vSphere 7云原生容器网络架构概述

1、vSphere 7 原生容器网络架构概述基于VCF底座构建云原生网络企业研运一体化的新起点IT 运维者开发者VMware Cloud Foundation ServicesKUBERNETES & RESTful APIsvCenter ServerTanzu Kubernetes Grid ServicevSphereTanzu Runtime ServicesHybrid Infrastructure ServicesNSX-TvSANIntrinsic Security & Lifecycle AutomationData CenterEdgeService ProviderPublic

2、 CloudvRealizeNetwork ServiceStorage ServicevSphere Pod ServiceRegistry ServiceNamespaceNamespaceNamespaceKubectl Docker YAML FilevCenter UI vAPI2NSX-T 加持的容器网络vSphere 7 / TKG / K8sNamespaceK8S or OCPNamespaceNamespaceVMPodVMVMVMVMSDDCSupervisor ClusterNamespacePodPodPodPodPodVMOperatorCluster APITan

3、zu Kubernetes GridPodNamespacePodControl PlaneVMWorkerVMWorkerVMWorkerVMNamespacePodTKGPodNamespacePodControl PlaneVMWorkerVMWorkerVMWorkerVMNamespacePodTier-0Tier-1Tier-1Tier-1Edge Node 01Edge Node 02NSX-T ManagerNCP 3.0.13NCP 3.0.0NSX-T for vSphere with Kubernetes(Aka WCP)主要功能集IP 地址管理网络微分段分布式防火墙负载

4、均衡 服务入口可视化IPAM4容器IPv4 地址池, 为不同的命名 空间(Namespace)中的工作负载 提供IP地址管理服务IPv4地址池, 为不同的命名空 间提供集群内服务地址入站(Ingress)IPv4地址池, 为容器 集群提供类型Load Balancer / Ingress / CloudProvider 的服务 发布方式出站(Egress)IPv4地址池, 为容器 网络提供外出集群的IP地址NAT 服务主管集群的IP地址初始化设置NSX IPAMDefault 1.1.1.1/23Default 1.1.1.1/23Default 1.1.1.1/23Default 1.1.1

5、.1/23Input ValueSupervisor ClusterPodPodPodPodTanzu K8s Cluster5NSX-T 集成主管集群Namespace and Pod creationESXiESXiESXiVI AdminhostdsphereletVDS 7.0VDSPortgroupshostdspherelethostdsphereletNSXManagerNSXEdge VM1Management Edge Overlay Edge UplinkNSXEdge VM2Overlay LSK8Master VM1K8Master VM2K8Master VM3vCe

6、nterSupervisor Kubernetes ClusterK8 Worker Nodek8 Worker NodeK8 Worker NodeNamespace FinanceMaster VM LS Finance LSPOD 1POD 2CreateNamespaceDevOpsCreate POD68ESXiK8Master VM1vCenterSupervisor Kubernetes ClusterESXi/K8 Worker NodeVDS 7.0Management Edge OverlayEdge UplinkNamespace FinancePOD 1POD 2Mas

7、ter VM LS Finance LS Marketing LSDistributed FW/Network Policy(K8s)Distributed LB/Cluster IP(K8sPODPOD34Namespace MarketingESXi/K8 Worker NodeTier-0 LRTier-1 LRPhysical NetworkNSX-TEdge VML4 Load Balancing L7 Load BalancingEdge FirewallStatic RoutingNSX-T 3.0加持的主管集群功能概述具备分布式路由交换的容器网络, 自动发现 于配置容器网络接口

8、基于原生K8s网络策略装配分布式防火 墙基于原生K8s集群服务装配分布式负载 均衡,为主管集群提供东西向服务访问主管集群默认Namespace之间的业务 通过分布式防火墙隔离边界网关为主管集群发布L4 / L7的负载 均衡服务默认拒绝外部流量直接访问命名空间内 的工作负载独立的T1租户路由器为单个主管集群服 务Distributed SwitchingNATNSX-T 集成主管集群(功能视角)Pod NetworkingEN2K8Master VMESXi/K8 Worker NodeTier-0Supervisor Cluster 2Tier-110.3.1.0/24 NS310.4.1.0

9、/24 NS4K8Master VMSupervisor Cluster 1ESXi/K8 Worker Node10.1.1.0/24 NS110.2.1.0/24 NS2Tier-1EN1Pre-installed NSX-T EdgesShared Tier-0Tier-1 per Supervisor Cluster8NSX-T 支持多主管集群ESXi 需完成NSX-T主机准备NSX-T Manager/Edges, Tier-0路 由器可多个主管集群共用各主管集群置备独立的Tier-1路由器各主管集群独立的容器子网 / 服务子网 /入站和出站子网NSX-T 集成多主管集群南北向通讯默认拒绝所有入站流量到命名 空间内的工作负载默认允许所有命名空间内的工 作负载的出站流量命名空间之间工作负载流量默 认拒绝东西向通讯相同命名空间内工作负载默认可 通讯主管集群默认安全机制Namespace间默认无法互访Finance NamespaceMarketing NamespaceExternalT1