NSX Container Plugin (NCP) fornisce l'integrazione tra NSX e gli orchestratori di container come Kubernetes, nonché l'integrazione tra NSX e i prodotti PaaS (Platform as a Service) basati su container come OpenShift e Tanzu Application Service (TAS). Questa guida descrive la configurazione di NCP con Kubernetes e TAS.

Il componente principale di NCP viene eseguito in un container e comunica con NSX Manager e con il piano di controllo Kubernetes. NCP monitora le modifiche apportate ai container e alle altre risorse e gestisce le risorse di rete come porte logiche, commutatori, router e gruppi di sicurezza per i container chiamando NSX API.

Il plug-in CNI di NSX viene eseguito in ogni nodo Kubernetes. Monitora gli eventi del ciclo di vita del container, connette un'interfaccia del container al vSwitch guest e programma il vSwitch guest per contrassegnare e inoltrare il traffico del container tra le interfacce del container e la VNIC.

NCP fornisce le funzionalità seguenti:
  • Crea automaticamente una topologia logica di NSX per un cluster Kubernetes e crea una rete logica separata per ogni spazio dei nomi Kubernetes.
  • Connette i pod Kubernetes alla rete logica e alloca gli indirizzi IP e MAC.
  • Supporta NAT (Network Address Translation) e alloca un IP SNAT separato per ogni spazio dei nomi Kubernetes.
    Nota: Quando si configura NAT, il numero totale di IP convertiti non può essere superiore a 1000.
  • Implementa i criteri di rete Kubernetes con il firewall distribuito di NSX.
    • Supporto dei criteri di rete in ingresso e in uscita.
    • Supporto per il selettore IPBlock nei criteri di rete.
    • Supporto per matchLabels e matchExpression quando si specificano selettori delle etichette per i criteri di rete.
    • Supporto per la selezione di pod in un altro spazio dei nomi.
  • Implementa il servizio Kubernetes di tipo ClusterIP e il servizio di tipo LoadBalancer.
  • Implementa l'ingresso Kubernetes con il bilanciamento del carico di livello 7 di NSX.
    • Supporto per l'ingresso HTTP e l'ingresso HTTPS con terminazione dell'Edge TLS.
    • Supporto per la configurazione del back-end predefinito in ingresso.
    • Supporto per il reindirizzamento a HTTPS, la riscrittura del percorso e la corrispondenza del modello di percorso.
  • Crea tag nella porta del commutatore logico di NSX per lo spazio dei nomi, il nome del pod e le etichette di un pod e consente all'amministratore di definire i gruppi e i criteri di sicurezza di NSX in base ai tag.
  • Il multicast è supportato tra pod nello stesso spazio dei nomi, ma non è supportato tra pod in spazi dei nomi diversi.

NCP supporta un singolo cluster Kubernetes. È possibile creare più cluster Kubernetes, ciascuno con un'istanza di NCP distinta, utilizzando la stessa distribuzione di NSX.