vSphere with Tanzu 環境の場合、スーパーバイザー は VDS のネットワーク スタックまたは NSX を使用して、スーパーバイザー 制御プレーンの仮想マシン、サービス、およびワークロードへの接続を提供できます。スーパーバイザー に VDS ネットワーク スタックが構成されている場合、スーパーバイザー のすべてのホストは、ワークロードと スーパーバイザー 制御プレーン仮想マシンへの接続を提供する VDS に接続されます。VDS ネットワーク スタックを使用する スーパーバイザー には、DevOps ユーザーおよび外部サービスへの接続を提供するために vCenter Server 管理ネットワーク上にロード バランサが必要です。NSX を使用して構成される スーパーバイザー は、ソリューションのソフトウェアベースのネットワークと NSX Edge ロード バランサを使用して、外部サービスと DevOps ユーザーへの接続を提供します。

VDS を使用した スーパーバイザー ネットワーク

ネットワーク スタックとしての VDS によってバッキングされている スーパーバイザー では、スーパーバイザー をバッキングしている vSphere クラスタのすべてのホストが同じ VDS に接続されている必要があります。スーパーバイザー は、Kubernetes ワークロードおよび制御プレーン トラフィックのワークロード ネットワークとして分散ポート グループを使用します。ワークロード ネットワークを スーパーバイザー 内の名前空間に割り当てます。

スーパーバイザー に実装するトポロジによっては、1 つ以上の分散ポート グループをワークロード ネットワークとして使用できます。スーパーバイザー 制御プレーン仮想マシンへの接続を提供するネットワークは、プライマリ ワークロード ネットワークと呼ばれます。スーパーバイザー 上のすべての名前空間にこのネットワークを割り当てることも、名前空間ごとに異なるネットワークを使用することもできます。クラスタが配置されている名前空間に割り当てられたワークロード ネットワークに、Tanzu Kubernetes Grid クラスタが接続されます。

VDS によってバッキングされる スーパーバイザー は、DevOps ユーザーと外部サービスへの接続を提供するためにロード バランサを使用します。NSX Advanced Load Balancer または HAProxy ロード バランサを使用できます。

詳細については、NSX Advanced Load Balancer のインストールと構成およびHAProxy ロード バランサのインストールと構成を参照してください。

単一クラスタ スーパーバイザー セットアップでは、スーパーバイザー は 1 つの vSphere クラスタのみによってバッキングされます。クラスタのすべてのホストが、VDS に接続されている必要があります。

図 1. VDS を使用した単一クラスタ スーパーバイザー ネットワーク

Distributed Switch ネットワーク スタックが構成された スーパーバイザー のネットワーク アーキテクチャ。

3 ゾーン スーパーバイザー では、スーパーバイザー を 3 つの vSphere ゾーンにデプロイします。それぞれのゾーンは、vSphere クラスタにマッピングされています。これらの vSphere クラスタのすべてのホストは、同じ VDS に接続されている必要があります。すべての物理サーバが L2 デバイスに接続されている必要があります。名前空間に構成するワークロード ネットワークは、3 つの vSphere ゾーンすべてにまたがります。

図 2. VDS を使用した 3 ゾーン スーパーバイザー ネットワーク

3 つの vSphere Zones で実行されている スーパーバイザー のネットワーク アーキテクチャ。各ワークロード ネットワークは 3 つのゾーンすべてにまたがっています。

NSX を使用する スーパーバイザー ネットワーク

NSX は、スーパーバイザー 内のオブジェクトおよび外部ネットワークへのネットワーク接続を提供します。クラスタを構成する ESXi ホストへの接続は、標準の vSphere ネットワークによって処理されます。

既存の NSX デプロイを使用するか、NSX の新しいインスタンスをデプロイすることによって、スーパーバイザー ネットワークを手動で構成することもできます。

図 3. NSX を使用する スーパーバイザー ネットワーク
NSX ネットワーク スタックが構成された スーパーバイザー のネットワーク アーキテクチャ。
  • NSX Container Plugin (NCP) は NSX と Kubernetes を統合します。NCP のメイン コンポーネントはコンテナで実行され、NSX Manager および Kubernetes 制御プレーンと通信します。NCP は、コンテナおよびその他のリソースへの変更を監視し、NSX API を呼び出して、コンテナの論理ポート、セグメント、ルーター、セキュリティ グループなどのネットワーク リソースを管理します。

