NSX-T Data Center を使用する スーパーバイザー クラスタ ネットワーク

VMware NSX-T Data Center™ は、スーパーバイザー クラスタ 内のオブジェクトおよび外部ネットワークへのネットワーク接続を提供します。クラスタを構成する ESXi ホストへの接続は、標準の vSphere ネットワークによって処理されます。

既存の NSX-T Data Center デプロイを使用するか、NSX-T Data Center の新しいインスタンスをデプロイすることによって、スーパーバイザー クラスタ ネットワークを手動で構成することもできます。

このセクションでは、vSphere with Tanzu バージョン 7.0 Update 2 をインストールして構成する場合のネットワーク トポロジについて説明します。vSphere with Tanzu バージョン 7.0 Update 1 からバージョン 7.0 Update 2 にアップグレードする場合のアップグレード手順については、ネットワーク トポロジのアップグレードを参照してください。

• NSX Container Plug-in (NCP) は NSX-T Data Center と Kubernetes を統合します。NCP のメイン コンポーネントはコンテナで実行され、NSX Manager および Kubernetes 制御プレーンと通信します。NCP は、コンテナおよびその他のリソースへの変更を監視し、NSX API を呼び出して、コンテナの論理ポート、セグメント、ルーター、セキュリティ グループなどのネットワーク リソースを管理します。

  NCP はデフォルトで、システム名前空間用の共有 Tier-1 ゲートウェイを 1 つ作成し、名前空間ごとに Tier-1 ゲートウェイとロード バランサを 1 つずつ作成します。Tier-1 ゲートウェイは、Tier-0 ゲートウェイとデフォルトのセグメントに接続されています。

  システム名前空間は、スーパーバイザー クラスタと Tanzu Kubernetes の機能に不可欠な主要コンポーネントで使用される名前空間です。Tier-1 ゲートウェイ、ロード バランサ、SNAT IP を含む共有ネットワーク リソースは、システム名前空間内でグループ化されます。

• NSX Edge は、外部ネットワークから スーパーバイザー クラスタ オブジェクトへの接続を提供します。NSX Edge クラスタには、制御プレーン仮想マシン上にある Kubernetes API サーバの冗長性を確保するロード バランサや、スーパーバイザー クラスタ の外部から公開およびアクセスする必要があるアプリケーションがあります。
• NSX Edge クラスタには Tier-0 ゲートウェイが関連付けられており、外部ネットワークへのルーティングを提供します。アップリンク インターフェイスでは、動的ルーティング プロトコルの BGP またはスタティック ルーティングのいずれかが使用されます。
• 各 vSphere 名前空間 には、個別のネットワークのほかに、Tier-1 ゲートウェイ、ロード バランサ サービス、SNAT IP アドレスなど、名前空間内のアプリケーションで共有される一連のネットワーク リソースが含まれています。
• 同じ名前空間内にある vSphere ポッド、通常の仮想マシン、または Tanzu Kubernetes クラスタで実行されるワークロードは、North-South 接続に対して同じ SNAT IP アドレスを共有します。
• vSphere ポッドまたは Tanzu Kubernetes クラスタで実行されるワークロードには、デフォルトのファイアウォールによって実装される共通の隔離ルールが適用されます。
• Kubernetes 名前空間ごとに個別の SNAT IP アドレスが必要になることはありません。名前空間の間の East-West 接続は、SNAT ではありません。
• 各名前空間のセグメントは、NSX Edge クラスタに関連付けられている、標準モードで機能する vSphere Distributed Switch (VDS) に配置されます。このセグメントは、スーパーバイザー クラスタ にオーバーレイ ネットワークを提供します。
• スーパーバイザー クラスタの共有 Tier-1 ゲートウェイ内に、個別のセグメントがあります。各 Tanzu Kubernetes クラスタのセグメントは、名前空間の Tier-1 ゲートウェイ内で定義されています。
• 各 ESXi ホストの Spherelet プロセスは、管理ネットワーク上のインターフェイスを介して vCenter Server と通信します。

スーパーバイザー クラスタ のネットワークの詳細については、ビデオvSphere 7 with Kubernetes Network Service - Part 1 - The Supervisor Clusterを参照してください。

NSX-T Data Center を使用するネットワークの構成方法

vSphere Distributed Switch を使用した スーパーバイザー クラスタ ネットワーク

vSphere Distributed Switch によってバッキングされる スーパーバイザー クラスタ は、名前空間のワークロード ネットワークとして分散ポート グループを使用します。

スーパーバイザー クラスタ に実装するトポロジによっては、1 つ以上の分散ポート グループをワークロード ネットワークとして使用できます。Kubernetes 制御プレーン仮想マシンへの接続を提供するネットワークは、プライマリ ワークロード ネットワークと呼ばれます。スーパーバイザー クラスタ 上のすべての名前空間にこのネットワークを割り当てることも、名前空間ごとに異なるネットワークを使用することもできます。クラスタが配置されている名前空間に割り当てられたワークロード ネットワークに、Tanzu Kubernetes クラスタが接続されます。

vSphere Distributed Switch によってバッキングされる スーパーバイザー クラスタ は、DevOps ユーザーと外部サービスへの接続を提供するためにロード バランサを使用します。NSX Advanced Load Balancer または HAProxy ロード バランサを使用できます。

詳細については、『vSphere ネットワークと vSphere with Tanzu 用 NSX Advanced Load Balancer の構成』および『HAProxy ロード バランサのインストールと構成』を参照してください。