使用安装程序界面部署管理集群

本主题介绍如何使用 Tanzu Kubernetes Grid 安装程序界面将管理集群部署到未启用 vSphere with Tanzu 主管时的 vSphere、Amazon Web Services (AWS) 和 Microsoft Azure。Tanzu Kubernetes Grid 安装程序界面将引导您完成管理集群的部署过程,并提供不同的配置以供选择或重新配置。如果这是您首次将管理集群部署到给定的目标平台,建议使用安装程序界面,但必须从配置文件进行部署的情况除外。

重要

Tanzu Kubernetes Grid v2.4.x 是支持在 AWS 和 Azure 上创建独立 TKG 管理集群的最新 TKG 版本。Tanzu Kubernetes Grid v2.5 版本中将移除在 AWS 和 Azure 上创建独立 TKG 管理集群的功能。

从现在开始,VMware 建议您使用 Tanzu Mission Control 创建本机 AWS EKS 和 Azure AKS 集群,而不是在 AWS 和 Azure 上创建新的独立 TKG 管理集群或新的 TKG 工作负载集群。有关如何使用 Tanzu Mission Control 创建本机 AWS EKS 和 Azure AKS 集群的信息,请参见《Tanzu Mission Control》文档中的管理 AWS EKS 集群的生命周期管理 Azure AKS 集群的生命周期

有关详细信息,请参见《VMware Tanzu Kubernetes Grid v2.4 发行说明》中的弃用 AWS 和 Azure 上的 TKG 管理和工作负载集群

必备条件

在部署管理集群之前,必须确保您的环境满足目标平台的要求。

常规必备条件

基础架构必备条件

每个目标平台都有部署管理集群的额外必备条件。

vSphere
确保您已满足 准备将管理集群部署到 vSphere 中列出的所有要求。
注意

在 vSphere 8 中的 vSphere with Tanzu 上,无需部署管理集群。请参见 vSphere with Tanzu 主管是管理集群

AWS
Azure


启动安装程序界面

默认情况下,Tanzu Kubernetes Grid 将所有管理集群的 kubeconfig 保存在 ~/.kube-tkg/config 文件中。如果要将管理集群的 kubeconfig 文件保存到其他位置,请在运行 tanzu mc create 之前设置 KUBECONFIG 环境变量。

  1. 在下载并安装了 Tanzu CLI 的计算机上,使用 --ui 选项运行 tanzu mc create 命令:

    tanzu management-cluster create --ui
    

    如果满足必备条件,安装程序界面将在浏览器中启动,并引导您完成配置管理集群的步骤。

    注意

    tanzu mc create 命令需要一段时间才能完成。tanzu mc create 正在运行时,请勿在同一引导计算机上运行 tanzu mc create 的其他调用以部署多个管理集群、更改上下文或编辑 ~/.kube-tkg/config

    下面的安装程序接口选项部分介绍了如何更改安装程序接口的运行位置,包括在与 Tanzu CLI 不同的计算机上运行安装程序界面。

  2. 单击 VMware vSphereAmazon EC2Microsoft Azure 对应的部署按钮。

    Tanzu Kubernetes Grid 安装程序界面的欢迎页面,含有“部署到 vSphere”按钮

安装程序界面选项

默认情况下,tanzu mc create --ui 会通过默认浏览器中在 http://127.0.0.1:8080 以本地方式打开安装程序界面。您可以使用 --browser--bind 选项来控制安装程序界面的运行位置:

  • --browser 指定要在其中打开界面的本地浏览器。
    • 支持的值包括 chromefirefoxsafariieedgenone
    • none--bind 结合使用,以在不同的计算机上运行该接口,如下所述。
  • --bind 指定要从中为接口提供服务的 IP 地址和端口。

    注意

    从非默认 IP 地址和端口提供安装程序接口可能会使 Tanzu CLI 在接口运行时面临潜在的安全风险。VMware 建议将 IP 和端口传递到安全网络上的 –bind 选项。

--browser--bind 的用例包括:

  • 如果另一个进程已在使用 http://127.0.0.1:8080,请使用 --bind 从其他本地端口为接口提供服务。
  • 如果要通过 SSH 加密链路登录到引导计算机或 X11-转发其显示器,要使安装程序界面在本地显示,您可能需要使用 --browser none
  • 要运行 Tanzu CLI 并在远程计算机上创建管理集群,并在本地或其他地方运行安装程序界面,请执行以下操作:

    1. 在远程引导计算机上,使用以下选项和值运行 tanzu mc create --ui

      • --bind:远程计算机的 IP 地址和端口
      • --browsernone
      tanzu mc create --ui --bind 192.168.1.87:5555 --browser none
      
    2. 在本地 UI 计算机上,浏览到远程计算机的 IP 地址以访问安装程序界面。

配置目标平台

配置目标平台的选项取决于您使用的提供程序。

vSphere
配置到 vSphere 实例的连接。
  1. IaaS 提供程序部分中,输入要在其中部署管理集群的 vCenter Server 实例的 IP 地址或完全限定域名 (FQDN)。

