NSX-T Container Plug-in(NCP) 可用來整合 NSX-T Data Center 與 Kubernetes 之類的容器協調工具,也可以整合 NSX-T Data Center 與容器型 PaaS (平台即服務) 產品,例如 OpenShift 和 Pivotal Cloud Foundry。本指南說明了使用 Kubernetes 和 Pivotal Cloud Foundry 設定 NCP。

NCP 的主要元件會在容器中執行,且會與 NSX Manager 和 Kubernetes 控制平面通訊。NCP 會監控容器和其他資源的變更,且藉由呼叫 NSX API 來管理容器的網網路資源,例如邏輯連接埠、交換器、路由器和安全群組。

NSX CNI 外掛程式會在每個 Kubernetes 節點上執行。它會監控容器的生命週期事件、將容器介面連線至客體 vSwitch,以及安排要標記的客體 vSwitch,並轉送容器介面與 VNIC 之間的容器流量。

NCP 提供下列功能:

  • 為 Kubernetes 叢集自動建立 NSX-T Data Center 邏輯拓撲,且為每個 Kubernetes 命名空間建立單獨的邏輯網路。

  • 將 Kubernetes 網繭連線至邏輯網路,並配置 IP 和 MAC 位址。

  • 支援網路位址轉譯 (NAT) 且為每個 Kubernetes 命名空間配置單獨的 SNAT IP。

    備註:

    設定 NAT 時,轉譯的 IP 總數不能超過 1000。

  • 透過 NSX-T Data Center 分散式防火牆實作 Kubernetes 網路原則。

    • 支援入口和出口網路原則。

    • 支援網路原則中的 IPBlock 選取器。

    • 為網路原則指定標籤選取器時,支援 matchLabelsmatchExpression

    • 支援在其他命名空間中選取網繭。

  • 實作 ClusterIP 類型的 Kubernetes 服務和 LoadBalancer 類型的服務。

  • 透過 NSX-T 第 7 層負載平衡器實作 Kubernetes 入口。

    • 透過 TLS Edge 終止支援 HTTP 入口和 HTTPS 入口。

    • 支援入口預設後端組態。

    • 支援入口 URI 重新寫入。

  • 為命名空間、網繭名稱和網繭標籤在 NSX-T Data Center 邏輯交換器連接埠上建立標記,並允許管理員根據標記定義 NSX-T 安全群組和原則。

在此版本中,NCP 支援單一 Kubernetes 叢集。您可以具有使用相同 NSX-T Data Center 部署的多個 Kubernetes 叢集,每個叢集均有不同的 NCP 執行個體。