Installazione e configurazione di NSX Advanced Load Balancer

Topologia della distribuzione di NSX Advanced Load Balancer

In Tanzu Kubernetes Grid, NSX Advanced Load Balancer include i componenti seguenti:

  • Avi Kubernetes Operator (AKO) fornisce il bilanciamento del carico L4-L7 per le applicazioni distribuite in un cluster Kubernetes per il traffico nord-sud. Ascolta gli oggetti in ingresso Kubernetes e gli oggetti del tipo di servizio LoadBalancer e interagisce con le API del controller Avi per creare oggetti VirtualService.
  • AKO Operator è un'applicazione che consente la comunicazione tra AKO e Cluster API. Gestisce il ciclo di vita di AKO e fornisce un'interfaccia generica al bilanciamento del carico per i nodi del piano di controllo del cluster. L'operatore AKO viene distribuito solo nel cluster di gestione.
  • Motori di servizio (SE) che implementano il piano dati nel fattore di forma di una macchina virtuale.
  • Gruppi di motori di servizio che forniscono un'unità di isolamento sotto forma di un set di motori di servizio, ad esempio un gruppo di SE dedicato per determinati spazi dei nomi importanti. Ciò offre controllo tramite le caratteristiche degli SE (CPU, memoria e così via) che devono essere creati e i limiti del numero massimo di SE consentiti.
  • Controller AVI che gestisce oggetti VirtualService e interagisce con l'infrastruttura di vCenter Server per gestire il ciclo di vita dei motori di servizio (SE). Si tratta del portale in cui visualizzare l'integrità di VirtualServices e degli SE, nonché le analisi associate fornite da NSX Advanced Load Balancer. È inoltre il punto di controllo per le operazioni di monitoraggio e manutenzione come il backup e il ripristino.

Tanzu Kubernetes Grid supporta NSX Advanced Load Balancer distribuito nelle topologie di rete con un solo ramo o con più rami.

Nota

Se si desidera distribuire NSX ALB Essentials Edition in una topologia di rete con più rami, assicurarsi di non aver configurato alcun firewall o criterio di rete nelle reti configurate per la comunicazione tra Avi SE e i nodi del cluster Kubernetes. Per configurare qualsiasi criterio di firewall o di rete in una topologia di rete con più rami in cui viene distribuito NSX ALB, è necessario NSX Advanced Load Balancer Enterprise Edition con la funzionalità gateway automatico abilitata.

Il diagramma seguente rappresenta una distribuzione di ALB NSX con un solo ramo:

Topologia della distribuzione di VMware NSX Advanced Load Balancer - Un ramo

Il diagramma seguente rappresenta una distribuzione NSX ALB a più rami:

Topologia della distribuzione di VMware NSX Advanced Load Balancer - Più rami

Rete

  • Gli SE possono essere distribuiti in modalità a un solo ramo oppure a due rami in relazione al percorso dei dati, con connettività sia con la rete VIP sia con la rete dei nodi del cluster del carico di lavoro. Se si desidera distribuire gli SE in una topologia di rete a due rami utilizzando NSX ALB Essentials Edition, assicurarsi di non aver configurato alcun firewall o criterio di rete nelle reti che si desidera utilizzare.
  • La rete VIP e le reti del carico di lavoro devono essere individuabili nello stesso vCenter Cloud in modo che il controller Avi possa creare SE collegati a entrambe le reti.
  • Gli indirizzi IP delle interfacce dati VIP e SE vengono allocati dalla rete VIP.

IPAM

  • Se DHCP non è disponibile, l'IPAM per l'indirizzo IP dell'interfaccia VIP e SE viene gestito dal controller Avi.
  • Il profilo IPAM nel controller Avi è configurato con un cloud e un set di reti utilizzabili.
  • Se DHCP non è configurato per la rete VIP, è necessario creare almeno un pool statico per la rete di destinazione.