    Tanzu Kubernetes Grid 中对 IPv6 地址的支持有限;请参见在 IPv6 上部署集群(仅限 vSphere)。如果未部署到仅 IPv6 网络环境,则必须在以下步骤中提供 IPv4 地址。

  2. 输入具有 Tanzu Kubernetes Grid 操作所需特权的用户帐户的 vCenter Single Sign-On 用户名和密码。

    帐户名称必须包含域,例如 [email protected]

    配置到 vSphere 的连接

  3. (可选)在 SSL 指纹验证下,选择禁用验证。如果选中该复选框,安装程序在连接到 vCenter Server 时会绕过证书指纹验证。

  4. 按一下连接

  5. 验证 vCenter Server 证书的 SSL 指纹,如果有效,请单击继续 (Continue)。仅当取消选中上面的禁用验证复选框时,才会显示此屏幕。

    验证 vCenter Server 证书指纹

    有关如何获取 vCenter Server 证书指纹的信息,请参见获取 vSphere 证书指纹

  6. 如果要将管理集群部署到 vSphere 7 或 vSphere 8 实例,请确认是否要继续部署。

    在 vSphere 7 和 vSphere 8 上,vSphere with Tanzu 提供一个内置主管,该主管用作管理集群,并且与独立管理集群相比,可提供更好的体验。在主管不存在时,支持将 Tanzu Kubernetes Grid 管理集群部署到 vSphere 7 或 vSphere 8,但首选选项是启用 vSphere with Tanzu 并使用主管(如果可能)。Azure VMware 解决方案不支持主管集群,因此需要部署管理集群。

    有关信息,请参见《使用 Tanzu CLI 创建和管理 TKG 2.3 工作负载集群》中的 vSphere with Tanzu 主管是管理集群

    如果启用了 vSphere with Tanzu,安装程序界面会指出,您可以使用 TKG 服务作为运行 Kubernetes 工作负载的首选方法,在这种情况下,不需要独立的管理集群。它提供了一个选择:

    • 配置 vSphere with Tanzu 打开 vSphere Client,以便您可以按照 vSphere 8 文档中的配置和管理主管中所述配置主管。

    • 部署 TKG 管理集群支持继续为 vSphere 7 或 vSphere 8 以及根据需要为 Azure VMware 解决方案部署独立管理集群。

    将管理集群部署到 vSphere 8

  7. 数据中心下拉菜单中选择要部署管理集群的数据中心。

  8. 添加 SSH 公钥。要添加 SSH 公钥,请使用浏览文件选项,或者手动将密钥的内容粘贴到文本框中。单击下一步 (Next)

    选择数据中心并提供 SSH 公钥

AWS
确认连接到 AWS 帐户。
  1. IaaS 提供程序部分中,选择如何为 AWS 帐户提供凭据。您有两个选项:

    • 凭据配置文件(推荐):选择已存在的 AWS 凭据配置文件。如果选择配置文件,则为配置文件配置的访问密钥和会话令牌信息将传递到安装程序,而不会在 UI 中显示实际值。有关设置凭据配置文件的信息,请参阅凭据文件和配置文件

      选择凭证配置文件

    • 一次性凭据:直接在 AWS 帐户的访问密钥 ID私有访问密钥字段中输入 AWS 帐户凭据。如果您的 AWS 帐户配置为需要临时凭据,则在会话令牌中选择性地指定 AWS 会话令牌。有关获取会话令牌的详细信息,请参见 通过 AWS 资源使用临时凭据

      输入 AWS 凭据

  2. 地理区域中,选择要在其中部署管理集群的 AWS 地理区域。

    如果要部署生产管理集群,此地理区域必须至少具有三个可用区。

  3. 按一下连接。如果连接成功,单击下一步(Next)
  4. VPC for AWS 部分中,从下拉菜单中选择 VPC ID。选择 VPC 时,将自动填充 VPC CIDR 块。如果要在 Internet 受限的环境(如代理或气隙环境)中部署管理集群,请选中这不是面向 Internet 的 VPC (This is not an internet facing VPC) 复选框。

    使用现有 VPC

Azure
配置与 Microsoft Azure 帐户的连接。
重要

如果您是首次使用新版本的 Tanzu Kubernetes Grid(例如 v2.3)将管理集群部署到 Azure,请确保您已接受该版本的基础映像许可证。有关信息,请参见准备将管理集群部署到 Microsoft Azure 中的接受基础映像许可证

  1. IaaS 提供程序部分中,输入 Azure 帐户的租户 D客户端 ID客户端密钥订阅 ID 值。您在注册 Azure 应用并使用 Azure 门户为其创建密钥时记录了这些值。

    配置与 Azure 的连接

  2. 选择 Azure 环境公有云美国政府云。您可以通过从配置文件部署并设置 AZURE_ENVIRONMENT 来指定其他环境。
  3. 按一下连接。安装程序将验证连接并将按钮标签更改为已连接
  4. 选择要在其中部署管理集群的 Azure 地理区域。
  5. 将 SSH 公钥的内容(如 .ssh/id_rsa.pub)粘贴到文本框中。

