weixin_43394724的博客

本文记录Tanzu Kubernetes Cluster 以Load balancer方式对外提供Service的细节。实验环境沿用NSX-T 为vSphere with Tanzu提供网络支撑项目描述备注vSpherevSphere7.0u2a17867351vCenterVCSA-.7.0.217920168NSX-T Datacenter3.1.2.1.017975795Tanzu1.3.1IP地址分配名称说明本实验使用

vSphere with Tanzu是VMware太平洋计划的后续命名，我们在前面的讨论过WCP平台的安装，即是现在的vSphere with Tanzu。该平台是vSphere 7+和NSX-T共同形成，本文我们主要讨论NSX-T在本平台的网络功能和特性。整体架构vSphere with Tanzu 解决方案的基础是由 vSphere 7+、NSX-T 和 Storage 组成的 VMware SDDC 堆栈。该解决方案将 vSphere 集群转换为工作负载平台，每个 vSphere 集群都具有 K

V记在4月推出Tanzu 1.3以后，原有的TKG命令堆栈完全废弃，改为Tanzu命令集。如初始化命令tkg init改为了tanzu management-cluster create，同时有些参数在这个版本的tanzu命令中并没有继承。更多信息参考Tanzu CLI Command Reference关于Tanzu 1.3.1的更新情况，参考VMware Tanzu Kubernetes Grid 1.3.1 Release Notes本实验使用Tanzu cli命令在已经安装好的vSphere

在上一篇中，我们把NSX-T和vCenter结合，并部署好了Edge Cluster。现在我们试着将虚拟化网络的网关下移，并使用T0连接到物理网络。做网络实验之前，我们通常会准备好网络拓扑、IP地址规划，路由规划等。拓扑图我们搭建两层虚拟路由器结构，T0提供南北向路由，两台T1提供东西向路由和相应子网的接入。部署T0路由器T0的外联在虚拟网络，是没有连接线缆的。为了给T0一个外联的地点，我们建立一个Segment注意：选择transport Zone：tz-vlan，这样就和Edge的

检查主机准备上一篇我们做好了主机准备，整个过程是对我们屏蔽了细节的，那么，在ESXi上到底安装了些什么呢？VIB信息可以登录到ESXi上面看看（ESXi可以在controller上打开SSH）使用esxcli software vib list | grep nsx里面的vib内容如下：nsx-adf（自动诊断框架）收集并分析性能数据，以生成对性能问题的本地（主机）和中心（跨数据中心）诊断。nsx-mpa在 NSX Manager 和管理程序主机之间提供通信。更多详细解释参考：在

上回说到NSX-T manager的安装，成功导入ova文件以后，我们在vCenter上面可以看到NSX manager的虚机。开机后，使用https://ip便可以登录到管理界面了。查看Manager实例导航到System–>Appliance，可以看到现在运行的控制节点实例，系统建议使用三台实例做成集群，实验中，我们只使用一台。云网解耦物理网先不急着往下，我们看看在基于软件的SDN最初是要解决什么问题，下图是在很多企业至今使用的架构物理服务器已经虚拟化，企业大量使用虚机。为了解决

IT世界的变化以应用为导向，大抵可以分为Iphone出现和容器的大规模应用两次大的变革时间点，残喘十几年的物理机加各种功能性盒子组成的IT系统慢慢分崩离析，虚拟化、容器化和云化慢慢成为现代化应用新的栖身之所。而连通这一切的网络，也随之变化，无从避免。最初的物理机时代，每一个主机占据一个网络端口，分配一个IP地址，就如同城市的门牌号码，而网络也像是纵横交错的街道。人们通过门牌号码找到要去的地方，而网络上的端口和IP地址是应用找寻归途的门牌。到了虚机时代，一个主机内要部署不同的虚拟主机，每个虚机都有自己