Isolamento delle risorse

  • L'isolamento del piano dati tra i cluster del carico di lavoro può essere fornito utilizzando i gruppi di SE. L'amministratore di vSphere può configurare un gruppo di SE dedicato per un set di cluster del carico di lavoro che richiedono l'isolamento.
  • I gruppi di SE offrono la possibilità di controllare le caratteristiche delle risorse degli SE creati dal controller Avi, ad esempio CPU, memoria e così via.

Tenancy

Con NSX Advanced Load Balancer Essentials, tutti gli utenti del cluster del carico di lavoro sono associati a un singolo tenant di amministrazione.

Avi Kubernetes Operator

Avi Kubernetes Operator viene installato nei cluster del carico di lavoro. Viene configurato con l'indirizzo IP del controller Avi e le credenziali utente che Avi Kubernetes Operator utilizza per comunicare con il controller Avi. Viene creato un utente dedicato per carico di lavoro con il tenant di amministrazione e un ruolo personalizzato. Questo ruolo dispone dell'accesso limitato, come indicato in https://github.com/avinetworks/avi-helm-charts/blob/master/docs/AKO/roles/ako-essential.json.

Installazione del controller AVI in vCenter Server

Per installare Avi in vCenter Server, vedere Installazione di Avi Vantage per VMware vCenter nella documentazione di Avi.

Per installare Avi in vCenter con VMware NSX, vedere Installazione di Avi Vantage per VMware vCenter con NSX nella documentazione di AVI.

Nota

Per informazioni sulla versione del controller Avi supportata in questa versione, vedere le Note di rilascio di Tanzu Kubernetes Grid v2.2. Per aggiornare il controller AVI, vedere Aggiornamenti flessibili per Avi Vantage.

Prerequisiti per l'installazione e la configurazione di NSX ALB

Per abilitare la soluzione di integrazione di Tanzu Kubernetes Grid e NSX Advanced Load Balancer, è necessario distribuire e configurare il controller Avi. Attualmente, Tanzu Kubernetes Grid supporta la distribuzione del controller Avi nel cloud vCenter e nel cloud NSX-T.

Per garantire il funzionamento della soluzione di integrazione di Tanzu Kubernetes Grid e NSX Advanced Load Balancer, la topologia di rete dell'ambiente deve soddisfare i requisiti seguenti:

  • Il controller AVI deve essere raggiungibile da vCenter, dal cluster di gestione e dal cluster del carico di lavoro.
  • AKO nel cluster di gestione e nei cluster del carico di lavoro deve essere raggiungibile dal controller Avi per richiedere al controller Avi di implementare il piano dati dell'ingresso e del tipo di servizio LoadBalancer.
  • Il motore di servizio (SE) di Avi deve essere raggiungibile dai cluster Kubernetes a cui il motore di servizio fornisce il piano dati di bilanciamento del carico.
  • Il motore di servizio di Avi deve instradare il traffico verso il cluster a cui fornisce la funzionalità di bilanciamento del carico.

NSX Cloud

L'integrazione di Tanzu Kubernetes Grid con NSX e NSX Advanced Load Balancer (Avi) è supportata nelle versioni seguenti:

NSX Controller Avi Tanzu Kubernetes Grid
3.0+ 20.1.1+ 1.5.2+

Configurazione del controller Avi: IPAM e DNS

Nell'interfaccia utente del controller è necessario configurare altre impostazioni prima di poter utilizzare NSX Advanced Load Balancer.

  1. Nell'interfaccia utente del controller, passare a Modelli (Templates) > Profili (Profiles) > Profili IPAM/DNS (IPAM/DNS Profiles), fare clic su Crea (Create) e selezionare Profilo IPAM (IPAM Profile).

    • Immettere un nome per il profilo, ad esempio tkg-ipam-profile.
    • Lasciare Tipo (Type) impostato su IPAM Avi Vantage (Avi Vantage IPAM).
    • Lasciare deselezionata l'opzione Alloca IP in VRF (Allocate IP in VRF).
    • Fare clic su Aggiungi rete utilizzabile (Add Usable Network).
    • Selezionare Cloud predefinito (Default-Cloud).
    • In Rete utilizzabile (Usable Network), selezionare la rete in cui si desidera che gli IP virtuali vengano allocati. Se si utilizza una topologia di rete flat, può essere la stessa rete (rete di gestione) selezionata nella procedura precedente. Per una topologia di rete diversa, selezionare una rete del gruppo di porte separata per gli IP virtuali.
    • (Facoltativo) Fare clic su Aggiungi rete utilizzabile (Add Usable Network) per configurare reti VIP aggiuntive.
    • Fare clic su Salva (Save).