  6. 资源组下,选择选择现有资源组创建新资源组单选按钮。

    • 如果选择选择现有资源组 (Select an existing resource group),请使用下拉菜单选择该组,然后单击下一步 (Next)

      选择现有资源组

    • 如果选择创建新资源组 (Create a new resource group),请输入新资源组的名称,然后单击下一步 (Next)

      创建新资源组

  7. VNet for Azure 部分中,选择 在 Azure 上创建新的 VNet 选择现有的 VNet 单选按钮。

    • 如果选择在 Azure 上创建新的 VNet,请使用下拉菜单选择要在其中创建 VNet 的资源组并提供以下内容:

      • VNet 的名称和 CIDR 块。默认值为 10.0.0.0/16
      • 控制平面子网的名称和 CIDR 块。默认值为 10.0.0.0/24
      • 工作节点子网的名称和 CIDR 块。默认值为 10.0.1.0/24

      在 Azure 上创建新的 VNet

      配置这些字段后,单击下一步 (Next)

    • 如果选择选择现有的 Vnet (Select an existing VNet),请使用下拉菜单选择 VNet 所在的资源组、VNet 名称、控制平面和工作节点子网,然后单击下一步 (Next)

      选择现有 VNet

    • 要使管理集群成为专用集群,如 Azure 专用集群中所述,请启用专用 Azure 集群复选框。


配置管理集群设置

配置管理集群的某些选项取决于您使用的提供程序。

  1. 管理集群设置部分中,选择开发生产磁贴。

    • 如果选择开发,安装程序将部署具有单个控制平面节点和单个工作节点的管理集群。
    • 如果选择生产,安装程序将部署具有三个控制平面节点和三个工作节点的高可用性管理集群。
  2. 开发生产磁贴中,使用实例类型下拉菜单为控制平面节点虚拟机选择不同的 CPU、RAM 和存储组合。

    根据将运行控制平面节点虚拟机的预期工作负载选择配置。例如,某些工作负载可能需要较大的计算容量,但需要的存储相对较少,而其他工作负载可能需要大量存储和较少的计算容量。如果在生产磁贴中选择实例类型,则会自动为工作节点实例类型选择能选择的实例类型。如有必要,可以更改此设置。

    如果您计划向 Tanzu Mission Control 注册管理集群,请确保您的工作负载集群满足《Tanzu Mission Control》文档中的向 Tanzu Mission Control 注册 Tanzu Kubernetes 集群的要求中列出的要求。

    vSphere
    从预定义的 CPU、内存和存储配置中选择大小。最低配置为 2 个 CPU 和 4 GB 内存。
    AWS
    选择实例大小。下拉菜单按字母顺序列出选项,而不是按大小列出。最低配置为 2 个 CPU 和 8 GB 内存。兼容的实例类型列表因地理区域而异。有关不同大小实例的配置信息,请参见 Amazon EC2 实例类型
    Azure
    选择实例大小。最低配置为 2 个 CPU 和 8 GB 内存。兼容的实例类型列表因地理区域而异。有关 Azure 中不同大小的节点实例配置的信息,请参阅 Azure 中虚拟机的大小

    选择控制平面节点配置

  3. 可选择性地输入 Kubernetes 集群的名称。

    如果未指定名称,Tanzu Kubernetes Grid 将自动生成唯一名称。如果指定名称,该名称必须以字母结尾,而不是以数字字符结尾,并且必须符合 RFC 952 所述的和 RFC 1123 中修订的 DNS 主机名要求。

  4. (可选)如果要停用 MachineHealthCheck,请选中计算机运行状况检查 (Machine Health Checks) 复选框。部署后,可以使用 CLI 在集群上激活或停用 MachineHealthCheck。有关说明,请参见为工作负载集群配置计算机运行状况检查

  5. (可选)选中启用审核日志记录 (Enable Audit Logging) 复选框以记录对 Kubernetes API 服务器发出的请求。有关详细信息,请参见审计日志记录

  6. 配置特定于目标平台的其他设置。

    vSphere
    配置特定于 vSphere 的设置。
    1. 工作节点实例类型下,选择工作节点虚拟机的配置。
    2. 控制平面端点提供程序下,选择 Kube-VipNSX Advanced Load Balancer 以选择要用于控制平面 API 服务器的组件。

      要使用 NSX Advanced Load Balancer,必须先将其部署到 vSphere 环境中。有关信息,请参见安装 NSX Advanced Load Balancer。有关使用 NSX Advanced Load Balancer 作为控制平面端点提供程序优势的详细信息,请参见配置 NSX Advanced Load Balancer

