安裝 vSphere with Tanzu 7.0 Update 1c 版或將主管叢集從 7.0 Update 1 版升級至 7.0 Update 1c 版時,需要升級 NSX Container Plug-in (NCP)。從而移轉主管叢集、命名空間和 Tanzu Kubernetes 叢集的網路拓撲。升級後,網路拓撲會從單一第 1 層閘道拓撲升級到 主管叢集 中的每個命名空間都具有第 1 層閘道的拓撲。

在升級期間,NCP 會設定 NSX-T Data Center 資源以支援新拓撲。NCP 為具有較少第 4 層和第 7 層負載平衡服務的命名空間提供共用網路基礎結構。這會減少 NSX 上的資源,而將更多的資源用於 Tanzu Kubernetes 叢集。

系統命名空間是指對主管叢集Tanzu Kubernetes 叢集正常運作非常重要的核心元件所使用的命名空間。包括第 1 層閘道、負載平衡器和 SNAT IP 的共用網路資源會分組到系統命名空間中。

依預設,NCP 會為系統命名空間建立一個共用的第 1 層閘道,並為每個命名空間建立第 1 層閘道和負載平衡器。第 1 層閘道會連線至第 0 層閘道和預設區段。

NSX-T 負載平衡器以虛擬伺服器的形式提供負載平衡服務。

移轉後,網路拓撲具有下列特性:
  • 每個 vSphere 命名空間 各有不同的網路和一組由命名空間內的應用程式共用的網路資源,例如,第 1 層閘道、負載平衡器服務和 SNAT IP 位址。
  • 在相同命名空間中的 vSphere 網繭、一般虛擬機器或 Tanzu Kubernetes 叢集中執行的工作負載,將共用同一個 SNAT IP 以進行南北向連線。
  • vSphere 網繭Tanzu Kubernetes 叢集中執行的工作負載將具有預設防火牆實作的相同隔離規則。
  • 每個 Kubernetes 命名空間不需要單獨的 SNAT IP。命名空間之間的東西向連線不會是 SNAT。

可執行的命名空間數目上限取決於 Edge 節點大小 (中型、大型或超大型) 和 NSX Edge 叢集中的 Edge 節點數目。可執行的命名空間數目少於 Edge 節點數目的 20 倍。例如,如果 NSX Edge 叢集具有 10 個大型 Edge 節點,則可以建立的主管命名空間的數目上限為 199。

如需有關 Edge 節點大小的詳細資訊,請參閱《NSX-T Data Center 安裝指南》

主管叢集網路

主管叢集在共用的第 1 層閘道內具有單獨的區段。對於每個 Tanzu Kubernetes 叢集,會在命名空間的第 1 層閘道內定義區段。

位於相同命名空間內的工作負載 (包括 vSphere 網繭Tanzu Kubernetes 叢集) 將共用 SNAT IP 以進行南北向連線。命名空間之間的東西向連線不會是 SNAT。

圖 1. 主管叢集網路
升級後的主管叢集網路架構

Tanzu Kubernetes 叢集網路

主管叢集 升級後,當 DevOps 工程師佈建主管命名空間中的第一個 Tanzu Kubernetes 叢集時,叢集將與命名空間共用相同的第 1 層閘道和負載平衡器。對於在該命名空間中佈建的每個 Tanzu Kubernetes 叢集,會為該叢集建立一個區段,而它會連線至其主管命名空間中共用的第 1 層閘道。

Tanzu Kubernetes Grid 服務 佈建 Tanzu Kubernetes 叢集時,系統會建立單一虛擬伺服器以針對 Kubernetes API 提供第 4 層負載平衡。此虛擬伺服器主控於具有命名空間的共用負載平衡器上,並且負責將 kubectl 流量路由至控制平面。此外,對於在叢集上進行資源處理的每個類型為負載平衡器的 Kubernetes 服務,都會建立一個虛擬伺服器,以為該服務提供第 4 層負載平衡。

升級後的 Tanzu Kubernetes 叢集網路