Dans un environnement vSphere IaaS control plane, un Superviseur peut utiliser la pile de mise en réseau vSphere ou NSX pour fournir une connectivité aux machines virtuelles, aux services et aux charges de travail du plan de contrôle du Superviseur.

Lorsqu'un Superviseur est configuré avec la pile de mise en réseau vSphere, tous les hôtes du Superviseur sont connectés à un vDS qui fournit la connectivité aux charges de travail et aux machines virtuelles du plan de contrôle du Superviseur. Un Superviseur qui utilise la pile de mise en réseau vSphere nécessite un équilibrage de charge sur le réseau de gestion de vCenter Server pour fournir la connectivité aux utilisateurs DevOps et aux services externes.

Un Superviseur configuré avec NSX utilise les réseaux logiciels de la solution et un équilibreur de charge NSX Edge ou le NSX Advanced Load Balancer pour fournir la connectivité aux services externes et aux utilisateurs DevOps. Vous pouvez configurer le NSX Advanced Load Balancer sur NSX si votre environnement répond aux conditions suivantes :
  • NSX est de version 4.1.1 ou ultérieure.
  • La version NSX Advanced Load Balancer est 22.1.4 ou version ultérieure avec la licence Enterprise.
  • Le Contrôleur NSX Advanced Load Balancer que vous prévoyez de configurer est enregistré sur NSX.
  • Aucun équilibreur de charge NSX n'est déjà configuré sur le Superviseur.

Mise en réseau de Superviseur avec VDS

Dans un Superviseur qui dépend de VDS comme pile de mise en réseau, tous les hôtes des clusters vSphere qui sauvegardent le Superviseur doivent être connectés au même VDS. Superviseur utilise des groupes de ports distribués comme réseaux de charge de travail pour les charges de travail Kubernetes et le trafic du plan de contrôle. Vous attribuez des réseaux de charge de travail à des espaces de noms dans le Superviseur.

Selon la topologie que vous mettez en œuvre pour le Superviseur, vous pouvez utiliser un ou plusieurs groupes de ports distribués comme réseaux de charge de travail. Le réseau qui fournit la connectivité aux machines virtuelles du plan de contrôle du Superviseur est appelé réseau de charge de travail principal. Vous pouvez attribuer ce réseau à tous les espaces de noms sur le Superviseur, ou vous pouvez utiliser différents réseaux pour chaque espace de noms. Les clusters Tanzu Kubernetes Grid se connectent au réseau de charge de travail qui est attribué à l'espace de noms dans lequel résident les clusters.

Un Superviseur qui dépend de VDS utilise un équilibrage de charge pour fournir la connectivité aux utilisateurs DevOps et aux services externes. Vous pouvez utiliser le NSX Advanced Load Balancer ou l'équilibrage de charge HAProxy.

Pour plus d'informations, reportez-vous aux sections Installation et configuration de NSX Advanced Load Balancer et Installation et configuration de l'équilibrage de charge HAProxy.

Dans une configuration de Superviseur à cluster unique, le Superviseur dépend d'un seul cluster vSphere. Tous les hôtes du cluster doivent être connectés à un VDS.

Figure 1. Mise en réseau Superviseur à cluster unique avec VDS

Architecture réseau d'un Superviseur configurée avec la pile de mise en réseau VDS.

Pour un Superviseur à trois zones, vous déployez le Superviseur sur trois zones vSphere, chacune mappée à un cluster vSphere. Tous les hôtes de ces clusters vSphere doivent être connectés au même VDS. Tous les serveurs physiques doivent être connectés à un périphérique L2. Les réseaux de charge de travail que vous configurez pour l'espace de noms s'étendent sur les trois zones vSphere.

Figure 2. Mise en réseau du Superviseur à trois zones avec VDS

Architecture de mise en réseau d'un Superviseur s'exécutant sur trois zones vSphere, où chaque réseau de charge de travail s'étend sur les trois zones.

Mise en réseau de Superviseur avec NSX

NSX fournit une connectivité réseau aux objets à l'intérieur du Superviseur et des réseaux externes. La connectivité aux hôtes ESXi constituant le cluster est gérée par les réseaux vSphere standard.

Vous pouvez également configurer la mise en réseau du Superviseur manuellement à l'aide d'un déploiement de NSX existant ou en déployant une nouvelle instance de NSX.

Pour plus d'informations, reportez-vous à la section Installer et configurer NSX for vSphere IaaS control plane.

