VMware NSX Container Plugin 3.1

3.0 3.1 4.1 4.0 3.2 4.2
简体中文 Deutsch Español Français Italiano 日本語 한국어 繁體中文 English

Configurazione delle risorse di
NSX-T
 in modalità Manager

Sono disponibili due metodi per configurare determinate risorse di rete per NCP. In questa sezione viene descritta la configurazione delle risorse in modalità Manager.
Nel file di configurazione di NCP
ncp.ini
 è possibile specificare le risorse di
NSX-T
 utilizzando i loro UUID o nomi.

Router logici e commutatori logici

  1. Creare un commutatore logico per i nodi Kubernetes, ad esempio
    LS1
    .
  2. Creare un router logico di livello 0, ad esempio
    T0LR1
    . Impostare l'opzione
    tier0_router
     nella sezione
    [nsx_v3]
     di
    ncp.ini
     con l'ID del router logico se non si dispone di una topologia di livello 1 condivisa. Per informazioni sulla configurazione di una topologia di livello 1 condivisa, vedere di seguito. Impostare la modalità HA su Attivo-Standby se si intende configurare regole NAT in questo router logico. In caso contrario, impostarla su Attivo-Attivo. Abilitare la ridistribuzione della route. Configurare inoltre questo router per l'accesso alla rete esterna.
  3. Creare un router logico di livello 1, ad esempio
    T1LR1
    . Connettere questo router logico al router logico di livello 0.
  4. Configurare l'annuncio del router per
    T1LR1
    . È necessario abilitare almeno le route connesse a NSX e NAT.
  5. Connettere
    T1LR1
     a
    LS1
    . Assicurarsi che l'indirizzo IP della porta del router logico non sia in conflitto con gli indirizzi IP dei nodi Kubernetes.
  6. Per ogni macchina virtuale del nodo, assicurarsi che la vNIC per il traffico del container sia collegata al commutatore logico creato automaticamente. È disponibile nella scheda
    Rete
     con lo stesso nome del commutatore logico, ovvero
    LS1
    .
NCP deve conoscere l'ID VIF della vNIC. Le porte del commutatore logico corrispondenti devono avere i due tag seguenti. Per un tag, specificare il nome del nodo. Per l'altro tag, specificare il nome del cluster. Per l'ambito, specificare il valore appropriato come indicato di seguito.
Tag
Ambito
Nome nodo
ncp/node_name
Nome cluster
ncp/cluster
Se il nome del nodo cambia, è necessario aggiornare il tag. Per recuperare il nome del nodo, è possibile eseguire il comando seguente:
kubectl get nodes
Se si desidera estendere il cluster Kubernetes mentre NCP è in esecuzione, ad esempio aggiungendo altri nodi al cluster, è necessario aggiungere i tag alle porte del commutatore corrispondente prima di eseguire "kubeadm join". Se si dimentica di aggiungere i tag prima di eseguire "kubeadm join", i nuovi nodi non avranno connettività. In questo caso, sarà necessario aggiungere i tag e riavviare NCP per risolvere il problema.
Per identificare la porta del commutatore per la macchina virtuale di un nodo, è possibile effettuare la seguente chiamata API:
/api/v1/fabric/virtual-machines
Nella risposta cercare la macchina virtuale del nodo e recuperare il valore dell'attributo ''external_id''. Oppure è possibile effettuare la seguente chiamata API:
/api/v1/search -G --data-urlencode "query=(resource_type:VirtualMachine AND display_name:<node_vm_name>)"
Dopo aver configurato l'ID esterno, è possibile utilizzarlo per recuperare i VIF per la macchina virtuale con la seguente API. Si tenga presente che i VIF non vengono popolati finché la macchina virtuale non viene avviata.
/api/v1/search -G --data-urlencode \
"query=(resource_type:VirtualNetworkInterface AND external_id:<node_vm_ext_id> AND \
_exists_:lport_attachment_id)"
L'attributo
lport_attachment_id
 è l'ID VIF per la macchina virtuale del nodo. È quindi possibile trovare la porta logica per questo VIF e aggiungere i tag necessari.