最近VMware的官网vmware.com经过了改版，再主页上单独把网络连接作为一个大项菜单，其包含的内如下：我们可以看到V记再网络方向的转型：对容器和Kubernetes的支持和重视，包括容器网络，Service Mech和容器安全等更加全面的网络解决方案，涉及云网、数据中心网络、容器网络、SD-WAN、网络安全以及网络自动化及运维。从虚拟网络层面来讲，业界没有第二家可以有这个广度和深度了NSX-V解决方案不再提，NSX的产品家族以NSX-T产品为中心，结合网络负载均衡（AVI）、网络虚拟防火

最近在项目中，接触到一家公司希望对虚机的安全性进行底层保护，考虑到一种基于IPtables+Agent的解决方案，考虑到这一需求实际上是系统需要分布式防火墙来对终端节点进行保护，我对此表示怀疑其实用性，建议采用商业软件NSX-T。Netfilter/IPtables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以完成封包过滤、封包重定向和网络地址转换（NAT）等功能。IPtables的基础是规则（rules），其实就是网络管理员

AVIAvi由一群思科工程师和管理人员于2012年创立，提供各种软件定义的产品和服务，包括基于软件的应用交付控制器（ADC）和智能网络应用防火墙。该软件已与VMware vCenter和NSX，OpenStack，第三方SDN控制器以及Amazon AWS和Google Cloud Platform，Red Hat OpenShift以及Kubernetes和Docker等容器编排平台集成。VMware在2019年6月收购了软件定义的企业级负载均衡和 Web 应用防火墙 (WAF) 解决方案 Avi N

在vSphere 7 with K8S的整体架构中，Tanzu Kubernetes集群是完全由开发人员建立/维护/销毁。运维人员无法从wcp的控制平台对其进行操作。同时，Tanzu Kubernetes集群还可以用于多租户场景。有关Tanzu Kubernetes集群的备置（建立），请参考vSphere 7 Kubernetes 初体验中的：使用 Tanzu Kubernetes Grid 服务置备Tanzu Kubernetes 集群。首先，我们还是对vSphere 7 with K8S的整体逻辑视

有关vSphere7 with WCP，即整合Kubernetes的具体介绍，请参考：vSphere 7融合Kubernetes，构建现代化应用的平台vSphere 7 with WCP 安装参考文章：安装vSphere 7 with WCP完成安装以后，在工作负载的页面可以看到原来的vSphere集群已经变成了WCP Supervisor集群，并建立名为namespaces的资源池。集...

在VMware的官方网站上，可以查看到基于分段的DHCP配置方法：但是，在具体配置中，找不到“DHCP静态绑定”选项。通过摸索，找到了在NSX-T 3.0上为分段配置DHCP的方法：配置DHCP配置文件网络->IP管理->DHCP->添加DHCP配置文件注意：这里要定义DHCP类型为服务器，并指定ip 地址。在分段上配置DHCP2.1 选择分段，并点击编辑2.2 添加子网，此处填写子网的网关地址/掩码2.3 编辑设置DHCP配置2.3.1 选择第一步配置

VMware VCF4.0及vSphere 74月2日，VMware正式发售vSphere7以及VCF4.0（VMware Cloud Foundation ）。vSphere7 整合了VM和Kubernetes平台，借助于VCF组件之一的NSX-T提供网络服务，包括了路由，交换，防火墙，负载均衡等功能服务。软件清单本实验使用最新官网可下载组件进行安装，具体如下：名称版本备注内...

使用软件说明vCenter 6.7 U1b (Build 11727113) ESX 6.7 U2 (Build 13006603) NSX-T 2.4.1 (Build 13716579) NSX Container Plugin 2.4.1 (Build 13515827) CentOS 7.6 Docker CE 18.09.6 Kubernetes 1.13.5 Open...

部署环境：NSX Manager默认包括一个自签名API证书，该证书主题和颁发者为主机名。Ops Manager要求严格的证书验证，并要求自签名证书的使用者和颁发者是NSX Manager的IP地址或FQDN。因此，我们需要使用subject和issuer字段中NSX Manager的fqdn重新生成自签名证书，然后使用NSX API向NSX Manager注册该证书。在OPS Mamage...