Dans un environnement vSphere with Tanzu, un Superviseur peut utiliser la pile de mise en réseau VDS NSX pour fournir une connectivité aux machines virtuelles, aux services et aux charges de travail du plan de contrôle du Superviseur. Lorsqu'un Superviseur est configuré avec la pile de mise en réseau VDS, tous les hôtes du Superviseur sont connectés à un VDS qui fournit la connectivité aux charges de travail et aux machines virtuelles du plan de contrôle du Superviseur. Un Superviseur qui utilise la pile de mise en réseau VDS nécessite un équilibrage de charge sur le réseau de gestion de vCenter Server pour fournir la connectivité aux utilisateurs DevOps et aux services externes. Un Superviseur configuré avec NSX utilise les réseaux logiciels de la solution ainsi qu'un équilibrage de charge NSX Edge pour fournir la connectivité aux services externes et aux utilisateurs DevOps.

Mise en réseau de Superviseur avec VDS

Dans un Superviseur qui dépend de VDS comme pile de mise en réseau, tous les hôtes des clusters vSphere qui sauvegardent le Superviseur doivent être connectés au même VDS. Superviseur utilise des groupes de ports distribués comme réseaux de charge de travail pour les charges de travail Kubernetes et le trafic du plan de contrôle. Vous attribuez des réseaux de charge de travail à des espaces de noms dans le Superviseur.

Selon la topologie que vous mettez en œuvre pour le Superviseur, vous pouvez utiliser un ou plusieurs groupes de ports distribués comme réseaux de charge de travail. Le réseau qui fournit la connectivité aux machines virtuelles du plan de contrôle du Superviseur est appelé réseau de charge de travail principal. Vous pouvez attribuer ce réseau à tous les espaces de noms sur le Superviseur, ou vous pouvez utiliser différents réseaux pour chaque espace de noms. Les clusters Tanzu Kubernetes Grid se connectent au réseau de charge de travail qui est attribué à l'espace de noms dans lequel résident les clusters.

Un Superviseur qui dépend de VDS utilise un équilibrage de charge pour fournir la connectivité aux utilisateurs DevOps et aux services externes. Vous pouvez utiliser le NSX Advanced Load Balancer ou l'équilibrage de charge HAProxy.

Pour plus d'informations, reportez-vous à Installer et configurer NSX Advanced Load Balancer et Installer et configurer l'équilibrage de charge HAProxy.

Dans une configuration de Superviseur à cluster unique, le Superviseur dépend d'un seul cluster vSphere. Tous les hôtes du cluster doivent être connectés à un VDS.

Figure 1. Mise en réseau Superviseur à cluster unique avec VDS

Mise en réseau d'espaces de noms avec vSphere Distributed Switch

Pour un Superviseur à trois zones, vous déployez le Superviseur sur trois zones vSphere, chacune mappée à un cluster vSphere. Tous les hôtes de ces clusters vSphere doivent être connectés au même VDS. Tous les serveurs physiques doivent être connectés à un périphérique L2. Les réseaux de charge de travail que vous configurez pour l'espace de noms s'étendent sur les trois zones vSphere.

Figure 2. Mise en réseau du Superviseur à trois zones avec VDS

Mise en réseau du superviseur à trois zones avec VDS

Mise en réseau de Superviseur avec NSX

NSX fournit une connectivité réseau aux objets à l'intérieur du Superviseur et des réseaux externes. La connectivité aux hôtes ESXi constituant le cluster est gérée par les réseaux vSphere standard.

Vous pouvez également configurer la mise en réseau du Superviseur manuellement à l'aide d'un déploiement de NSX existant ou en déployant une nouvelle instance de NSX.

Figure 3. Mise en réseau de Superviseur avec NSX
  • NSX Container Plugin (NCP) fournit une intégration entre NSX et Kubernetes. Le composant principal de NCP s'exécute dans un conteneur et communique avec NSX Manager et avec le plan de contrôle Kubernetes. NCP surveille les modifications apportées aux conteneurs et à d'autres ressources et gère les ressources de mise en réseau, telles que les ports logiques, les segments, les routeurs et les groupes de sécurité des conteneurs en appelant NSX API.