Blocchi di IP per i pod Kubernetes

Passare a
Rete
Pool di indirizzi IP
 per creare uno o più blocchi di IP. Specificare il blocco di IP in formato CIDR. In
container_ip_blocks
 nella sezione
[nsx_v3]
 di
ncp.ini
 immettere gli UUID dei blocchi di IP.
Per impostazione predefinita, i progetti condividono i blocchi di IP specificati in
container_ip_blocks
. È possibile creare blocchi di IP in modo specifico per gli spazi dei nomi non SNAT (per Kubernetes) o i cluster (per TAS) impostando l'opzione
no_snat_ip_blocks
 nella sezione
[nsx_v3]
 di
ncp.ini
.
Se si creano blocchi di IP non SNAT mentre NCP è in esecuzione, è necessario riavviare NCP. In caso contrario, NCP continuerà a utilizzare i blocchi di IP condivisi finché non verranno esauriti.
Quando si crea un blocco di IP, il prefisso non può essere maggiore del valore dell'opzione
subnet_prefix
 nel file di configurazione di NCP
ncp.ini
. Il valore predefinito è 24.
NCP allocherà subnet aggiuntive per uno spazio dei nomi se la subnet originariamente allocata è esaurita.

Pool di IP esterni

Un pool di IP esterni viene utilizzato per l'allocazione degli indirizzi IP che verranno usati per la conversione degli IP pod mediante le regole SNAT e per l'esposizione dei controller in ingresso e dei servizi di tipo LoadBalancer utilizzando le regole SNAT/DNAT, come gli IP mobili di OpenStack. Questi indirizzi IP vengono denominati anche IP esterni.
Passare a
Rete
Pool di indirizzi IP
Pool di IP
 per creare un pool di IP. Immettere nell'opzione
external_ip_pools
 nella sezione
[nsx_v3]
 di
ncp.ini
 gli UUID dei pool di IP.
Più cluster Kubernetes utilizzano lo stesso pool di IP esterni. Ogni istanza di NCP utilizza un sottoinsieme di questo pool per il cluster Kubernetes che gestisce. Per impostazione predefinita, verrà utilizzato lo stesso prefisso di subnet per le subnet del pod. Per utilizzare dimensioni di subnet diverse, aggiornare l'opzione
external_subnet_prefix
 nella sezione
[nsx_v3]
 di
ncp.ini
.
È possibile passare a un pool di IP diverso modificando il file di configurazione e riavviando NCP.

Topologia di livello 1 condivisa

Per abilitare una topologia di livello 1 condivisa, eseguire le configurazioni seguenti:
  • Impostare l'opzione
    top_tier_router
     sull'ID di un router logico di livello 0 o di un router logico di livello 1. Se si tratta di un router logico di livello 1, è necessario connetterlo a un router logico di livello 0 per le connessioni esterne. Questa opzione sostituisce l'opzione
    tier0_router
    .
  • Se il traffico SNAT per pod è abilitato, disconnettere
    T1LR1
     da
    LS1
     (il commutatore logico per i nodi Kubernetes) e connettere a
    LS1
     il router di livello 0 o 1 impostato in
    top_tier_router
    .
  • Impostare l'opzione
    single_tier_topology
     su
    True
    . Il valore predefinito è
    False
    .

(Facoltativo) (Solo per Kubernetes) Sezioni segnaposto del firewall

Per consentire all'amministratore di creare regole del firewall che non interferiscano con le sezioni del firewall create da NCP in base ai criteri di rete, passare a
Sicurezza
Firewall distribuito
Generale
 e creare due sezioni del firewall.
Specificare le sezioni segnaposto del firewall impostando le opzioni
bottom_firewall_section_marker
 e
top_firewall_section_marker
 nella sezione
[nsx_v3]
 di
ncp.ini
.
La sezione inferiore del firewall deve trovarsi sotto la sezione superiore del firewall. Dopo la creazione di queste sezioni del firewall, tutte le sezioni del firewall create da NCP per l'isolamento verranno create sopra la sezione inferiore del firewall e tutte le sezioni del firewall create da NCP per i criteri verranno create sotto la sezione superiore del firewall. Se queste sezioni segnaposto non vengono create, tutte le regole di isolamento verranno create nella parte inferiore e tutte le sezioni dei criteri verranno create nella parte superiore. Più sezioni segnaposto del firewall con lo stesso valore per cluster non sono supportate e causeranno un errore.

Content feedback and comments