    3. 控制平面端点下,输入发送到管理集群的 API 请求的静态虚拟 IP 地址或 FQDN。如果使用 Kube-Vip,则需要此设置。

      确保此 IP 地址不在 DHCP 范围内,但与 DHCP 范围位于同一子网中。如果将 FQDN 映射到 VIP 地址,则可以指定 FQDN 而不是 VIP 地址。有关详细信息,请参见静态 VIP 和 Load Balancers for vSphere

      如果使用 NSX Advanced Load Balancer 作为控制平面端点提供程序,则会从 NSX Advanced Load Balancer 静态 IP 池中自动分配 VIP。

      配置 vSphere 控制平面端点

    AWS
    配置特定于 AWS 的设置。
    1. EC2 密钥对中,指定已在您的 AWS 帐户中注册的 AWS 密钥对的名称,并在要部署管理集群的地理区域中指定该密钥对的名称。您可能已在配置 AWS 帐户凭据和 SSH 密钥中对此进行设置。

    2. (可选)如果要在其中部署管理集群的可用区中已存在 Bastion 主机,请停用 Bastion 主机复选框。

      如果将此选项保持启用状态,Tanzu Kubernetes Grid 将为您创建 Bastion 主机。

    3. 如果您是首次将管理集群部署到此 AWS 帐户,请选中自动创建 AWS CloudFormation 堆栈 (Automate creation of AWS CloudFormation Stack) 复选框。

      此 CloudFormation 堆栈创建 Tanzu Kubernetes Grid 在 AWS 上部署和运行集群所需的身份和访问管理 (IAM) 资源。有关详细信息,请参见准备将管理集群部署到 AWS 中的权限由 Tanzu Kubernetes Grid 设置

    4. 配置可用区:

      1. 可用区 1 下拉菜单中选择管理集群的可用区。如果选择了开发图标,则只能选择一个可用区。请参见下图。

        配置集群

      2. AZ1 工作节点实例类型下拉菜单中,从此可用区中的可用实例列表中选择工作节点虚拟机的配置。

      3. 如果选择了上面的 生产图标,请使用可用区 2可用区 3AZ 工作节点实例类型下拉菜单为管理集群选择三个唯一的可用区。

        Tanzu Kubernetes Grid 部署管理集群(包括三个控制平面节点和三个工作节点)时,它会在这些可用区之间分配控制平面节点和工作节点。

      4. 使用 VPC 公用子网 (VPC public subnet)VPC 专用子网 (VPC private subnet) 下拉菜单选择 VPC 上的子网。

        如果要部署生产管理集群,请为所有三个可用区选择子网。如果选择了上一节中的这不是面向 Internet 的 VPC,则公用子网不可用。下图显示了开发 (Development) 磁贴。

      设置 VPC 子网

    Azure
    工作节点实例类型下,选择工作节点虚拟机的配置。
  7. 单击下一步 (Next)

配置VMware NSX Advanced Load Balancer

配置 NSX Advanced Load Balancer 仅适用于vSphere部署。

vSphere
VMware NSX Advanced Load Balancer (ALB) 为 vSphere 提供 L4+L7 负载均衡解决方案。NSX ALB 包含一个与 Kubernetes API 集成的 Kubernetes 运算符,以管理工作负载的负载均衡和输入资源的生命周期。要使用 NSX ALB,必须先在 vSphere 环境中对其进行部署。有关信息,请参见 安装 NSX Advanced Load Balancer
重要

在 vSphere 8 上,要将 NSX Advanced Load Balancer 与 TKG 独立管理集群及其工作负载集群结合使用,您需要 NSX ALB v22.1.2 或更高版本以及 TKG v2.1.1 或更高版本。

在可选的 VMware NSX Advanced Load Balancer 部分中,可以配置 Tanzu Kubernetes Grid 以使用 NSX Advanced Load Balancer。默认情况下,所有工作负载集群都将使用负载均衡器。

  1. 对于控制器主机,输入控制器虚拟机的 IP 地址或 FQDN。
  2. 输入在部署控制器主机时为其设置的用户名和密码。
  3. 将用于生成控制器证书的证书颁发机构的内容粘贴到控制器证书颁发机构文本框中,然后单击验证凭据 (Verify Credentials)

    证书内容以 -----BEGIN CERTIFICATE----- 开头。

    如果您具有自签名控制器证书,则必须使用 Avi 控制器 UI (Avi Controller UI) > 管理 (Administration) > 设置 (Settings) > 访问设置 (Access Settings) 选项卡的系统访问设置 (System Access Settings) > SSL 证书 (SSL Certificate) 下配置的 SSL/TLS 证书。可以检索证书内容,如 Avi 控制器设置:自定义证书中所述。

    “Avi 管理员” > “系统访问设置”> “SSL 证书”:System-Default-Portal-Cert、System-Default-Portal-Cert-EC256

