NSX-T 可以通過(guò) K8s 的容器網(wǎng)絡(luò )接口 (Container Network Interface) 來(lái)向容器提供虛擬化的網(wǎng)絡(luò )服務(wù),PKS 的用戶(hù)可以方便地通過(guò)命令行來(lái)創(chuàng )建和管理由 NSX-T 提供的虛擬網(wǎng)絡(luò )服務(wù)對象,如:分布式防火墻、邏輯交換機、網(wǎng)絡(luò )安全策略等等,例如:
- 創(chuàng )建命名空間 :在創(chuàng )建容器 Namespace 的同時(shí),NSX-T 會(huì )自動(dòng)創(chuàng )建一個(gè)分布式路由器和邏輯交換機,從網(wǎng)絡(luò )層面上把這個(gè) Namespace 隔離開(kāi)來(lái)。
- 網(wǎng)絡(luò )策略:創(chuàng )建網(wǎng)絡(luò )策略命令會(huì )在分布式防火墻上創(chuàng )建一組對應的安全策略,根據安全策略定義的規則來(lái)阻止指定的網(wǎng)絡(luò )流量。
- 應用部署:具體的應用部署之后,NSX-T 就會(huì )根據安全策略中的規則來(lái)控制對于應用容器的流量訪(fǎng)問(wèn),PKS 自來(lái)的 traceflow 功能可以方便地查看兩個(gè)窗口或服務(wù)之間的流量關(guān)系。
- 網(wǎng)絡(luò )策略:刪除相關(guān)的網(wǎng)絡(luò )策略后,就會(huì )在相關(guān)的分布式防墻上刪除相應的網(wǎng)絡(luò )策略。
- 負載均衡器 Ingress:NSX-T 也為容器應用提供了負載均衡服務(wù) Ingress,Ingress 具有層7的網(wǎng)絡(luò )路由功能。
通過(guò) NSX-T 和 Ingress 負載均衡器相配合,可以實(shí)現層 7 的路由功能,在演示中我們看到 Ingress 服務(wù)可以通過(guò) URL 的后綴 coffee (10.40.14.35/coffee) 或 tea (10.40.14.35/tea)來(lái)把訪(fǎng)問(wèn)請求導向具體的容器服務(wù),因為 Ingress 支持這種基于 HTTP 協(xié)議的負載均衡服務(wù)。
接下來(lái)請大家點(diǎn)擊閱讀原文看一段關(guān)于 PKS 中 NSX-T 虛擬化網(wǎng)絡(luò )功能的演示,主要包括了以下幾個(gè)場(chǎng)景:
- 創(chuàng )建命名空間:在 PKS 集群中創(chuàng )建 namespace bar,可以看到 NSX-T 在后臺自動(dòng)創(chuàng )建了一個(gè)邏輯路由器和交換機來(lái)為命名空間 bar 提供一個(gè)獨立的網(wǎng)段;
- 利用網(wǎng)絡(luò )策略來(lái)控制網(wǎng)絡(luò )通訊:創(chuàng )建網(wǎng)絡(luò )策略來(lái)阻止帶有 db 和 nginx 標簽的 Pod 之間的通訊, NSX-T 提供的 Traceflow 工具可以讓管理員直觀(guān)地看到多個(gè) Pod 指定端口之間的通訊被阻止了;
- 通過(guò) Ingress 控制器來(lái)均衡負載:部署一個(gè) Ingress 控制器來(lái)分配 coffee 和 tea 服務(wù)之間的工作負載,Ingress 具有層 7 的網(wǎng)綹路由能力,能夠通過(guò) URL 上的服務(wù)名字 (coffee 或 tea) 來(lái)把網(wǎng)絡(luò )包專(zhuān)遞給相應的服務(wù)。
