このトピックでは、NSX ネットワークでの スーパーバイザー の使用時に TKG クラスタ用に作成されるネットワーク オブジェクトの一覧を示します。
TKG クラスタの NSX ネットワーク オブジェクト
各 TKG クラスタにはネットワーク リソース(仮想ネットワーク、仮想ネットワーク インターフェイス、仮想マシン サービス)が必要です。
vSphere IaaS control plane が有効な状態で スーパーバイザー のインスタンスがデプロイされると、NSX 組み込みロード バランサがシステムによって自動的にプロビジョニングされます。このロード バランサは、スーパーバイザー 制御プレーン用であり、Kubernetes API サーバへのアクセスを提供します。
TKG クラスタ用に LoadBalancer タイプの Kubernetes サービスを作成すると、そのサービスに NSX 組み込みロード バランサがプロビジョニングされます。
| ネットワーク オブジェクト | ネットワーク リソース | 説明 |
|---|---|---|
| VirtualNetwork | Tier-1 ルーターと、リンクされたセグメント | クラスタのノード ネットワーク |
| VirtualNetworkInterface | セグメントの論理ポート | クラスタ ノードのノード ネットワーク インターフェイス |
| VirtualMachineService | 該当なし | VirtualMachineService が作成され、k8s サービスに変換されます。 |
| サービス | VirtualServer インスタンスおよび関連付けられているサーバ プール(メンバー プール)があるロード バランサ サーバ | TKG クラスタ API サーバにアクセスするために、ロード バランサ タイプの Kubernetes サービスが作成されます。 |
| エンドポイント | エンドポイント メンバー(TKG クラスタ制御プレーン ノード)は、メンバー プールに含まれている必要があります。 | すべての TKG クラスタ制御プレーン ノードを含むように、エンドポイントが作成されます。 |
| スーパーバイザー上の VirtualMachineService | 該当なし | VirtualMachineService がスーパーバイザーで作成され、スーパーバイザーで Kubernetes サービスに変換されます |
| スーパーバイザー上のロード バランサ サービス | TKG クラスタ ロード バランサ内の VirtualServer、および関連付けられているメンバー プール。 | ロード バランサ サービスは、この LB タイプのサービスにアクセスするために、スーパーバイザー上に作成されます |
| スーパーバイザー上のエンドポイント | エンドポイント メンバー(TKG クラスタ ワーカー ノード)は、NSX のメンバー プールに含まれている必要があります。 | すべての TKG クラスタ ワーカー ノードを含むように、エンドポイントが作成されます |
| TKG クラスタのロード バランサ サービス | 該当なし | ユーザーによってデプロイされた TKG クラスタのロード バランサ サービスは、ステータスがロード バランサの IP で更新される必要があります |
ノード ネットワーク
各 TKG クラスタには、次のネットワーク オブジェクトと関連する NSX リソースを作成しておく必要があります。
| ネットワーク オブジェクト | NSX リソース | 説明 | IPAM |
|---|---|---|---|
| VirtualNetwork | Tier-1 ゲートウェイと、リンクされたセグメント | TKG クラスタのノード ネットワーク | SNAT IP アドレスが割り当てられている |
| VirtualNetworkInterface | リンクされたセグメントの論理ポート | TKG クラスタ ノードのノード ネットワーク インターフェイス | 各ノードには IP アドレスが割り当てられます |
制御プレーン ロード バランサ
| ネットワーク オブジェクト | ネットワーク リソース | 説明 | IPAM |
|---|---|---|---|
| VirtualMachineService | 該当なし | VirtualMachineService が作成され、Kubernetes サービスに変換されます。 | ロード バランサの VIP が含まれる |
| サービス | VirtualServer インスタンスおよび関連付けられているサーバ プール(メンバー プール)があるロード バランサ サーバ | TKG クラスタ API サーバにアクセスするために、ロード バランサ タイプの Kubernetes サービスが作成されます。 | 外部 IP アドレスが割り当てられている |
| エンドポイント | エンドポイント メンバーは TKG クラスタ制御プレーン ノードであり、メンバー プールに含まれている必要があります。 | すべての TKG クラスタ制御プレーン ノードを含むように、エンドポイントが作成されます。 | 該当なし |
NSX ロード バランサ
作成された TKG クラスタごとに、システムは小規模な NSX ロード バランサの単一インスタンスを作成します。このロード バランサには、次の表に示すオブジェクトが含まれています。
| オブジェクト番号 | 説明 |
|---|---|
| 1 | ポート 8443 で Kubernetes 制御プレーン API にアクセスするための仮想サーバ (VS)。 |
| 1 | 3 つの Kubernetes 制御プレーン ノードを含むサーバ プール。 |
| 1 | HTTP Ingress コントローラ用の VS。 |
| 1 | HTTPS Ingress コントローラ用の VS。 |
NAT ルール
作成された TKG クラスタごとに、システムは Tier-0 論理ルーターで次の NSX NAT ルールを定義します。
| オブジェクト番号 | 説明 |
|---|---|
| 1 | 変換された IP アドレスとしてフローティング IP アドレス プールの 1 つの IP アドレスを使用して、Kubernetes 名前空間ごとに作成される SNAT ルール。 |
| 1 | (NAT トポロジのみ)変換された IP アドレスとしてフローティング IP アドレス プールの 1 つの IP アドレスを使用して、Kubernetes クラスタごとに作成される SNAT ルール。Kubernetes クラスタ サブネットは、/24 ネットマスクを使用してノードの IP ブロックから取得されます。 |
DFW ルール
作成された TKG クラスタごとに、システムは次の NSX Distributed Firewall ルールを定義します。
| オブジェクト番号 | 説明 |
|---|---|
| 1 | CoreDNS ポッドの論理ポートに適用される kube-dns 用の DFW ルール |
| 1 | Validator ポッドの論理ポートに適用される、名前空間内のバリデータ用の DFW ルール |
