這是壹個由VMware的Robbie Jerrom撰寫的訪客帖子。Robbie與VMware在歐洲的壹些最大客戶壹起工作,因為他們專註於將現代和雲本機應用程序和平臺帶到他們的VMware軟件定義的數據中心。在加入VMware之前,Robbie花了十年時間作為軟件工程師構建企業軟件,如Java虛擬機、CICS和WebSphere。Robbie也是VMware首席技術官大使社區的成員,確保了VMware的工程組織和現實世界客戶之間的緊密協作。
在這篇博客中,我們更深入地探討了根據最近的發布,VMware和Red Hat是如何協作以更好地集成OpenShift容器平臺和VMware的軟件定義數據中心(SDDC)基礎架構堆棧的。我們有許多***同客戶希望充分利用他們的技術投資組合。而且,由於VMware和Red Hat都將Kubernetes作為支持其現代應用程序的核心平臺,因此,我們***同致力於為在VMware SDDC上部署OpenShift的客戶實現成功,這是合乎邏輯的。
下面,第壹步是溝通和分享我們已經擁有的***同點。
VMware vSphere和Red HatEnterprise Linux已經可以很好地協同工作;但是IT團隊和OpenShift管理員往往忽略了為交付更好的存儲和SDN而進行的體系結構調整。為了解決這壹問題,本文概述了Red Hat OpenShift Container Platform 3.11核心文檔的最新更新,其中包括了SDN和存儲集成的最新指導文檔以及支持SDN(NSX-T/NCP)和Kubernetes存儲的專用VMware文檔。
讓我們壹起深入研究這兩個領域。
壹、存儲
為了支持容器的持久存儲需求,VMware開發了vSphere雲服務程序及其相應的卷管理插件。這些可以提供給Red Hat OpenShift,用以支撐VMWare的vSAN或者支持vSphere的任意數據庫。雖然每個存儲後端的各不相同,但這種集成方案依舊可以滿足。
這些公布的存儲產品為VMFS、NFS或vSAN數據存儲。企業級功能(如基於存儲策略的管理(SPBM))提供了自動化的資源調配和管理,使客戶能夠確保其業務關鍵應用程序請求的QoS,並在SDDC平臺上確保SLA達成。
SPBM在廣泛的數據服務和存儲解決方案中提供單壹的統壹控制平面。SPBM還使vSphere管理員能夠克服預先的存儲資源調配挑戰,例如:容量規劃、差異化的服務級別和管理容量凈空。
Kubernets StorageClass允許按需創建持久卷,而不需要創建存儲並將其掛載在OpenShift的節點之上。StorageClass指定壹個提供者和相關參數,用於定義持久卷預期策略,該策略將動態地提供。
組合使用SPBM和vSphere數據存儲的組合作為抽象,我們隱藏了復雜的存儲細節,並為從OpenShift存儲持久數據(PV)環境提供了統壹的接口。
根據使用的後端存儲,數據存儲可以是vSAN、VMFS或NFS:
●VSAN支持可提供強大性能和可靠性的超聚合基礎架構解決方案。VSAN的優點是簡化了存儲管理功能特性,具有諸如在vSphere IaaS層上驅動的存儲策略等功能。
●VMFS(虛擬機文件系統)是壹個群集文件系統,允許虛擬化擴展到多個VMware vSphere服務器的單個節點之外。VMFS通過提供對存儲池的***享訪問來提高資源利用率。
●NFS(網絡文件系統)是壹種分布式文件協議,可以像本地存儲壹樣通過網絡訪問存儲。
1)靜態和動態資源調撥
vSphere Cloud Provider提供兩種向Red Hat OpenShift容器平臺提供存儲的方法:靜態資源調配和動態資源調配。首選的方法是使用動態資源調配——讓IaaS平臺處理復雜性。與靜態資源調配不同,動態資源調配會自動觸發創建PV及其後端VMDK文件。這是壹種更安全的方式,對於在vSphere上提供可靠的Red Hat OpenShift容器平臺至關重要。
