若要成功安裝 NSX Application Platform 並啟用其託管 NSX 的功能,您必須準備部署環境以使其滿足所需的最少資源需求。

開始部署 NSX Application Platform 之前,您必須滿足下列小節中列出的必要條件。

NSX 版本需求

確認您使用的 NSX 產品版本相容於您打算部署的 NSX Application Platform 版本,以及相容於其相關的 NSX 功能 (NSX IntelligenceNSX Network Detection and ResponseNSX 惡意程式碼防護NSX 度量)。

NSX Application Platform 上託管的 NSX 功能的版本,需與 NSX Application Platform 版本號碼相符,而不是與 NSX 產品版本號碼相符。

重要:

NSX 聯盟環境中,只能在本機管理程式上部署 NSX Application Platform。無法使用全域管理程式部署 NSX Application Platform。只能使用本機管理程式存取 NSX Application Platform

若要判斷您可使用哪個 NSX 版本來部署哪個 NSX Application Platform 版本,請使用以下相容性對照表。

NSX 版本

相容的 NSX Application Platform 版本

3.2.x

3.2.0、3.2.1、4.0.1

4.0.0.1

3.2.1、4.0.1

4.0.1

4.0.1
請使用以下資訊,以針對特定的 NSX Application Platform 啟用工作流程,決定所要使用的說明文件。
  • 如果需要進行全新的 NSX 安裝,請參閱 VMware NSX 說明文件集中適用於 3.2 或更新版本的 《NSX 安裝指南》,以取得安裝指示。

  • 如需有關從 NSX Application Platform 3.2.x 版安裝進行升級的相關資訊,請參閱升級 NSX Application Platform

  • 如果您要從未安裝 NSX IntelligenceNSX 3.1.x 或更舊版本升級,請參閱 VMware NSX 說明文件集中的《《NSX 升級指南》》。

  • 如果您要從安裝了 NSX Intelligence 1.2.x 或更早版本的 NSX 3.1.x 或更早版本升級,您必須在升級至 NSX Intelligence 3.2.x 或更新版本以及 NSX 3.2.x 或更新版本之前,先準備目前的 NSX Intelligence 安裝。請參閱 VMware NSX Intelligence 說明文件集中適用於 3.2 版或更新版本的 《啟用和升級 VMware NSX Intelligence》 說明文件。

有效的 NSXNSX Data Center 授權需求

若要部署 NSX Application Platform,在 NSX Application Platform 部署期間,目前使用的 NSX Manager 工作階段必須具有有效的授權。

如需有效授權的清單,請參閱 NSX Application Platform 部署的授權需求

有效的 NSX 使用者角色

若要部署 NSX Application Platform,您必須具有企業管理員角色權限。

有效的 CA 簽署憑證

  • 如果您的 NSX Manager 應用裝置在 NSX Manager Unified Appliance 叢集上使用具有部分鏈結的 CA 簽署憑證,則必須將憑證取代為完整的憑證鏈結。如需詳細資訊,請參閱 VMware 知識庫文章 78317

  • 使用多個 NSX Manager 應用裝置時,您的環境必須滿足以下憑證必要條件之一。

    • 所有應用裝置必須共用相同的 SSL 憑證。

    • 必須為每個應用裝置核發專用 SSL 憑證,其中憑證一般名稱 (CN) 在所有節點中必須是唯一的。

    • 在使用虛擬 IP (VIP) 時,叢集憑證必須與所有單個應用裝置共用的憑證相同,或者在所有節點中必須是唯一的。

Kubernetes 叢集所需的資源

  • VMware 支援在 Tanzu Kubernetes Grid (TKG) Cluster on Supervisor 或上游 Kubernetes 叢集上部署 NSX Application Platform
    重要: 上游 Kubernetes 是指由 Cloud Native Computing Foundation 維護的開放原始碼 Vanilla Kubernetes,並不涵蓋下表中未明確列出的任何 Kubernetes 發行版或版本。

    如需有關 TKG Cluster on Supervisor 安裝和設定資訊,請參閱安裝和設定 vSphere with Tanzu (8.0 版) 或適用於其他版本的 VMware vSphere 說明文件網站

    VMware 已測試並支援以下版本。
    NSX Application Platform 版本 TKG Cluster on Supervisor 版本 上游 Kubernetes 叢集版本

    3.2.0、3.2.1

    1.17 - 1.21

    1.17 1.21

    4.0.1

    1.20 - 1.22

    1.20 - 1.24

  • 您的基礎結構管理員必須設定 Kubernetes 叢集,好讓您可在此叢集上部署 NSX Application Platform 以及此平台所託管的 NSX 功能。必須分配足夠的資源給您用來部署 NSX Application Platform 網繭的 Kubernetes 叢集。由於每個受支援的 NSX 功能都有特定的資源需求,因此,請確定您計劃使用哪個託管的 NSX 功能。

    請參閱NSX Application Platform 系統需求主題,以了解支援的評估機器尺寸及其資源需求的詳細資料。

  • 重要: 用於 NSX Application Platform 的 Kubernetes 客體叢集必須使用預設服務網域 cluster.local。這是預設值,在叢集組態中定義:
    settings: network: serviceDomain: cluster.local 
    對於 NSX Application Platform,請勿變更此值或設定非預設服務網域。
  • 基礎結構管理員還必須提前安裝和設定以下基礎結構。

    • 容器網路介面 (CNI),例如 Antrea、Calico 或 Flannel。

    • 容器儲存介面 (CSI)。若要佈建動態磁碟區,您使用的 Kubernetes 叢集中必須具有可用的儲存區類別。若要垂直擴充資料儲存磁碟區,儲存區類別必須支援磁碟區大小調整。