  4. 使用云名称下拉菜单选择在 NSX Advanced Load Balancer 部署中创建的云。

    例如,Default-Cloud

  5. 工作负载集群 (Workload Cluster) 管理集群 (Management Cluster) 部分中,使用服务引擎组名称 (Service Engine Group Name) 下拉菜单选择一个服务引擎组。

    例如,Default-Group

  6. 工作负载集群 - 数据平面 VIP 网络名称 (Workload Cluster - Data Plane VIP Network Name) 下拉菜单中,选择负载均衡器浮动 IP 池所在的网络的名称。

    将自动选择相同的网络,以供工作负载集群和管理集群的数据平面和控制平面使用。您可以根据需要更改这些设置。

    NSX ALB 的 VIP 网络必须与 Tanzu Kubernetes Grid 使用的 Kubernetes 网络位于同一 vCenter Server 实例中。这样,NSX Advanced Load Balancer 可以在 vCenter Server 中发现 Kubernetes 网络,并部署和配置服务引擎。

    您可以在 NSX Advanced Load Balancer 界面的基础架构 > 网络视图中查看该网络。

  7. 工作负载集群 - 数据平面 VIP 网络 CIDR (Workload Cluster - Data Plane VIP Network CIDR)工作负载集群 - 控制平面 VIP 网络 CIDR (Workload Cluster - Control Plane VIP Network CIDR) 下拉菜单中,选择或输入子网的 CIDR 以用于负载均衡器 VIP,以供工作负载集群和管理集群的数据平面和控制平面使用。

    这来自于 VIP 网络的其中一个已配置子网。您可以在 NSX Advanced Load Balancer 界面的基础架构 > 网络视图中查看特定网络的子网 CIDR。相同的 CIDR 将自动应用于相应的管理集群设置中。您可以根据需要更改这些设置。

    NSX ALB 工作负载和管理集群设置

  8. (可选)输入一个或多个集群标签,以确定要在其中有选择地启用 NSX ALB 的集群,或者为不同集群组自定义 NSX ALB 设置。

    默认情况下,将在使用此管理集群部署的所有工作负载集群上启用 NSX Advanced Load Balancer,并且这些集群共享同一 VMware NSX Advanced Load Balancer 控制器、云、服务引擎组和 VIP 网络。这以后无法更改。

    您可以选择性地仅在部分集群上启用 NSX ALB,也可以保留稍后为不同集群组自定义NSX ALB 设置的功能。在以下场景中,这非常有用:

    • 您希望将不同的工作负载集群集配置为不同的服务引擎组,以实施隔离或支持多个服务类型的负载均衡器,而不是一个服务引擎组的容量。
    • 您希望为不同的云配置不同的工作负载集群集,因为它们部署在不同的站点中。

    要有选择地(而不是全局)启用 NSX ALB,请添加格式为 key: value 的标签。您在此处定义的标签将用于创建标签选择器。只有工作负载集群 Cluster 具有匹配标签的对象才会启用负载均衡器。因此,您负责确保工作负载集群的 Cluster 对象具有相应的标签。

    例如,如果使用 team: tkg 在工作负载集群上启用负载均衡器:

    1. 设置 kubectl 为管理集群的上下文。

      kubectl config use-context management-cluster@admin
      
    2. 使用定义的标签标记相应工作负载集群的 Cluster 对象。如果定义多个键值,则需要应用所有这些键值。

      kubectl label cluster <cluster-name> team=tkg
      

    NSX ALB 标签

  9. 单击下一步 (Next) 以配置元数据。

AWS
AWS 上的 Tanzu Kubernetes Grid on 会在部署管理集群时自动创建负载均衡器。
Azure
Azure 上的 Tanzu Kubernetes Grid 会在部署管理集群时自动创建负载均衡器。


配置元数据

此部分适用于所有目标平台。

在可选的元数据部分中,可以选择性地提供有关此管理集群的描述性信息。

您在此处指定的任何元数据将应用于管理集群及其管理的工作负载集群,并且可以使用您选择的集群管理工具进行访问。

  • 位置:运行集群的地理位置。
  • 描述:此管理集群的描述。描述的最大长度为 63 个字符,并且必须以字母开头和结尾。它只能包含小写字母、数字和连字符,不能包含空格。
  • 标签:可帮助用户识别集群的键/值对,例如,release : betaenvironment : stagingenvironment : production。有关详细信息,请参见 Kubernetes 文档中的标签和选择器
    您可以单击添加以将多个标签应用于集群。

添加集群元数据

如果要部署到 vSphere,请单击下一步 (Next) 转到配置资源。如果要部署到 AWS 或 Azure,请单击下一步 (Next) 转到配置 Kubernetes 网络和代理

配置 vSphere 资源

本节仅适用于 vSphere 部署。

vSphere
资源部分中,选择 vSphere 资源以供管理集群使用。
  1. 选择要放置管理集群虚拟机的虚拟机文件夹。
  2. 选择管理集群要使用的 vSphere 数据存储。仅当从配置文件部署管理集群时,才能指定虚拟机的存储策略。