    Configurazione dei profili IPAM e DNS

  2. Nella vista Profili IPAM/DNS (IPAM/DNS Profiles), fare di nuovo clic su Crea (Create) e selezionare Profilo DNS (DNS Profile).

    Nota

    Il profilo DNS è facoltativo per l'utilizzo del tipo di servizio LoadBalancer.

    • Immettere un nome per il profilo, ad esempio tkg-dns-profile.
    • In Tipo (Type), selezionare DNS AVI Vantage (AVI Vantage DNS).
    • Fare clic su Aggiungi dominio servizio DNS (Add DNS Service Domain) e immettere almeno una voce Nome dominio (Domain Name), ad esempio tkg.nsxlb.vmware.com.
      • Deve essere un dominio DNS che è possibile gestire.
      • Questo è importante soprattutto per le configurazioni dell'ingresso L7 per i cluster del carico di lavoro, in cui il controller basa sui nomi host la logica per instradare il traffico.
      • Le risorse di ingresso gestite dal controller devono utilizzare nomi host che appartengono al nome di dominio selezionato qui.
      • Questo nome di dominio viene utilizzato anche per i servizi di tipo LoadBalancer, ma è importante soprattutto se si utilizza VS DNS di AVI come server dei nomi.
      • Ogni servizio virtuale creerà una voce nella configurazione DNS di AVI. Ad esempio, service.namespace.tkg-lab.vmware.com.
    • Fare clic su Salva (Save).

    Creazione del profilo DNS

  3. Fare clic sul menu nell'angolo in alto a sinistra e selezionare Infrastruttura (Infrastructure) > Cloud (Clouds).

  4. In Cloud predefinito (Default-Cloud), fare clic sull'icona di modifica e in Profilo IPAM (IPAM Profile) e Profilo DNS (DNS Profile), selezionare i profili IPAM e DNS creati in precedenza.

    Aggiunta dei profili IPAM e DNS al cloud

  5. Selezionare la scheda Data center (DataCenter).

    • Lasciare DHCP abilitato. Questo valore viene impostato in base alla rete.
    • Lasciare deselezionate le caselle di controllo IPv6… e Route statiche (Static Routes)….
  6. Non aggiornare ancora la sezione Rete (Network).

  7. Salvare la configurazione del cloud.
  8. Aprire Infrastruttura (Infrastructure) > Risorse cloud (Cloud Resources) > Reti (Networks) e fare clic sull'icona di modifica relativa alla rete che si sta utilizzando come rete VIP.

    Modifica della rete per la rete VIP

  9. Viene visualizzato un elenco modificabile di intervalli IP nel pool di indirizzi IP. Fare clic su Aggiungi pool di indirizzi IP statici (Add Static IP Address Pool).

    Modifica dei pool di indirizzi di rete VIP

  10. Immettere un intervallo di indirizzi IP entro i limiti della subnet per il pool di indirizzi IP statici da utilizzare come rete VIP, ad esempio 192.168.14.210-192.168.14.219. Fare clic su Salva (Save).

    Immettere il pool di IP per la rete VIP

(Operazione consigliata) Configurazione del controller AVI: Servizio virtuale

Se il gruppo di SE che si desidera utilizzare con il cluster di gestione non dispone di un servizio virtuale, è possibile che non siano presenti motori di servizio in esecuzione per tale gruppo di SE. Pertanto, il processo di distribuzione del cluster di gestione dovrà attendere la creazione di un motore di servizio. La creazione di un motore di servizio richiede molto tempo perché comporta la distribuzione di una nuova macchina virtuale. In condizioni di rete scarse, questa operazione può causare un timeout interno che impedisce il completamento del processo di distribuzione del cluster di gestione.

