NSX Container Plugin (NCP) 可用來整合 NSX-T Data Center 與 Kubernetes 之類的容器協調工具,也可以整合 NSX-T Data Center 與容器型 PaaS (平台即服務) 軟體產品,例如 OpenShift。
本指南說明如何使用 OpenShift 4 來設定 NCP。若要使用 OpenShift 3 來設定 NCP,請參閱本指南的 NCP 2.5 版本。
NCP 的主要元件會在容器中執行,且會與 NSX Manager 和 OpenShift 控制平面通訊。NCP 會監控容器和其他資源的變更,且藉由呼叫 NSX-T 原則 API 來管理容器的網網路資源,例如邏輯連接埠、交換器、路由器和安全群組。
NSX CNI 外掛程式會在每個 OpenShift 節點上執行。它會監控容器的生命週期事件、將容器介面連線至客體 vSwitch,以及安排要標記的客體 vSwitch,並轉送容器介面與 VNIC 之間的容器流量。
NCP 提供下列功能:
- 為 OpenShift 叢集自動建立 NSX-T 邏輯拓撲,且為每個 OpenShift 命名空間建立單獨的邏輯網路。
- 將 OpenShift 網繭連線至邏輯網路,並配置 IP 和 MAC 位址。
- 支援網路位址轉譯 (NAT) 且為每個 OpenShift 命名空間配置單獨的 SNAT IP。
備註: 設定 NAT 時,轉譯的 IP 總數不能超過 1000。
- 透過 NSX-T 分散式防火牆實作 OpenShift 網路原則。
- 支援入口和出口網路原則。
- 支援網路原則中的 IPBlock 選取器。
- 為網路原則指定標籤選取器時,支援 matchLabels 和 matchExpression。
- 透過 NSX-T 第 7 層負載平衡器實作 OpenShift 路由。
- 透過 TLS Edge 終止支援 HTTP 路由和 HTTPS 路由。
- 透過替代後端和萬用子網域支援路由。
- 為命名空間、網繭名稱和網繭標籤在 NSX-T 邏輯交換器連接埠上建立標記,並允許管理員根據標記定義 NSX-T Data Center 安全群組和原則。