  3. 指定可用区 (Specify Availability Zones) 下,选择管理集群节点的放置位置,然后填写详细信息:

    • 无 AZ:要按集群、主机或资源池放置节点,请选择要在其中放置节点的集群、主机或资源池。

      选择集群、主机或资源池(无 AZ)

    • 基于集群的 AZ:要将节点分散到数据中心内的多个计算集群,请通过以下方式之一指定其 AZ:

      • 按名称或类别选择包含 AZ 的地理区域或区域。
      • 最多按名称、集群或类别选择三个特定的 AZ。

      按地理区域、区域或单独选择基于集群的 AZ

    • 基于主机组的 AZ:要将节点分散到单个计算集群中的多个主机,请通过以下方式之一指定其 AZ:

      • 按名称或类别选择包含 AZ 的地理区域或区域。
      • 最多按名称、主机组或虚拟机组选择三个特定的 AZ。

      按地理区域、区域或单独选择基于主机组的 AZ

    注意

    如果 vSphere 中尚不存在适当的资源,则无需退出 Tanzu Kubernetes Grid 安装程序,请转到 vSphere 进行创建。然后,单击刷新按钮以选择新资源。

  4. 单击下一步 (Next) 以配置 Hubernetes 网络和代理。
AWS
此选项不适用于 AWS 部署。
Azure
此选项不适用于 Azure 部署。


配置 Kubernetes 网络和代理

此部分适用于所有目标平台,尽管您提供的一些信息取决于您使用的提供程序。

  1. Kubernetes 网络部分中,为 Kubernetes 服务配置网络连接,然后单击下一步 (Next)

    • (仅限 vSphere)网络名称下,选择一个 vSphere 网络以用作 Kubernetes 服务网络。
    • 查看集群服务 CIDR集群 Pod CIDR 范围。如果建议的 CIDR 范围 100.64.0.0/13100.96.0.0/11 不可用,请更新集群服务 CIDR集群 Pod CIDR 下的值。

    配置 Kubernetes 服务网络

  2. (可选)要将出站 HTTP(S) 流量从管理集群发送到代理(例如在 Internet 受限的环境中),请切换启用代理设置并按照以下说明输入您的代理信息。Tanzu Kubernetes Grid 将这些设置应用于 kubelet、containerd 和控制平面。

    您可以选择对 HTTP 流量使用一个代理,对 HTTPS 流量使用另一个代理,或者对 HTTP 和 HTTPS 流量使用相同的代理。

    重要

    部署集群后,无法更改代理。

    1. 要添加 HTTP 代理信息,请执行以下操作:

      1. HTTP 代理 URL 下,输入处理 HTTP 请求的代理的 URL。URL 必须以 http:// 开头。例如,http://myproxy.com:1234
      2. 如果代理需要身份验证,请在 HTTP 代理用户名HTTP 代理密码下,输入用于连接到 HTTP 代理的用户名和密码。

        注意

        使用安装程序界面部署管理集群时,不能在密码中使用非字母数字字符。

    2. 要添加 HTTPS 代理信息,请执行以下操作:

      • 如果要对 HTTP 和 HTTPS 流量使用相同的 URL,请选择对 https 代理使用相同的配置
      • 如果要对 HTTPS 流量使用不同的 URL,请执行以下操作:

        1. HTTPS 代理 URL 下,输入处理 HTTPS 请求的代理的 URL。URL 必须以 http:// 开头。例如,http://myproxy.com:1234
        2. 如果代理需要身份验证,请在 HTTPS 代理用户名HTTPS 代理密码下,分别输入用于连接到 HTTPS 代理的用户名和密码。

          注意

          使用安装程序界面部署管理集群时,不能在密码中使用非字母数字字符。

    3. 无代理下,输入必须绕过 HTTP(S) 代理的网络 CIDR 或主机名列表(以逗号分隔)。如果管理集群与基础架构在同一网络中运行,在同一代理后面,请将其设置为基础架构 CIDR 或 FQDN,以便管理集群直接与基础架构通信。

      例如,noproxy.yourdomain.com,192.168.0.0/24

      vSphere
      无代理列表中必须包含以下内容:
      • vCenter 的 IP 地址或主机名。无法代理流向 vCenter 的流量。
      • 网络名称下选择的 vSphere 网络的 CIDR。vSphere 网络 CIDR 包括控制平面端点的 IP 地址。如果在控制平面端点下输入了 FQDN,请将 FQDN 和 vSphere 网络 CIDR 添加到无代理。在内部,Tanzu Kubernetes Grid 会将 localhost127.0.0.1集群 Pod CIDR集群服务 CIDR.svc.svc.cluster.local 的值附加到在此字段中输入的列表。
      AWS
      在内部,Tanzu Kubernetes Grid 将 localhost127.0.0.1、您的 VPC CIDR、 集群 Pod CIDR集群服务 CIDR.svc.svc.cluster.local169.254.0.0/16 附加到您在此字段中输入的列表。
      Azure
      在内部,Tanzu Kubernetes Grid 将 localhost127.0.0.1、VNet CIDR、 集群 Pod CIDR集群服务 CIDR.svc.svc.cluster.local169.254.0.0/16168.63.129.16 附加到此字段中输入的列表。
      重要

