TKG 叢集的 NSX 網路物件

本主題列出了對主管使用 NSX 網路時為 TKG 叢集建立的網路物件。

每個 TKG 叢集應具有下列網路資源：虛擬網路、虛擬網路介面和虛擬機器服務。

啟用 vSphere IaaS control plane 並部署主管執行個體時，系統會自動佈建 NSX 內嵌式負載平衡器。此負載平衡器適用於主管控制平面，並可用於存取 Kubernetes API 伺服器。

為 TKG 叢集建立類型為 LoadBalancer 的 Kubernetes 服務時，會為該服務布建NSX內嵌式負載平衡器。

網路物件	網路資源	說明
VirtualNetwork	第 1 層路由器和連結的區段	叢集的節點網路
VirtualNetworkInterface	區段上的邏輯連接埠	叢集節點的節點網路介面
VirtualMachineService	不適用	VirtualMachineService 已建立並已轉譯為 k8s 服務。
服務	具有 VirtualServer 執行個體的負載平衡器伺服器和相關聯的伺服器集區 (成員集區)	已建立負載平衡器類型的 Kubernetes 服務，以存取 TKG 叢集 API 伺服器。
端點	端點成員 (TKG 叢集控制平面節點) 應位於成員集區中。	將建立端點以包含所有 TKG 叢集控制平面節點。
主管中的 VirtualMachineService	不適用	在主管中建立 VirtualMachineService 並在主管中轉譯為 Kubernetes 服務
主管中的負載平衡器服務	TKG 叢集負載平衡器中的 VirtualServer 以及相關聯的成員集區。	在主管中建立負載平衡器服務以存取此 LB 類型的服務
主管中的端點	端點成員 (TKG 叢集工作節點) 應位於 NSX 中的成員集區中。	將建立端點以包含所有 TKG 叢集 worker 節點
TKG 叢集中的負載平衡器服務	不適用	使用者部署的 TKG 叢集中的負載平衡器服務應使用負載平衡器 IP 更新其狀態

節點網路

每個 TKG 叢集應建立以下網路物件和關聯的 NSX 資源。

網路物件	NSX 資源	說明	IPAM
VirtualNetwork	第 1 層閘道和連結的區段	TKG 叢集的節點網路	已指派 SNAT IP
VirtualNetworkInterface	連結區段上的邏輯連接埠	TKG 叢集節點的節點網路介面	為每個節點指派一個 IP

網路物件	網路資源	說明	IPAM
VirtualMachineService	不適用	VirtualMachineService 已建立並已轉譯為 Kubernetes 服務。	包括負載平衡器 VIP
服務	具有 VirtualServer 執行個體的負載平衡器伺服器和相關聯的伺服器集區 (成員集區)	已建立負載平衡器類型的 Kubernetes 服務，以存取 TKG 叢集 API 伺服器。	已指派外部 IP。
端點	端點成員是 TKG 叢集控制平面節點，應位於成員集區中。	將建立端點以包含所有 TKG 叢集控制平面節點。	不適用

對於建立的每個 TKG 叢集，系統會建立小型 NSX 負載平衡器的單個執行個體。此負載平衡器包含下表中列出的物件：

物件數量	說明
1	用於在連接埠 8443 上存取 Kubernetes 控制平面 API 的虛擬伺服器 (VS)。
1	包含 3 個 Kubernetes 控制平面節點的伺服器集區。
1	用於 HTTP 入口控制器的 VS。
1	用於 HTTPS 入口控制器的 VS。

對於建立的每個 TKG 叢集，系統會在第 0 層邏輯路由器上定義下列 NSX NAT 規則：

物件數量	說明
1	使用浮動 IP 集區中的 1 個 IP 作為轉譯的 IP 位址，為每個 Kubernetes 命名空間建立的 SNAT 規則。
1	(僅限 NAT 拓撲) 使用浮動 IP 集區中的 1 個 IP 作為轉譯的 IP 位址，為每個 Kubernetes 叢集建立的 SNAT 規則。Kubernetes 叢集子網路衍生自使用 /24 網路遮罩的節點 IP 區塊。

對於建立的每個 TKG 叢集，系統會定義以下 NSX 分散式防火牆規則：

物件數量	說明
1	`kube-dns` 的 DFW 規則，套用至 CoreDNS 網繭邏輯連接埠：
1	命名空間中驗證程式的 DFW 規則，套用至驗證程式網繭邏輯連接埠：