此整合架構說明了使用 Antrea CNI 網路外掛程式的容器叢集與部署在 NSX-T Data Center 中的 NSX Manager 應用裝置之間所交換的資訊。
本文件不會說明 Kubernetes (K8s) 叢集中 Antrea 元件的功能。若要了解 Antrea 架構以及 Kubernetes 叢集中 Antrea 元件的功能,請參閱 Antrea 文件入口網站,網址為 https://antrea.io/docs。
本文件的主要目標是了解會將使用 Antrea CNI 的容器叢集整合到 NSX Manager 應用裝置的 Antrea NSX 介面卡 有何功能。
架構圖
Antrea NSX 介面卡
此元件會以「網繭」形式在其中一個
Kubernetes 控制平面節點上執行。
Antrea NSX 介面卡 包含以下兩個子元件:
- 管理平面介面卡 (MP 介面卡)
- 中央控制平面介面卡 (CCP 介面卡)
管理平面介面卡 會與 NSX 管理平面 (原則)、Kubernetes API 伺服器和 Antrea 控制器 進行通訊。中央控制平面介面卡 會與 NSX 中央控制平面 (CCP) 和 Kubernetes API 伺服器進行通訊。
管理平面介面卡 的功能
- 透過 Kubernetes API 監視 Kubernetes 資源詳細目錄,並向 NSX Manager 報告詳細目錄。Antrea 容器叢集的資源詳細目錄,這些資源包括:網繭、入口、服務、網路原則、命名空間和節點。
- 從 NSX Manager 回應原則統計資料查詢。其會接收來自 Antrea 控制器 API 的統計資料或 Antrea 代理程式 在每個 K8s Worker 節點上匯出的統計資料,並向 NSX Manager 報告統計資料。
- 從 NSX Manager 接收疑難排解作業要求、將這些要求傳送到 Antrea 控制器 API 伺服器、收集結果,並將這些資訊傳回給 NSX Manager。疑難排解作業範例包括 Traceflow 要求、支援服務包收集要求、記錄收集要求。
- 透過 Antrea 監控 CustomResourceDefinition (CRD) 物件來監視 Antrea 容器叢集的執行階段狀態和健全狀況狀態,並向 NSX Manager 報告狀態。系統會依每個容器叢集來報告狀態。例如,向 NSX Manager 報告以下元件的健全狀況狀態:
- 管理平面介面卡
- 中央控制平面介面卡
- Antrea 控制器
- Antrea 代理程式
中央控制平面介面卡 的功能
- 從 NSX 中央控制平面接收分散式防火牆 (DFW) 規則和群組、將其轉譯為 Antrea 原則,並在 K8s API 中建立 Antrea 原則 CRD。
- 透過 K8s 網路原則和原生 Antrea 原則 CRD 來監視原則實現狀態,並向 NSX 中央控制平面報告狀態。
中央控制平面介面卡 的無狀態性質
中央控制平面介面卡 是無狀態的。每次介面卡重新啟動或重新連線到 K8s API 或
NSX Manager 時,其一律會讓狀態與 K8s API 和 NSX 中央控制平面保持同步。重新同步處理狀態可確保以下幾點:
- 一律會將最新的 Antrea 原則以原生 Antrea 原則 CRD 的形式推送到 K8s API。
- 如果在 NSX-T 中刪除了對應的安全性原則,過時的原則 CRD 也會跟著移除。