Per evitare questo problema, è consigliabile creare un servizio virtuale fittizio tramite l'interfaccia utente del controller Avi per attivare la creazione di un motore di servizio prima di distribuire il cluster di gestione.

Per verificare che al gruppo di SE sia stato assegnato un servizio virtuale, nell'interfaccia utente del controller passare a Infrastruttura (Infrastructure) > Gruppo di motori di servizio (Service Engine Group) e visualizzare i dettagli del gruppo di SE. Se al gruppo di SE non è assegnato alcun servizio virtuale, creare un servizio virtuale fittizio:

  1. Nell'interfaccia utente del controller, passare a Applicazioni (Applications) > Servizio virtuale (Virtual Service).

  2. Fare clic su Crea servizio virtuale (Create Virtual Service) e selezionare Configurazione di base (Basic Setup).

  3. Configurare il VIP:

    1. Selezionare Allocazione automatica (Auto-Allocate).
    2. Selezionare Rete VIP (VIP Network) e Subnet VIP (VIP Subnet) configurate per il profilo IPAM in Configurazione del controller Avi: IPAM e DNS.
    3. Fare clic su Salva (Save).
Nota

dopo che il cluster di gestione è stato distribuito correttamente, è possibile eliminare il servizio virtuale fittizio.

Per informazioni complete sulla creazione di un servizio virtuale, necessario per creare un servizio fittizio, vedere l'argomento relativo alla creazione di un servizio virtuale nella documentazione di Avi Networks.

Configurazione del controller Avi: Certificato personalizzato.

Il certificato predefinito di NSX Advanced Load Balancer non contiene l'IP o il nome di dominio completo del controller nei nomi alternativi del soggetto (SAN), tuttavia nel certificato del controller Avi devono essere definiti SAN validi. Di conseguenza, è necessario creare un certificato personalizzato da fornire quando si distribuiscono cluster di gestione.

  1. Nell'interfaccia utente del controller, fare clic sul menu nell'angolo in alto a sinistra e selezionare Modelli (Templates) > Sicurezza (Security) > Certificati SSL/TLS (SSL/TLS Certificates), fare clic su Crea (Create) e selezionare Certificato controller (Controller Certificate).
  2. Immettere lo stesso nome nelle caselle di testo Nome (Name) e Nome comune (Common Name).
  3. Selezionare Autofirmato (Self-Signed).
  4. In Nome alternativo soggetto (SAN) (Subject Alternate Name (SAN)), immettere l'indirizzo IP o il nome di dominio completo o entrambi della macchina virtuale del controller.

    Se si utilizza solo l'indirizzo IP o FQDN, deve corrispondere al valore utilizzato per Host controller (Controller Host) durante la Configurazione di VMware NSX Advanced Load Balancer o specificato nella variabile AVI_CONTROLLER nel file di configurazione del cluster di gestione.

  5. Lasciare vuoti gli altri campi e fare clic su Salva (Save).
  6. Nel menu nell'angolo in alto a sinistra, selezionare Amministrazione (Administration) > Impostazioni (Settings) > Impostazioni di accesso (Access Settings) e fare clic sull'icona di modifica in Impostazioni di accesso sistema (System Access Settings).
  7. Eliminare tutti i certificati in Certificato SSL/TLS (SSL/TLS Certificate).
  8. Utilizzare il menu a discesa Certificato SSL/TLS (SSL/TLS Certificate) per aggiungere il certificato personalizzato creato in precedenza.
  9. Nel menu nell'angolo in alto a sinistra, selezionare Modelli (Templates) > Sicurezza (Security) > Certificati SSL/TLS (SSL/TLS Certificates), selezionare il certificato creato e fare clic sull'icona di esportazione.
  10. Copiare il contenuto del certificato.

    Il contenuto del certificato sarà necessario quando si distribuiranno i cluster di gestione.

check-circle-line exclamation-circle-line close-line
Scroll to top icon