vSphere with Tanzu バージョン 7.0 Update 1c をインストールするか、スーパーバイザー クラスタ をバージョン 7.0 Update 1 からバージョン 7.0 Update 1c にアップグレードする場合は、NSX Container Plug-in (NCP) をアップグレードします。この操作を行うと、スーパーバイザー クラスタ、名前空間、および Tanzu Kubernetes クラスタのネットワーク トポロジが移行されます。アップグレード後、ネットワーク トポロジは単一の Tier-1 ゲートウェイ トポロジから、スーパーバイザー クラスタ 内の名前空間ごとに Tier-1 ゲートウェイが 1 つあるトポロジにアップグレードされます。
アップグレード中に、NCP は新しいトポロジをサポートするように NSX-T Data Center リソースを構成します。NCP は、レイヤー 4 およびレイヤー 7 ロード バランシング サービスが少ない名前空間向けに、共有ネットワーク インフラストラクチャを提供します。これにより、NSX のリソースが削減され、Tanzu Kubernetes クラスタで使用できるリソースが増えます。
システム名前空間は、スーパーバイザー クラスタ クラスタと Tanzu Kubernetes クラスタの機能に不可欠な主要コンポーネントで使用される名前空間です。Tier-1 ゲートウェイ、ロード バランサ、SNAT IP を含む共有ネットワーク リソースは、システム名前空間内でグループ化されます。
NCP はデフォルトで、システム名前空間用の共有 Tier-1 ゲートウェイを 1 つ作成し、名前空間ごとに Tier-1 ゲートウェイとロード バランサを 1 つずつ作成します。Tier-1 ゲートウェイは、Tier-0 ゲートウェイとデフォルトのセグメントに接続されています。
NSX-T ロード バランサは、仮想サーバの形式でロード バランシング サービスを提供します。
- 各 vSphere 名前空間 には、個別のネットワークのほかに、Tier-1 ゲートウェイ、ロード バランサ サービス、SNAT IP アドレスなど、名前空間内のアプリケーションで共有される一連のネットワーク リソースが含まれています。
- 同じ名前空間内にある vSphere ポッド、通常の仮想マシン、または Tanzu Kubernetes クラスタで実行されるワークロードは、North-South 接続に対して同じ SNAT IP アドレスを共有します。
- vSphere ポッド または Tanzu Kubernetes クラスタで実行されるワークロードには、デフォルトのファイアウォールによって実装される共通の隔離ルールが適用されます。
- Kubernetes 名前空間ごとに個別の SNAT IP アドレスが必要になることはありません。名前空間の間の East-West 接続は、SNAT ではありません。
実行できる名前空間の最大数は、Edge ノードのサイズ(中、大、または特大)と、NSX Edge クラスタ内の Edge ノードの数によって決まります。実行可能な名前空間の数は、Edge ノードの数に 20 を掛けた値より小さくなります。たとえば、NSX Edge クラスタ内に「大」サイズの Edge ノードが 10 台含まれている場合、作成可能なスーパーバイザー ネームスペースの最大数は 199 です。
Edge ノードのサイズの詳細については、『NSX-T Data Center インストール ガイド』を参照してください。
スーパーバイザー クラスタのネットワーク
スーパーバイザー クラスタの共有 Tier-1 ゲートウェイ内に、個別のセグメントがあります。各 Tanzu Kubernetes クラスタのセグメントは、名前空間の Tier-1 ゲートウェイ内で定義されています。
同じ名前空間内にある、vSphere ポッド および Tanzu Kubernetes クラスタを含むワークロードは、North-South 接続に対して SNAT IP アドレスを共有します。名前空間の間の East-West 接続は、SNAT ではありません。
Tanzu Kubernetes クラスタのネットワーク
スーパーバイザー クラスタ のアップグレード後、DevOps エンジニアがスーパーバイザー名前空間内の最初の Tanzu Kubernetes クラスタをプロビジョニングすると、クラスタは名前空間と同じ Tier-1 ゲートウェイおよびロード バランサを共有するようになります。この名前空間で Tanzu Kubernetes クラスタがプロビジョニングされるたびに、このクラスタのセグメントが作成され、そのスパーバイザー名前空間内の共有 Tier-1 ゲートウェイに接続されます。
Tanzu Kubernetes Grid サービス によって Tanzu Kubernetes クラスタがプロビジョニングされると、1 台の仮想サーバが作成され、Kubernetes API 用のレイヤー 4 ロード バランシングが可能になります。この仮想サーバは、名前空間を使用する共有ロード バランサ上にホストされ、制御プレーンに kubectl トラフィックをルーティングします。さらに、クラスタでリソースが提供される Kubernetes サービス ロード バランサごとに、このサービスのレイヤー 4 のロード バランシングを提供する仮想サーバが作成されます。