VyOS를 사용하여 사설 네트워크에서 Tanzu 구현

5079 단어 kubernetesvmwarelinux

TL; DR



가상 라우터(여기서는 VyOS )와 적절한 라우팅 테이블을 사용하면 NSX-T 없이 개인 네트워크에서 구현VMware Tanzu할 수 있습니다.

전제



CSI driver for PowerScale으로 VMware Tanzu 기본 기능을 평가해야 했습니다. vCenter에 워크로드 관리라고도 하는 Tanzu를 설치하기 위해 저는 그 게시물과 1 , 2 , 3 게시물을 따랐습니다.

전제 조건으로 Tanzu에는 최소 두 개의 네트워크가 필요합니다. 하나는 관리 클러스터(Supervisor 클러스터라고도 함)용이고 다른 하나는 워크로드(즉, 워크로드를 실행하기 위한 온디맨드 클러스터)용입니다.

내 연구실에는 IP가 제한된 네트워크에 라우팅 가능한 VLAN이 하나만 있습니다. Anthos validation과 같은 다른 활동의 경우 NAT 뒤에 단일 개인 네트워크를 사용합니다. 불행히도 그 구성은 여기에서 충분하지 않습니다.

Tanzu의 경우 세 가지 네트워크를 사용하기로 결정했습니다.
  • 외부 세계로 라우팅할 수 있고 로드 밸런서 VIP
  • 가 있는 프런트엔드 네트워크( 10.247.247.0/24 )
  • 감독자 클러스터
  • 의 vSphere 관리를 위한 관리 네트워크( 10.0.0.0/24 )
  • 모든 Tanzu 클러스터
  • 를 호스팅하기 위한 워크로드 네트워크( 10.0.1.0/24 )



    문제는 이러한 개인 네트워크를 관리할 수 있는 NSX-T 라이센스가 없다는 것입니다. 운 좋게도 다시 한 번 Linux가 문제를 해결했습니다.

    구현



    여기서 비결은 다른 네트워크에 대한 라우터 역할을 할 가상 머신을 사용하는 것입니다. 내 선택은 라우팅을 위한 데비안 기반 배포판 디자인인 VyOS 이었습니다. 방화벽, VPN, QoS 수행 등으로 사용할 수 있습니다. 구성은 Cisco IOS 또는 기타 독점 네트워킹 장치에서 사용할 수 있는 것과 유사한 명령으로 수행됩니다.

    이 경우 라우팅 및 NAT 기능만 사용합니다. VyOS는 무료로 연결된 인터페이스 사이를 라우팅하므로 NIC 구성 후에 두 개인 네트워크에 대한 NAT를 구성하기만 하면 되었습니다.

    최종 구성은 거의 다음과 같습니다.
    400: Invalid request

    With that configuration:

    • any VMs deployed with Tanzu can connect to the external world through the NAT via the Dell LAN segment
    • any VMs with a single NIC can talk to the same segment via the DSwitch or to the other network via the VyOS VM

    핑 문제

    Tanzu explicitly states that Supervisor and Workload clusters must be able to connect to the HA Proxy data plane.

    On my setup I used VMware HA Proxy and deployed the image with three networks. The Data plane API management listens on the Management network and default port of 5556.

    Supervisor cluster deployment went well but during the workload cluster creation I got the following error:

    unexpected error while reconciling control plane endpoint for my-cluster: failed to reconcile loadbalanced endpoint for WCPCluster csi/my-cluster: failed to get control plane endpoint for Cluster csi/my-cluster: Virtual Machine Service LB does not yet have VIP assigned: VirtualMachine Service LoadBalancer does not have any Ingresses
    
    


    사실 나는 할 수 있습니다 :
  • 로드 밸런서에서 모든 IP를 ping합니다
  • .
  • 동일한 네트워크에 있는 노드에서 Load-Balancer IP를 ping합니다
  • .
  • 워크로드 노드에서 모든 IP 감독자 IP를 ping하고 그 반대의 경우
  • 하지만 워크로드 노드에서 관리 프록시 IP를 ping할 수 없습니다
  • .

    여기서 ICMP 에코 요청이 라우터를 통과하지만 DSwitch에서 직접 응답이 발행되는 문제가 있습니다.

    이를 해결하기 위한 요령은 HAProxy에 대한 모든 요청이 라우터를 통해 응답되는지 확인하는 것입니다. 그렇게 하기 위해 해야 할 세 가지가 있습니다.
  • /32 마스크가 있는 워크로드 IP를 설정하여 다음에서만 이 장치에 대해 이 통신을 사용하도록 강제합니다. /etc/systemd/network/10-workload.network
  • 다음에서 두 네트워크 관리 및 워크로드에 대해 관리 NIC의 게이트웨이를 업데이트합니다. /etc/systemd/network/10-management.network
  • 다음에서 가중치가 더 높은 외부 작업에 대한 기본 경로를 추가합니다. /etc/systemd/network/10-frontend.network

  • 다음은 편집한 다음 systemctl restart systemd-networkd로 적용할 수 있는 NIC 구성입니다.
    400: Invalid request
    400: Invalid request
    400: Invalid request

    이제 ICMP 에코 응답이 동일한 경로를 통과하고 다음과 같이 응답합니다.

    결론



    기본 기능(예: NAT, 정적 또는 동적 라우팅, NAT, DHCP, 방화벽 등)의 경우 VyOS는 나처럼 NSX-T 라이센스를 놓치는 경우 먼 길을 갈 수 있는 탁월한 가상 라우터입니다.

    좋은 웹페이지 즐겨찾기