Security) > SSL/TLS Certificates (Certificats SSL/TLS), cliquez sur Créer (Create), puis sélectionnez Certificat de contrôle (Controller Certificate).
  2. Entrez le même nom dans les zones de texte Nom (Name) et Nom commun (Common Name).
  3. Sélectionnez Auto-signé (Self-Signed).
  4. Pour Subject Alternate Name (SAN), entrez l'adresse IP ou le nom de domaine complet de la machine virtuelle du contrôleur, ou les deux.

    Si nous n'utilisez que l'adresse IP ou le nom de domaine complet, leur valeur doit correspondre à celle que vous utilisez pour Hôte du contrôleur (Controller Host) lorsque vous configurez VMware NSX Advanced Load Balancer ou que vous spécifiez dans la variable AVI_CONTROLLER du fichier de configuration du cluster de gestion.

  5. Laissez les autres champs vides et cliquez sur Enregistrer (Save).
  6. Dans le menu situé dans le coin supérieur gauche, sélectionnez Administration > Paramètres (Settings) > Paramètres d'accès (Access Settings) et cliquez sur l'icône modifier dans Paramètres d'accès au système (System Access Settings).
  7. Supprimez tous les certificats dans Certificat SSL/TLS (SSL/TLS Certificate).
  8. Utilisez le menu déroulant Certificat SSL/TLS (SSL/TLS Certificate) pour ajouter le certificat personnalisé que vous avez créé ci-dessus.
  9. Dans le menu situé dans le coin supérieur gauche, sélectionnez Modèles (Templates) > Sécurité (Security) > Certificats SSL/TLS (SSL/TLS Certificates), sélectionnez le certificat que vous créez et cliquez sur l'icône Exporter (Export).
  10. Copiez le contenu du certificat.

    Vous aurez besoin du contenu du certificat lorsque vous déployerez des clusters de gestion.

check-circle-line exclamation-circle-line close-line
Scroll to top icon