2)動態調撥
●為OpenShift集群定義默認的StorageClass
●在Kubernetes中創建Persistent Volume Claim
3)靜態調撥
●在vSphere存儲上創建虛擬磁盤並掛載到Red Hat OpenShift容器平臺節點
●在OpenShift中為該磁盤創建持久卷(PV)
●創建壹個持久卷,申請壹個PVC
●允許POD認領PVC
與SPBM壹起使用vSphere Cloud Provider,可以讓vSphere和OpenShift管理員了解存儲,並讓他們能夠在不增加OpenShift層復雜性的情況下利用後端存儲功能。
二、網絡(SDN)
NSX-T數據中心通過NSX容器插件(NCP)幫助OpenShift客戶簡化了網絡和基於網絡的安全性。NCP在IaaS級別提供OpenShift和VMware NSX Manager之間的接口。
NCP在每個OpenShift節點上運行,並將容器的網絡接口連接到NSX覆蓋網絡。它監視容器生命周期事件,並通過調用NSX API管理容器的網絡資源,如負載平衡器、邏輯端口、交換機、路由器和安全組。這包括客戶vSwitch的編程,以便在容器接口和虛擬網絡接口卡(VNIC)之間標記和轉發容器流量。
NCP提供如下功能:
●自動為OpenShift集群創建NSX-T邏輯拓撲,並為每個OpenShift命名空間創建單獨的邏輯網絡
●將OpenShift pods連接到邏輯網絡,並分配IP和MAC地址
●支持網絡地址轉換(NAT),並為每個OpenShift命名空間分配壹個單獨的SNAT IP
●使用NSX-T分布式防火墻實施OpenShift網絡策略
●支持進出網絡策略
●在網絡策略中支持IPBlock選擇器
●當為網絡策略指定標簽選擇器時,支持matchLabels和MatchExpression
●使用NSX-T的7層負載均衡器實現OpenShift路由器
●通過TLS edge termination支持HTTP路由和HTTPS路由
●支持具有備用後端和通配符子域的路由
●為NSX-T邏輯交換機端口命名空間、pod名稱創建標簽,標記pod,並允許管理員基於標記定義NSX-T安全組和策略。
1)微分段
NSX-T(通過NCP)可以使用預定義的基於標簽的規則和每個命名空間的Kubernetes網絡策略,將微分段應用到OpenShift pod。預定義的標記規則使您能夠在部署之前根據業務邏輯定義防火墻策略,而不是使用諸如靜態IP地址等效率較低的方法來制定安全策略。使用此方法,NSX-T中定義的安全組具有入口和出口策略,並進行了微分段,以保護敏感應用程序和數據,可以達到POD和容器底層級別。
最後,NSX-T為OpenShift集群提供了完整的網絡可跟蹤性和可視性。NSX-T為Kubernetes提供了內置的操作工具,包括:
●端口連接
●流量追蹤
●端口鏡像
●IpFIX
以上方法為DevOps和專用網絡團隊提供對OpenShift容器網絡的更好可見性,使網絡管理員和OpenShift管理員在診斷和排除問題時能夠有***同語言。
三、總結
VMware SDDC提供了彈性、可擴展的基礎架構,與VMware的Kubernetes解決方案以及Red Hat等關鍵合作夥伴的解決方案緊密集成。
展望未來,VMware和Red Hat都致力於支持我們的***同客戶和Kubernetes社區,***同目標是通過可參考體系結構提供更好的產品集成,該體系結構使改進的工具能夠在VMware的SDDC和Red Hat OpenShift容器平臺上交付和管理雲本機應用程序。
原文鏈接:
ArthurGuo 職場老司機。21世紀初開始擁抱開源,後轉型項目管理。現在某雲計算公司擔任技術總監。掌握多門計算機語言,但更擅長人類語言。愛玩文字,不喜毒舌。