NSX Container Plugin(NCP) 可用來整合 NSX 與容器協調器 (如 Kubernetes) 以及 NSX 與容器型 PaaS (平台即服務) 產品 (例如 OpenShift 和 Tanzu Application Service (TAS))。本指南說明如何使用 Kubernetes 和 TAS 來設定 NCP。

NCP 的主要元件會在容器中執行,且會與 NSX Manager 和 Kubernetes 控制平面通訊。NCP 會監控容器和其他資源的變更,且藉由呼叫 NSX API 來管理容器的網網路資源,例如邏輯連接埠、交換器、路由器和安全群組。

NSX CNI 外掛程式會在每個 Kubernetes 節點上執行。它會監控容器的生命週期事件、將容器介面連線至客體 vSwitch,以及安排要標記的客體 vSwitch,並轉送容器介面與 VNIC 之間的容器流量。

NCP 提供下列功能:
  • 為 Kubernetes 叢集自動建立 NSX 邏輯拓撲,且為每個 Kubernetes 命名空間建立單獨的邏輯網路。
  • 將 Kubernetes 網繭連線至邏輯網路,並配置 IP 和 MAC 位址。
  • 支援網路位址轉譯 (NAT) 且為每個 Kubernetes 命名空間配置單獨的 SNAT IP。
    備註: 設定 NAT 時,轉譯的 IP 總數不能超過 1000。
  • 透過 NSX 分散式防火牆實作 Kubernetes 網路原則。
    • 支援入口和出口網路原則。
    • 支援網路原則中的 IPBlock 選取器。
    • 為網路原則指定標籤選取器時,支援 matchLabelsmatchExpression
    • 支援在其他命名空間中選取網繭。
  • 實作 ClusterIP 類型的 Kubernetes 服務和 LoadBalancer 類型的服務。
  • 透過 NSX 第 7 層負載平衡器實作 Kubernetes 入口。
    • 透過 TLS Edge 終止支援 HTTP 入口和 HTTPS 入口。
    • 支援入口預設後端組態。
    • 支援重新導向至 HTTPS、路徑重寫和路徑模式比對。
  • 為命名空間、網繭名稱和網繭標籤在 NSX 邏輯交換器連接埠上建立標記,並允許管理員根據標記定義 NSX 安全群組和原則。
  • 相同命名空間中的網繭之間支援多點傳播,但在不同命名空間中的網繭之間則不支援。

NCP 支援單一 Kubernetes 叢集。您可以具有使用相同 NSX 部署的多個 Kubernetes 叢集,每個叢集均有不同的 NCP 執行個體。