    NCP はデフォルトで、システム名前空間用の共有 Tier-1 ゲートウェイを 1 つ作成し、名前空間ごとに Tier-1 ゲートウェイとロード バランサを 1 つずつ作成します。Tier-1 ゲートウェイは、Tier-0 ゲートウェイとデフォルトのセグメントに接続されています。

    システム名前空間は、スーパーバイザー クラスタと Tanzu Kubernetes Grid クラスタの機能に不可欠な主要コンポーネントで使用される名前空間です。Tier-1 ゲートウェイ、ロード バランサ、SNAT IP を含む共有ネットワーク リソースは、システム名前空間内でグループ化されます。

  • NSX Edge は、外部ネットワークから スーパーバイザー オブジェクトへの接続を提供します。NSX Edge クラスタには、スーパーバイザー 制御プレーン仮想マシン上にある Kubernetes API サーバの冗長性を確保するロード バランサや、スーパーバイザー の外部に公開されてアクセスできる必要があるアプリケーションがあります。
  • NSX Edge クラスタには Tier-0 ゲートウェイが関連付けられており、外部ネットワークへのルーティングを提供します。アップリンク インターフェイスでは、動的ルーティング プロトコルの BGP またはスタティック ルーティングのいずれかが使用されます。
  • vSphere 名前空間 には、個別のネットワークのほかに、Tier-1 ゲートウェイ、ロード バランサ サービス、SNAT IP アドレスなど、名前空間内のアプリケーションで共有される一連のネットワーク リソースが含まれています。
  • 同じ名前空間内にある vSphere ポッド、通常の仮想マシン、または Tanzu Kubernetes Grid クラスタで実行されるワークロードは、North-South 接続に対して同じ SNAT IP アドレスを共有します。
  • vSphere ポッド または Tanzu Kubernetes Grid クラスタで実行されるワークロードには、デフォルトのファイアウォールによって実装される共通の隔離ルールが適用されます。
  • Kubernetes 名前空間ごとに個別の SNAT IP アドレスが必要になることはありません。名前空間の間の East-West 接続は、SNAT ではありません。
  • 各名前空間のセグメントは、NSX Edge クラスタに関連付けられている、標準モードで機能する VDS に配置されます。このセグメントは、スーパーバイザー にオーバーレイ ネットワークを提供します。
  • スーパーバイザー の共有 Tier-1 ゲートウェイ内に、個別のセグメントがあります。各 Tanzu Kubernetes Grid クラスタのセグメントは、名前空間の Tier-1 ゲートウェイ内で定義されています。
  • 各 ESXi ホストの Spherelet プロセスは、管理ネットワーク上のインターフェイスを介して vCenter Server と通信します。

ネットワーク スタックとして NSX を使用して構成された 3 ゾーン スーパーバイザー では、ゾーンにマッピングされた 3 つのすべての vSphere クラスタのすべてのホストが、同じ VDS に接続され、同じ NSX オーバーレイ トランスポート ゾーンに参加している必要があります。すべてのホストが同じ L2 物理デバイスに接続されている必要があります。

図 4. NSX を使用した 3 ゾーン スーパーバイザー ネットワーク

3 つのゾーンで実行されている、NSX ネットワークを使用する スーパーバイザー のネットワーク アーキテクチャ。ワークロード ネットワークのセグメントは、3 つのすべてのゾーンにまたがっています。

NSX を使用するネットワークの構成方法

スーパーバイザー は、固定型ネットワーク構成を使用します。 NSX を使用する スーパーバイザー ネットワークを構成するには次の 2 つの方法があり、いずれの場合でも 1 ゾーン スーパーバイザー 用の同じネットワーク モデルがデプロイされます。
  • スーパーバイザー ネットワークを構成する最も簡単な方法は、VMware Cloud Foundation SDDC Manager を使用することです。詳細については、VMware Cloud Foundation SDDC Manager のドキュメントを参照してください。詳細については、ワークロード管理の操作を参照してください。
  • 既存の NSX デプロイを使用するか、NSX の新しいインスタンスをデプロイすることによって、スーパーバイザー ネットワークを手動で構成することもできます。詳細については、vSphere with Tanzu で使用する NSX のインストールと構成を参照してください。