Paragon Automation系统需求
在安装 Paragon Automation 软件之前,请确保您的系统满足我们在这些部分中描述的要求。
要确定实施 Paragon Automation 所需的资源,您必须了解 Paragon Automation 底层基础架构的基础知识。
Paragon Automation 是微服务的集合,这些微服务通过 API 相互交互,并在 Kubernetes 集群的容器内运行。Kubernetes 群集是一组运行容器化应用的节点或虚拟机 (VM)。
Kubernetes 集群由一个或多个主节点和工作节点组成。
-
控制平面(主)节点 — 主节点执行 Kubernetes 控制平面功能。
-
计算(工作器)节点 - 工作器节点提供运行 Pod 的资源。工作节点没有控制平面功能。
这两种类型的节点可以单独部署,也可以在同一 VM 中共同定位。如果将这两种角色所需的组件安装在同一节点中,则单个节点可以同时充当主节点和辅助节点。
在 Paragon Automation 中,默认情况下,主节点还充当工作节点。
您需要考虑预期系统的容量(要管理的设备数量、用例等)、所需的可用性级别以及预期系统的性能,以确定以下群集参数:
- 群集中的节点总数
- 每个节点上的资源量(CPU、内存和磁盘空间)
- 充当主节点和工作节点的节点数
本主题稍后将介绍每个节点上的资源量。
Paragon Automation 实施
Paragon Automation 在 Kubernetes 集群之上实施,该集群由一个或多个主节点和一个或多个工作节点组成。Paragon Automation 以多节点群集的形式实施。功能群集至少需要三个同时用作主节点和工作节点的节点,以及一个用作仅工作节点的节点。四节点群集是推荐且受支持的实现方式。
此实现不仅可以提高性能,还可以在群集中实现高可用性:
-
控制平面高可用性 — 同时作为主节点和工作节点的三个节点提供所需的控制平面冗余。当单个节点发生故障时,群集保持正常运行。不建议主节点超过三个。
-
工作负载高可用性 - 为实现工作负载高可用性和工作负载性能,您必须有多个辅助角色。在 Paragon Automation 中,三个同时用作主节点和工作节点的节点,以及一个用作仅工作节点的节点,提供工作负载高可用性。
-
存储高可用性 — 为了实现存储高可用性,所有节点都提供 Ceph 存储。
硬件要求
本节介绍 Paragon Automation 群集中每个节点虚拟机出于评估目的或小型部署所需的最低硬件资源。
群集节点的计算、内存和磁盘要求可能因系统的预期容量而异。预期容量取决于要上线和监控的设备数量、传感器类型以及遥测消息的频率。如果增加设备数量,则需要更高的 CPU 和内存容量。
要获得生产部署的规模和规模估算并讨论详细的尺寸测量要求,请联系您的瞻博网络合作伙伴或瞻博网络销售代表。Paragon Automation 2.0.0 版支持最多 150 台设备的扩展。
群集中的四个节点中的每一个都必须具有:
-
16 核 vCPU
-
32 GB 内存
-
300 GB 固态硬盘
虚拟机不需要位于同一台服务器上,但需要能够通过同一第 2 层网络进行通信。您需要一台或多台具有足够 CPU、内存、磁盘空间的服务器来容纳本节中列出的硬件资源。
软件要求
使用 VMware ESXi 8.0 部署 Paragon Automation。
网络要求
这四个节点必须能够通过 SSH 相互通信。节点必须能够同步到 NTP 服务器。SSH 会在虚拟机创建过程中自动启用,并且在群集创建过程中,系统会要求你输入 NTP 服务器地址。确保没有防火墙阻止 NTP 或阻止节点之间的 SSH 流量,以防它们位于不同的服务器上。
您需要在同一 子网中提供以下可用于安装的地址。
-
四个接口 IP 地址,四个节点各一个
-
互联网网关 IP 地址
-
两个虚拟 IP (VIP) 地址,用于:
-
在 GNMI、OC-TERM(来自设备的 SSH 连接)和 Web UI 之间共享的通用入口 IP 地址 - 这是一个通用的 VIP 地址,在多个服务之间共享,用于从群集外部访问 Paragon Automation。
-
Paragon Active Assurance 测试代理网关 — 此 VIP 地址向 Paragon Active Assurance 测试代理端点提供基于 HTTP 的流量。