Figure 3. Mise en réseau de Superviseur avec NSX
Architecture de mise en réseau d'un Superviseur configuré avec la pile de mise en réseau NSX.
  • NSX Container Plugin (NCP) fournit une intégration entre NSX et Kubernetes. Le composant principal de NCP s'exécute dans un conteneur et communique avec NSX Manager et avec le plan de contrôle Kubernetes. NCP surveille les modifications apportées aux conteneurs et à d'autres ressources et gère les ressources de mise en réseau, telles que les ports logiques, les segments, les routeurs et les groupes de sécurité des conteneurs en appelant NSX API.

    Le NCP crée une passerelle de niveau 1 partagée pour les espaces de noms système et une passerelle de niveau 1 et un équilibrage de charge pour chaque espace de noms, par défaut. La passerelle de niveau 1 est connectée à la passerelle de niveau 0 et à un segment par défaut.

    Les espaces de noms système sont des espaces de noms qui sont utilisés par les composants principaux indispensables au fonctionnement du Superviseur et des clusters Tanzu Kubernetes Grid. Les ressources réseau partagées qui incluent la passerelle de niveau 1, l'équilibrage de charge et l'adresse IP SNAT sont regroupées dans un espace de noms système.

  • NSX Edge fournit une connectivité à des objets de Superviseur depuis des réseaux externes. Le cluster NSX Edge dispose d'un équilibrage de charge qui fournit une redondance aux serveurs d'API Kubernetes résidant sur les machines virtuelles du plan de contrôle du Superviseur, et à toutes les applications qui doivent être publiées et accessibles à l'extérieur du Superviseur.
  • Une passerelle de niveau 0 est associée au cluster NSX Edge pour fournir le routage au réseau externe. L'interface de liaison montante utilise le protocole de routage dynamique , BGP ou de routage statique.
  • Chaque Espace de noms vSphere dispose d'un réseau distinct et d'un ensemble de ressources de mise en réseau partagées par des applications dans l'espace de noms, telles que la passerelle de niveau 1, le service d'équilibrage de charge et l'adresse IP SNAT.
  • Les charges de travail s'exécutant dans des Espaces vSphere, des machines virtuelles standard ou des clusters Tanzu Kubernetes Grid, qui se trouvent dans le même espace de noms, partagent une même adresse IP SNAT pour la connectivité nord-sud.
  • Les charges de travail s'exécutant dans des Espaces vSphere ou des clusters Tanzu Kubernetes Grid auront la même règle d'isolation que celle mise en œuvre par le pare-feu par défaut.
  • Une adresse IP SNAT distincte n'est pas requise pour chaque espace de noms Kubernetes. La connectivité est-ouest entre les espaces de noms ne sera pas SNAT.
  • Les segments de chaque espace de noms résident sur le VDS fonctionnant en mode standard associé au cluster NSX Edge. Le segment fournit un réseau superposé au Superviseur.
  • Les Superviseurs disposent de segments distincts dans la passerelle partagée de niveau 1. Pour chaque cluster Tanzu Kubernetes Grid, les segments sont définis dans la passerelle de niveau 1 de l'espace de noms.
  • Les processus Spherelet sur chaque hôte ESXi communiquent avec vCenter Server via une interface sur le réseau de gestion.

Dans un Superviseur à trois zones configuré avec NSX comme pile de mise en réseau, tous les hôtes des trois clusters vSphere mappés aux zones doivent être connectés au même VDS et participer à la même zone de transport de superposition NSX. Tous les hôtes doivent être connectés au même périphérique physique L2.

Figure 4. Mise en réseau du Superviseur à trois zones avec NSX

Architecture de mise en réseau d'un Superviseur avec mise en réseau NSX s'exécutant sur trois zones. Les segments des réseaux de charge de travail s'étendent sur les trois zones.

Mise en réseau du Superviseur avec NSX et NSX Advanced Load Balancer

NSX fournit une connectivité réseau aux objets à l'intérieur du Superviseur et des réseaux externes. Un Superviseur configuré avec NSX peut utiliser NSX Edge ou NSX Advanced Load Balancer.

Les composants de NSX Advanced Load Balancer incluent le cluster de Contrôleur NSX Advanced Load Balancer, les machines virtuelles de moteurs de service (plan de données) et l'opérateur Avi Kubernetes (AKO).

Le Contrôleur NSX Advanced Load Balancer interagit avec vCenter Server pour automatiser l'équilibrage de charge des clusters Tanzu Kubernetes Grid. Le contrôleur est responsable du provisionnement des moteurs de service, de la coordination des ressources entre les moteurs de service et de l'agrégation des mesures et de la journalisation du moteur de service. Le contrôleur fournit une interface Web, une interface de ligne de commande et une API pour les opérations utilisateur et l'intégration programmatique. Après avoir déployé et configuré la machine virtuelle de contrôleur, vous pouvez déployer un cluster de contrôleur pour configurer le cluster de plan de contrôle pour la haute disponibilité.