      如果管理集群虚拟机需要与 Tanzu Kubernetes Grid 环境中的外部服务和基础架构端点进行通信,请确保上面配置的代理可以访问这些端点,或者将这些端点添加到无代理。根据您的环境配置,这可能包括但不限于 OIDC 或 LDAP 服务器、Harbor,以及在 vSphere 情况下的 VMware NSX 和 NSX Advanced Load Balancer。


配置身份管理

此部分适用于所有目标平台。有关 Tanzu Kubernetes Grid 如何实施身份管理的信息,请参见关于身份和访问管理

  1. 身份管理 (Identity Management) 部分中,可以选择停用启用身份管理设置 (Activate Identity Management Settings)

    配置外部身份提供程序

    您可以为概念证明部署停用身份管理,但强烈建议在生产部署中实施身份管理。如果停用身份管理,可以稍后再次激活。有关如何重新启用身份管理的说明,请参见配置身份管理中的在现有部署中启用和配置身份管理

  2. 如果启用身份管理,请选择 OIDCLDAPS

    选择下面的 OIDC 选项卡或 LDAPS 选项卡以查看配置信息。

    OIDC
    提供 OIDC 提供程序帐户的详细信息,例如 Okta。
    • 颁发者 URL:OIDC 服务器的 IP 或 DNS 地址。
    • 客户端 ID:从 OIDC 提供程序获取的 client_id 值。例如,如果您的提供程序是 Okta,请登录到 Okta,创建一个 Web 应用程序,然后选择客户端凭据选项以获取 client_idsecret
    • 客户端密钥:从 OIDC 提供程序获取的 secret 值。
    • 范围:令牌响应中要请求的其他范围的逗号分隔列表。例如,openid,groups,email
    • 用户名声明:用户名声明的名称。这用于在 JSON Web 令牌 (JWT) 声明中设置用户的用户名。根据您的提供商,输入声明,例如 user_nameemailcode
    • 组声明:您的组声明的名称。这用于在 JWT 声明中设置用户组。例如,groups

    配置外部身份提供程序

    LDAPS
    提供贵公司 LDAPS 服务器的详细信息。除 LDAPS 端点以外的所有设置都是可选的。
    • LDAPS 端点:LDAPS 服务器的 IP 或 DNS 地址。提供 LDAP 服务器的地址和端口,格式为 host:port
    • 绑定 DN:应用程序服务帐户的 DN。连接器使用这些凭据搜索用户和组。如果 LDAP 服务器提供匿名身份验证的访问权限,则不需要。
    • 绑定密码:应用程序服务帐户的密码(如果设置了绑定 DN)。

    提供用户搜索属性。

    • 基本 DN:开始 LDAP 搜索的点。例如,OU=Users,OU=domain,DC=io
    • 筛选器:LDAP 搜索要使用的可选筛选器。
    • 用户名:包含用户 ID 的 LDAP 属性。例如,uid, sAMAccountName

    提供组搜索属性。

    • 基本 DN:开始 LDAP 搜索的点。例如,OU=Groups,OU=domain,DC=io
    • 筛选器:LDAP 搜索要使用的可选筛选器。
    • 名称属性:保存组名称的 LDAP 属性。例如,cn
    • 用户属性:用户记录的属性,用作组记录的成员资格属性的值。例如,distinguishedName, dn
    • 组属性:保存用户/成员信息的组记录的属性。例如,member

    将 LDAPS 服务器 CA 证书的内容粘贴到根 CA文本框中。

    配置外部身份提供程序

    (可选)验证 LDAP 设置。

    1. 单击验证 LDAP 配置 (Verify LDAP Configuration) 选项
    2. 输入用户名和组名称。

      注意

      在 Tanzu Kubernetes Grid v1.4.x 及更高版本中,这些字段将被忽略,并恢复为用户名的 cn 以及组名称的 ou。有关此已知问题的更新,请参见 VMware Tanzu Kubernetes Grid 1.5 发行说明

    3. 单击启动 (Start)

      完成验证后,如果看到任何故障,则必须在后续步骤中仔细检查这些故障。

      注意

      LDAP 主机执行此检查,而不是管理集群节点。因此,即使此验证失败,LDAP 配置也可能正常工作。

  3. 单击下一步 (Next) 转到选择基本操作系统映像

选择基本操作系统映像

操作系统映像部分中,使用下拉菜单选择要用于部署 Tanzu Kubernetes Grid 虚拟机的操作系统和 Kubernetes 版本映像模板,然后单击下一步 (Next)

如何生成基础操作系统映像选项

操作系统映像下拉菜单包括满足以下所有条件的操作系统映像:

