È possibile creare un TanzuKubernetesCluster con rete di pod instradabili configurando una rete dello Spazio dei nomi instradabile su Supervisore e specificando antrea-nsx-routed come CNI per il cluster.

Informazioni sulla rete di pod instradabili

Quando si esegue il provisioning di un cluster di Tanzu Kubernetes utilizzando i plug-in di CNI antrea o calico, il sistema crea la rete di pod predefinita 192.168.0.0/16. Questa subnet è uno spazio di indirizzi privati che è univoco solo all'interno del cluster e non instradabile sulla rete.

L'API v1alpha3 di TKG supporta la rete di pod instradabili tramite il plug-in CNI antrea-nsx-routed. Questa interfaccia di rete è un plug-in personalizzato Antrea configurato per supportare reti di pod instradabili per i cluster TKG. Nella specifica del cluster, il campo dei blocchi CIDR dei pod deve essere esplicitamente nullo in modo che la gestione degli indirizzi IP (IPAM) venga eseguita dal Supervisore. Fare riferimento all'esempio seguente.

L'abilitazione della rete di pod instradabili consente di risolvere direttamente i pod da un client esterno al cluster. Gli indirizzi IP dei pod vengono inoltre conservati in modo che i servizi di rete e i server esterni possano identificare i pod di origine e applicare criteri in base agli indirizzi IP. I modelli di traffico supportati includono i seguenti:
  • Il traffico è consentito tra un pod del cluster TKG e un Pod vSphere nello stesso Spazio dei nomi vSphere.
  • Il traffico viene eliminato tra un pod del cluster TKG e un Pod vSphere in Spazi dei nomi vSphere diversi.
  • I nodi del piano di controllo del Supervisore possono raggiungere i pod del cluster TKG.
  • I pod del cluster TKG possono raggiungere la rete esterna.
  • La rete esterna non può raggiungere i pod del cluster TKG. Il traffico viene eliminato dalle regole di isolamento DFW (Distributed Firewall) nei nodi del cluster.

Creazione di una rete di pod instradabili: configurazione del Supervisore

La creazione di una rete di pod instradabili richiede la configurazione nel Supervisore e nel cluster TKG.
Nota: Supervisore deve essere configurato con NSX per utilizzare servizi di rete di pod instradabili. Non è possibile utilizzare pod instradabili con servizi di rete VDS.
Per configurare una rete di pod instradabili in Supervisore:
  1. Creare un nuovo Spazio dei nomi vSphere.

    Vedere Creazione di uno Spazio dei nomi vSphere per ospitare i cluster Servizio TKG.

  2. Selezionare l'opzione della casella di controllo per Sostituisci impostazioni di rete supervisore.

    Per le linee guida, vedere Sostituzione delle impostazioni di rete del carico di lavoro rete per uno Spazio dei nomi vSphere.

  3. Configurare la rete di pod instradabili come indicato di seguito.
    Campo Descrizione
    Modalità NAT Deselezionare questa opzione per disabilitare NAT (Network Address Translation) poiché si utilizza una subnet instradabile.
    CIDR rete spazio dei nomi

    Il CIDR della rete dello spazio dei nomi è una subnet che funge da pool di IP per lo spazio dei nomi di vSphere. Il prefisso della subnet dello spazio dei nomi descrive le dimensioni di qualsiasi blocco CIDR successivo creato da tale pool di IP.

    Compilare questo campo con una subnet IP instradabile nel formato Indirizzo IP/Bit (ad esempio, 10.0.0.6/16). NCP creerà uno o più pool di IP dai blocchi IP specificati per la rete.

    È necessario specificare una dimensione della subnet pari almeno a /23. Ad esempio, se si specifica una subnet instradabile /23 con prefisso della subnet /28, si otterranno 32 subnet, che dovrebbero essere sufficienti per un cluster di 6 nodi. Con una subnet /24 con prefisso /28 si otterranno solo 2 subnet, che non sono sufficienti.
    Prefisso subnet spazio dei nomi

    Il prefisso della subnet dello spazio dei nomi descrive la dimensione di qualsiasi blocco CIDR successivo creato dal pool di IP della rete dello spazio dei nomi.

    Specificare un prefisso della subnet nel formato /28, ad esempio.

  4. Fare clic su Crea per creare la rete di pod instradabili.

Creazione di una rete di pod instradabili: configurazione del cluster TKG

Il seguente esempio di codice YAML indica come configurare un cluster con una rete di pod instradabili.

La specifica del cluster dichiara antrea-nsx-routed come CNI per abilitare la rete dei pod instradabili. Se si specifica antrea-nsx-routed, il provisioning del cluster non riuscirà se non si utilizza la rete NSX-T.

Quando la CNI è specificata come antrea-nsx-routed, il campo pods.cidrBlock deve essere vuoto. 
apiVersion: run.tanzu.vmware.com/v1alpha3
kind: TanzuKubernetesCluster
metadata:
  name: tkc-routable-pods
  namespace: tkg-cluster-ns
spec:
  topology:
    controlPlane:
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkg-storage-policy
      tkr:  
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
    nodePools:
    - name: worker-nodepool-a1
      replicas: 3
      vmClass: guaranteed-large
      storageClass: tkg-storage-policy
      tkr:  
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
  settings:
    storage:
      defaultClass: tkg-storage-policy
    network:
      #antrea-nsx-routed is the required CNI
      cni:
        name: antrea-nsx-routed
      services:
        cidrBlocks: ["10.97.0.0/24"]
      #pods.cidrBlocks must be null (empty)
      pods:
        cidrBlocks:
      serviceDomain: cluster.local