VIP 地址将添加到设备与 Paragon Automation 建立连接所需的出站 SSH 配置中。OC-TERM 和 GNMI 的出站 SSH 命令都使用 VIP 地址。
-
-
(选答)映射到 VIP 地址的主机名 - 除了 VIP 地址,您还可以让设备使用主机名连接到 Paragon Automation。但是,您必须确保主机名和 VIP 地址在 DNS 中正确映射,并且您的设备必须能够连接到 DNS。如果将 Paragon Automation 配置为使用主机名,则主机名将添加到出站 SSH 配置中,而非 VIP 地址。
图 2 显示了安装 Paragon Automation 群集所需的 IP 和 VIP 地址。该图显示了部署群集的两种方法,即在一台或两台服务器上。
您必须允许节点之间的群集内通信。具体而言,您必须使 表 1 中列出的端口保持打开状态以进行通信。
| 港口 |
用法 |
从 |
自 |
评论 |
|---|---|---|---|---|
| 基础架构端口 | ||||
| 22 |
SSH 管理 |
所有群集节点 |
所有群集节点 |
需要密码或 SSH 密钥 |
| 2222 TCP |
Paragon Shell 配置同步 |
所有群集节点 |
所有群集节点 |
需要密码或 SSH 密钥 |
| 443 TCP |
注册表的 HTTPS |
所有群集节点 |
主节点 |
匿名读取访问 写入权限已通过身份验证 |
| 2379 TCP |
etcd 客户端端口 |
主节点 |
主节点 |
基于证书的身份验证 |
| 2380 TCP |
etcd 对等端口 |
主节点 |
主节点 |
基于证书的身份验证 |
| 5473
|
Calico CNI 与 Typha |
所有群集节点 |
所有群集节点 |
— |
| 6443 |
Kubernetes API |
所有群集节点 |
所有群集节点 |
基于证书的身份验证 |
| 7472 TCP |
MetalLB 公制端口 |
所有群集节点 |
所有群集节点 |
匿名只读,无写入权限 |
| 7946 UDP |
MetalLB 成员选举端口 |
所有群集节点 |
所有群集节点 |
— |
| 8443 | 用于注册表数据同步的 HTTPS |
主节点 |
主节点 |
匿名读取访问 写入权限已通过身份验证 |
| 9345 |
rke2-服务器 |
所有群集节点 |
所有群集节点 |
基于令牌的身份验证 |
| 10250 |
Kubelet 指标 |
所有群集节点 |
所有群集节点 |
标准 Kubernetes 身份验证 |
| 10260 |
RKE2 云控制器 |
所有群集节点 |
所有群集节点 |
标准 Kubernetes 身份验证 |
| Calico CNI 端口 |
||||
| 4789 UDP |
使用 VXLAN 的 Calico CNI |
所有群集节点 |
所有群集节点 |
— |
| 5473 TCP |
Calico CNI 与 Typha |
所有群集节点 |
所有群集节点 |
— |
| 51820 UDP |
使用 Wireguard 的 Calico CNI |
所有群集节点 |
所有群集节点 |
— |
必须打开以下端口才能从群集外部进行通信。
| 港口 |
用法 |
从 |
自 |
|---|---|---|---|
| 443 |
Web GUI + API |
外部 用户计算机/台式机 |
Web GUI 入口 VIP 地址 |
| 443 |
Paragon Active Assurance 测试代理 |
外部 网络设备 |
Paragon Active Assurance 测试代理 VIP 地址 |
| 2200 |
OC 术语 |
外部 网络设备 |
Web GUI 入口 VIP 地址 |
| 6800 |
Paragon Active Assurance 测试代理 |
外部 网络设备 |
Paragon Active Assurance 测试代理 VIP 地址 |
| 32767 |
gNMI |
外部 网络设备 |
Web GUI 入口 VIP 地址 |
Web 浏览器要求
最新版本的 Google Chrome、Mozilla Firefox 和 Safari。
我们建议您使用 Google Chrome。