    Le NCP crée une passerelle de niveau 1 partagée pour les espaces de noms système et une passerelle de niveau 1 et un équilibrage de charge pour chaque espace de noms, par défaut. La passerelle de niveau 1 est connectée à la passerelle de niveau 0 et à un segment par défaut.

    Les espaces de noms système sont des espaces de noms qui sont utilisés par les composants principaux indispensables au fonctionnement du Superviseur et des clusters Tanzu Kubernetes Grid. Les ressources réseau partagées qui incluent la passerelle de niveau 1, l'équilibrage de charge et l'adresse IP SNAT sont regroupées dans un espace de noms système.

  • NSX Edge fournit une connectivité à des objets de Superviseur depuis des réseaux externes. Le cluster NSX Edge dispose d'un équilibrage de charge qui fournit une redondance aux serveurs d'API Kubernetes résidant sur les machines virtuelles du plan de contrôle du Superviseur, et à toutes les applications qui doivent être publiées et accessibles à l'extérieur du Superviseur.
  • Une passerelle de niveau 0 est associée au cluster NSX Edge pour fournir le routage au réseau externe. L'interface de liaison montante utilise le protocole de routage dynamique , BGP ou de routage statique.
  • Chaque Espace de noms vSphere dispose d'un réseau distinct et d'un ensemble de ressources de mise en réseau partagées par des applications dans l'espace de noms, telles que la passerelle de niveau 1, le service d'équilibrage de charge et l'adresse IP SNAT.
  • Les charges de travail s'exécutant dans des Espaces vSphere, des machines virtuelles standard ou des clusters Tanzu Kubernetes Grid, qui se trouvent dans le même espace de noms, partagent une même adresse IP SNAT pour la connectivité nord-sud.
  • Les charges de travail s'exécutant dans des Espaces vSphere ou des clusters Tanzu Kubernetes Grid auront la même règle d'isolation que celle mise en œuvre par le pare-feu par défaut.
  • Une adresse IP SNAT distincte n'est pas requise pour chaque espace de noms Kubernetes. La connectivité est-ouest entre les espaces de noms ne sera pas SNAT.
  • Les segments de chaque espace de noms résident sur le VDS fonctionnant en mode standard associé au cluster NSX Edge. Le segment fournit un réseau superposé au Superviseur.
  • Les Superviseurs disposent de segments distincts dans la passerelle partagée de niveau 1. Pour chaque cluster Tanzu Kubernetes Grid, les segments sont définis dans la passerelle de niveau 1 de l'espace de noms.
  • Les processus Spherelet sur chaque hôte ESXi communiquent avec vCenter Server via une interface sur le réseau de gestion.

Dans un Superviseur à trois zones configuré avec NSX comme pile de mise en réseau, tous les hôtes des trois clusters vSphere mappés aux zones doivent être connectés au même VDS et participer à la même zone de transport de superposition NSX. Tous les hôtes doivent être connectés au même périphérique physique L2.

Figure 4. Mise en réseau du Superviseur à trois zones avec NSX

Mise en réseau du superviseur à trois zones avec NSX

Méthodes de configuration de la mise en réseau avec NSX

Superviseur utilise une configuration de mise en réseau dogmatique. Il existe deux méthodes pour configurer la mise en réseau du Superviseur avec NSX qui permettent le déploiement du même modèle de mise en réseau pour un Superviseur à zone unique :
  • La manière la plus simple de configurer la mise en réseau du Superviseur est d'utiliser VMware Cloud Foundation SDDC Manager. Pour plus d'informations, reportez-vous à la documentation de VMware Cloud Foundation SDDC Manager. Pour plus d'informations, consultez la section Utilisation de la gestion de la charge de travail.
  • Vous pouvez également configurer la mise en réseau du Superviseur manuellement à l'aide d'un déploiement de NSX existant ou en déployant une nouvelle instance de NSX. Consultez Installer et configurer NSX pour vSphere with Tanzu pour plus d'informations.