  • 映像在 IaaS 中可用。
    • 在 vSphere 上,必须按照将基础映像模板导入到 vSphere 中所述导入映像。您可以立即导入映像,而无需退出安装程序界面。导入后,使用“刷新”按钮将其显示在下拉菜单中。
    • 在 Azure 上,您必须接受许可证,如准备将管理集群部署到 Microsoft Azure接受基础映像许可证中所述。
  • 操作系统映像在运行管理集群的 Kubernetes 版本的 Tanzu Kubernetes 版本 (TKr) 的物料清单 (BoM) 文件中列出。
    • Tanzu Kubernetes Grid v2.3 管理集群在 Kubernetes v1.26.8 上运行。
    • 要使用自定义映像,请修改 TKr 的 BoM 文件以列出该映像,如构建计算机映像中所述。
    • vSphere、AWS 和 Azure 映像分别列在 BoM 的 ovaamiazure 块中。
  • IaaS 中的映像名称与其在 TKr BoM 中的标识符匹配:
    • vSphere、AWS 和 Azure 映像分别通过其 versionidsku 字段值进行标识。

完成部署

此部分适用于所有目标平台。

  1. 参与 CEIP (CEIP Participation) 部分中,可以选择取消选中复选框以退出 VMware 客户体验提升计划,然后单击下一步 (Next)

    您也可以在部署管理集群后选择加入或退出该计划。有关 CEIP 的信息,请参见管理 CEIP 的参与https://www.vmware.com/solutions/trustvmware/ceip.html

  2. 单击查看配置 (Review Configuration) 以查看已配置的管理集群的详细信息。如果要返回到安装程序向导以修改配置,请单击编辑配置 (Edit Configuration)

    单击查看配置 (Review Configuration) 时,安装程序将使用您在界面中指定的设置填充集群配置文件,该文件位于 ~/.config/tanzu/tkg/clusterconfigs 子目录中。您可以选择通过单击导出配置 (Export Configuration) 导出此配置文件的副本。

  3. 单击部署管理集群 (Deploy Management Cluster)

    部署管理集群可能需要几分钟时间。首次运行 tanzu mc create 所需的时间比后续运行更长,因为它必须将所需的 Docker 映像提取到引导计算机上的映像存储中。后续运行不需要此步骤,因此速度更快。您可以在安装程序界面或运行 tanzu mc create --ui 的终端中跟踪管理集群的部署进度。如果运行 tanzu mc create 的计算机在本地操作完成之前关闭或重新启动,则部署将失败。如果在部署完成之前无意中关闭了正在运行部署的浏览器或浏览器选项卡,则部署将在终端中继续进行。

    监控管理集群部署

  4. (可选)在等效 CLI 命令下,单击复制 (Copy) 按钮,为指定的配置复制 CLI 命令。此 CLI 命令包含安装程序填充的配置文件的路径。

  5. (仅限 vSphere)将管理集群部署到 vSphere 后,您必须将其控制平面节点的 IP 地址配置为静态地址,如 为控制平面配置 DHCP 预留(仅限 vSphere)中所述。

下一步操作

  • 保存集群配置文件:安装程序会将管理集群的配置保存到 ~/.config/tanzu/tkg/clusterconfigs 并生成格式为 UNIQUE-ID.yaml 的文件名。具有平面结构的该配置文件设置大写下划线变量,如 CLUSTER_NAME。部署完成后,您可以选择将配置文件重命名为令人难忘的内容,并将其保存在其他位置以供将来使用。安装程序还会为管理集群的 Cluster 对象生成 Kubernetes 样式的基于类的对象规范,该规范保存在与管理集群同名的文件中。此基于类的对象规范仅供参考。尚不支持从基于类的对象规范部署管理集群。有关 TKG 2.x 中的集群类型的详细信息,请参见《关于 Tanzu Kubernetes Grid》中的工作负载集群
  • 配置身份管理:如果为管理集群启用了 OIDC 或 LDAP 身份管理,则必须执行完成身份管理配置中所述的部署后步骤以启用访问。
  • 在 Tanzu Mission Control 中注册管理集群:如果要在 Tanzu Mission Control 中注册管理集群,请参见在 Tanzu Mission Control 中注册管理集群
  • 部署工作负载集群:创建管理集群后,可以部署工作负载集群,如《使用 Tanzu CLI 创建和管理 TKG 2.3 工作负载集群 》中的创建工作负载集群中所述。
  • 部署另一个管理集群:要在任意或全部的 vSphere、Azure 和 AWS 上部署多个管理集群,请参见管理您的管理集群。本主题还提供了有关如何将现有管理集群添加到 CLI 实例、获取凭据、扩展和删除管理集群、添加命名空间以及如何选择加入或退出 CEIP 的信息。

有关部署管理集群期间所发生情况以及如何将 kubectl 连接到管理集群的信息,请参见检查并注册新部署的独立管理集群

check-circle-line exclamation-circle-line close-line
Scroll to top icon