Le moteur de service est la machine virtuelle du plan de données. Un moteur de service exécute un ou plusieurs services virtuels. Un moteur de service est géré par le Contrôleur NSX Advanced Load Balancer. Le contrôleur provisionne des moteurs de service pour héberger des services virtuels.

Le moteur de service dispose de deux types d'interfaces réseau :
  • La première interface réseau, vnic0, de la machine virtuelle se connecte au réseau de gestion où elle peut se connecter au Contrôleur NSX Advanced Load Balancer.
  • Les autres interfaces, vnic1 - 8, se connectent au réseau de données sur lequel les services virtuels s'exécutent.

Les interfaces du moteur de service se connectent automatiquement aux groupes de ports vDS appropriés. Chaque moteur de service peut prendre en charge jusqu'à 1 000 services virtuels.

Un service virtuel fournit des services d'équilibrage de charge de couche 4 et de couche 7 pour les charges de travail de cluster Tanzu Kubernetes Grid. Un service virtuel est configuré avec une adresse IP virtuelle et plusieurs ports. Lorsqu'un service virtuel est déployé, le contrôleur sélectionne automatiquement un serveur ESX, lance un moteur de service et le connecte aux réseaux corrects (groupes de ports).

Le premier moteur de service est créé uniquement après la configuration du premier service virtuel. Tous les services virtuels suivants qui sont configurés utilisent le moteur de service existant.

Chaque serveur virtuel expose un équilibrage de charge de couche 4 avec une adresse IP distincte de type équilibrage de charge pour cluster Tanzu Kubernetes Grid. L'adresse IP attribuée à chaque serveur virtuel est sélectionnée dans le bloc d'adresses IP attribué au contrôleur lorsque vous le configurez .

L'opérateur Avi Kubernetes (AKO) surveille les ressources Kubernetes et communique avec le Contrôleur NSX Advanced Load Balancer pour demander les ressources d'équilibrage de charge correspondantes . L'opérateur Avi Kubernetes est installé sur les Superviseurs dans le cadre du processus d'activation.

Pour plus d'informations, reportez-vous à la section Installer et configurer NSX et NSX Advanced Load Balancer.

Figure 5. Mise en réseau du Superviseur avec NSX et Contrôleur NSX Advanced Load Balancer
Architecture de mise en réseau d'un Superviseur configuré avec la pile de mise en réseau NSX et NSX Advanced Load Balancer.
Figure 6. Mise en réseau d'un Superviseur à trois zones avec NSX et le Contrôleur NSX Advanced Load Balancer
Architecture de mise en réseau d'un Superviseur avec mise en réseau NSX et le Contrôleur NSX Advanced Load Balancer, s'exécutant sur trois zones. Les segments des réseaux de charge de travail s'étendent sur les trois zones.
Important : Lorsque vous configurez le Contrôleur NSX Advanced Load Balancer dans un déploiement de NSX, gardez à l'esprit les remarques suivantes :
  • Vous ne pouvez pas déployer le Contrôleur NSX Advanced Load Balancer dans un déploiement de vCenter Server en mode Enhanced Linked Mode. Vous pouvez uniquement déployer le Contrôleur NSX Advanced Load Balancer dans un déploiement de vCenter Server unique. Si plusieurs instances de vCenter Server sont liées, une seule d'entre elles peut être utilisée lors de la configuration du Contrôleur NSX Advanced Load Balancer.
  • Vous ne pouvez pas configurer le Contrôleur NSX Advanced Load Balancer dans une topologie de niveau 0 à plusieurs niveaux. Si l'environnement NSX est configuré avec une topologie de niveau 0 à plusieurs niveaux, vous ne pouvez utiliser qu'une seule passerelle de niveau 0 lors de la configuration du Contrôleur NSX Advanced Load Balancer.

Méthodes de configuration de la mise en réseau avec NSX

Superviseur utilise une configuration de mise en réseau dogmatique. Il existe deux méthodes pour configurer la mise en réseau du Superviseur avec NSX qui permettent le déploiement du même modèle de mise en réseau pour un Superviseur à zone unique :
  • La manière la plus simple de configurer la mise en réseau du Superviseur est d'utiliser VMware Cloud Foundation SDDC Manager. Pour plus d'informations, reportez-vous à la documentation de VMware Cloud Foundation SDDC Manager. Pour plus d'informations, reportez-vous au Guide d'administration de VMware Cloud Foundation.
  • Vous pouvez également configurer la mise en réseau du Superviseur manuellement à l'aide d'un déploiement de NSX existant ou en déployant une nouvelle instance de NSX. Pour plus d'informations, reportez-vous à la section Installer et configurer NSX for vSphere IaaS control plane.