網際網路存取需求

確定 NSX 系統可以存取公開的 VMware 託管的登錄和存放庫,您可以從中取得封裝的 NSX Application Platform Helm Chart 和 Docker 映像。僅在安裝和升級作業期間需要直接網際網路存取權。此存取權僅限於在 TCP 連接埠 443 (HTTPS) 上對 https://projects.registry.vmware.com 進行輸出存取,以便取得 NSX Application Platform Helm Chart 和 Docker 映像。不需要輸入存取權或永久輸出存取權。

NSX Unified Appliance 虛擬機器和 NSX Application Platform 客體叢集 Worker 節點均需要輸出網際網路存取權。

請注意,如果已使用系統 > 一般設定 > 網際網路 Proxy 伺服器索引標籤將 NSX 環境設定為使用網際網路 Proxy 伺服器,則無法使用網際網路 Proxy 伺服器部署 NSX Application Platform。如果您的 Kubernetes 叢集無法存取網際網路或您具有安全性限制,請參閱下一個可選需求以瞭解具有 Chart 存放庫服務的可選私用容器登錄。

(選用需求) 具有 Chart 存放庫服務的私用容器登錄

若要簡化 NSX Application Platform 部署程序,請使用 VMware 託管的登錄和存放庫。此部署程序僅使用輸出連線,不會保留客戶資料。

(選用) 如果您的 Kubernetes 叢集無法存取網際網路或您具有安全性限制,則您的基礎結構管理員必須設定具有 Chart 存放庫服務的私用容器登錄。使用此私用容器登錄上傳部署 NSX Application Platform 所需的 NSX Application Platform Helm Chart 和 Docker 映像。VMware 使用 Harbor 驗證使用私用容器登錄的部署程序,但是,NSX Application Platform 部署以標準為基礎。如需詳細資料,請參閱將 NSX Application Platform Docker 映像和 Helm Chart 上傳到私用容器登錄

(選用需求) 私用容器登錄的 URL

如果使用的是私用容器登錄,請從您的基礎結構管理員處取得該登錄的 URL。您可以在部署過程中使用此 URL。

所需的 Kubernetes 組態檔

您還必須從基礎結構管理員取得 Kubernetes 設定檔案。若要安全存取您使用的 Kubernetes 叢集,在 NSX Application Platform 部署期間,您需要有 NSX Managerkubeconfig 檔案。若要存取您所用 Kubernetes 叢集的所有資源,kubeconfig 檔案必須具有所有權限。

重要:

VMware vSphere® with Tanzu Kubernetes 客體叢集中的預設 kubeconfig 檔案含有一個 Token,依預設,該 Token 會在 10 小時後到期。雖然到期的 Token 不會影響功能,但它會導致顯示有關已過期憑證的警告訊息。為避免出現該警告,當您在 TKG Cluster on Supervisor 上部署 NSX Application Platform 之前,請與您的基礎結構管理員一起建立一個可在 NSX Application Platform 部署期間使用的長期 Token。如需如何提取 Token 的詳細資料,請參閱使用未到期的 Token 來產生 TKG Cluster on Supervisor 組態檔案

所需的服務名稱或介面服務名稱 (FQDN)

NSX Application Platform 部署期間,您可以在 NSX 3.2.0 部署中為服務名稱文字方塊,或者在 NSX 3.2.1 或更新版本部署中為介面服務名稱文字方塊,提供完整網域名稱 (FQDN)。

服務名稱介面服務名稱值會當成 HTTPS 端點,來連線至 NSX Application Platform

若要取得 FQDN 值,請使用下列其中一個工作流程。

  • 在部署 NSX Application Platform 之前,您必須以 DNS 伺服器中的靜態 IP 位址來設定 FQDN。您使用的 Kubernetes 叢集基礎結構必須能夠指派靜態 IP 位址。以下是支援的 Kubernetes 環境。

    • MetalLB - 上游 Kubernetes 叢集的外部負載平衡器。

    • VMware Tanzu® Kubernetes for VMware vSphere® 7.0 U2 以及具有 NSX 的 VMware vSphere 7.0 U3。

    • 使用 vSphere 網路的 VMware vSphere with Tanzu。如需詳細資訊,請參閱 VMware vSphere 文件《使用 vSphere 網路啟用工作負載管理》

  • 如果您已安裝外部 DNS (請參閱 Kubernetes SIG - 外部 DNS 網頁),您只需在提示您輸入服務名稱時,提供 FQDN。Kubernetes 基礎結構會自動為 FQDN 設定 DNS 伺服器中的動態 IP 位址。

    安裝了外部 DNS 的工作負載控制平面 (WCP) 是支援的 Kubernetes 環境。

所需的傳訊服務名稱 (適用於 NSX 3.2.1 或更新版本的部署)

[傳訊服務名稱] 值是 HTTPS 端點的 FQDN,用來從 NSX 資料來源接收簡化資料。

所需的連接埠和通訊協定

驗證是否開啟了 Kubernetes 叢集主機上的所需連接埠,以供 NSX Application Platform 存取。請參閱 VMware Ports and Protocols 網頁。

來自 Kubernetes 叢集節點的必要通訊

請確認您所使用的 Kubernetes 叢集節點可以連線至 NSX Manager 應用裝置。

系統時間同步需求

讓您所使用的 Kubernetes 叢集節點與 NSX Manager 應用裝置上的系統時間同步。