代理服务器允许列表
要在 Internet 受限但不是物理气隙的环境中安装和运行 Tanzu Kubernetes Grid (TKG),有两种选择:
- 将代理服务器和防火墙配置为允许从 TKG 的子网访问 TKG 映像(TKG 组件的容器映像)的联机源。
- 创建所有 TKG 映像的脱机副本。
对于上面的第一个选项,本主题列出了代理服务器(第 7 层)为启用 Tanzu Kubernetes Grid 而需要允许的域。此外,还列出了脱机复制和使用映像的第二个选项。
有关 Tanzu Kubernetes Grid 所需的端口和协议防火墙(第 4 层)规则,请参见 Tanzu Kubernetes Grid 防火墙规则。
有关如何在气隙或 Internet 受限环境中安装 Tanzu Kubernetes Grid,请参见准备 Internet 受限环境。
要允许的域
将以下域添加到代理服务器的允许列表中,以安装 Tanzu Kubernetes Grid 并启用该域以置备工作负载集群。
| 域 | 注册表 | 用途 |
|---|---|---|
|
VMware 插件注册表,Tanzu Standard 软件包存储库 | VMware 插件由 Tanzu CLI 使用的注册表主机映像、二进制文件和配置文件用于执行核心功能,如创建集群和管理访问。 Tanzu Standard 软件包存储库存储 Tanzu CLI 安装到集群的打包服务的映像。 |
|
VMware OCI 映像注册表 | 使用 Harbor 来托管 TKG 用于引导管理集群和工作负载集群的映像。系统会扫描此注册表中的映像以发现漏洞,并且可以安全地在所有环境中运行。 |
特定于环境和基础架构的注册表,例如:
|
||
允许列表的替代方案
作为允许上述域的替代方法,您可以按以下方式脱机复制映像:
-
所有映像:运行准备 Internet 受限环境中所述的映像复制脚本。
-
VMware 插件注册表映像:从连接到 Internet 的引导计算机运行
tanzu plugin sync,并将其$HOME/.tkg文件夹传输到 Internet 受限的计算机。 -
Docker Hub 映像:使用 ytt 工具将软件包源注册表更改为您自己的专用 Docker 注册表或 Helm Artifact Hub。有关如何下载和安装
ytt的信息,请参见安装 Carvel 工具。
