了解如何更新 主管,包括 主管 运行的 Kubernetes 版本。环境中的 主管 必须始终运行受支持的 Kubernetes 版本。

vSphere IaaS control plane 有一个版本实体。该版本实体是语义版本字符串,格式为 v1.28.3+vmware.wcp.1-vsc0.1.9-23708114,其中前缀是 Kubernetes 版本 (v1.28.3),后缀是随相应 vCenter Server 版本一起发布的 主管 版本和内部版本号 (vvsc0.1.9-23708114)。

vCenter Server 升级到新版本时,vSphere 命名空间 版本也会更新。每个 vSphere 命名空间 版本都包含一个新的 主管 版本和两个受支持的早期版本。

vCenter Server 8 Update 3 一起提供的 vSphere 命名空间 版本 0.1.9 包含三个 主管 版本:
  • v1.26.8+vmware.wcp.1-vsc0.1.9-23708114
  • v1.27.5+vmware.wcp.1-vsc0.1.9-23708114
  • v1.28.3+vmware.wcp.1-vsc0.1.9-23708114
注: 要使用 Tanzu Kubernetes Grid 3.0,必须将 主管 更新到 vSphere 命名空间 0.1.9 随附的三个受支持版本之一。

前提条件

  • 请参见 vSphere IaaS control plane 发行说明,查看受支持的 主管 Kubernetes 版本。每个 vCenter Server 版本包含三个 主管 Kubernetes 版本 - 随相应 vCenter Server 版本一起发布的最新 主管 Kubernetes 版本以及两个以前版本(至少在 12 个月内受支持)。
  • 安装当前支持的 主管 Kubernetes 版本,方法是将 vCenter Server 设备升级到提供这些版本的 vCenter Server 版本。请参见升级 vCenter Server Appliance
注: 更新 主管 时,所有已置备的 Tanzu Kubernetes Grid 集群必须使用与 vSphere 8 Update 3 中新的 主管 K8s 版本兼容的 TKr 版本。由于 Tanzu Kubernetes Grid 从 vSphere Update 3 开始成为独立的 主管服务,因此以后 TKr 版本将取决于 Tanzu Kubernetes Grid 服务版本。
注: 更新 主管 会对部署在其中的 Tanzu Kubernetes 集群触发滚动更新。请参见 了解 TKG 服务 集群的滚动更新模型

过程

  1. 以 vSphere 管理员身份登录到 vCenter Server
  2. 选择菜单 > 工作负载管理
  3. 选择命名空间 > 更新选项卡。
  4. 选择要更新到的可用版本
    例如,选择版本 vv1.28.3+vmware.wcp.1-vsc0.1.9-23708114
    注: 必须以渐进方式更新。您不能跳过更新,例如从 1.26 更新到 1.28。路径应为 1.26、1.27、1.28。
  5. 选择要更新的 主管
  6. 单击应用更新
    系统会运行一系列预检查,以根据要更新到的 主管 Kubernetes 版本验证不同组件的兼容性。成功完成预检查后,您可以更新 主管

Object Missing

This object is not available in the repository.

解决激活或更新期间 主管 控制平面虚拟机上的错误运行状况

激活 主管,更新 主管 Kubernetes 版本,或编辑现有 主管 的设置后,指定的所有设置都将经过验证并应用于 主管,直到配置完成。对输入的参数执行运行状况检查,可能会检测配置中导致 主管 运行状况错误的错误。必须解决这些错误运行状况,才能配置或更新 主管

表 1. vCenter Server 连接错误

错误消息

原因

解决方案

无法使用控制平面虚拟机 <VM name> 上配置的管理 DNS 服务器解析 vCenter 主网络标识符 <FQDN>。请验证管理 DNS 服务器 <server name> 是否可以解析 <network name>。

  • 可以访问至少一个管理 DNS 服务器。

  • 至少静态地提供了一个管理 DNS。

  • 对于 vCenter Server PNID,管理 DNS 服务器没有任何主机名查找。

  • vCenter Server PNID 是域名,而不是静态 IP 地址。

  • vCenter Server PNID 的主机条目添加到管理 DNS 服务器。

  • 确认配置的 DNS 服务器正确无误。

无法使用控制平面虚拟机 <VM name> 的管理网络上通过 DHCP 获取的 DNS 服务器解析 vCenter 主网络标识符 <network name>。请验证管理 DNS 服务器是否可以解析 <network name>。

  • 可以访问 DHCP 服务器提供的管理 DNS 服务器(至少一个)。

  • 管理 DNS 服务器是静态提供的。

  • 对于 vCenter Server PNID,管理 DNS 服务器没有任何主机名查找。

  • 对于 vCenter Server PNID,管理 DNS 服务器没有任何主机名查找。

  • vCenter Server PNID 是域名,而不是静态 IP 地址。

  • vCenter Server PNID 的主机条目添加到配置的 DHCP 服务器提供的管理 DNS 服务器。

  • 确认 DHCP 服务器提供的 DNS 服务器正确无误。

无法解析控制平面虚拟机 <VM name> 上的主机 <host name>,因为没有配置管理 DNS 服务器。

  • vCenter Server PNID 是域名,而不是静态 IP 地址。

  • 未配置 DNS 服务器。

配置管理 DNS 服务器。

无法解析控制平面虚拟机 <VM name> 上的主机 <host name>。主机名以“.local”顶级域结尾,这需要将“local”包含在管理 DNS 搜索域中。

vCenter Server PNID 包含 .local 作为顶级域 (TLD),但配置的搜索域不包含 local

local 添加到管理 DNS 搜索域。

无法从控制平面虚拟机 <VM name> 连接到管理 DNS 服务器 <server name>。已尝试通过工作负载网络进行连接。

  • 管理 DNS 服务器无法连接到 vCenter Server

  • 提供的 worker_dns 值完全包含提供的管理 DNS 值。这意味着流量通过工作负载网络路由,因为 主管 必须选择一个网络接口,将静态流量定向到这些 IP。

  • 检查工作负载网络,验证是否可以路由到配置的管理 DNS 服务器。

  • 确认没有冲突的 IP 地址可能会在 DNS 服务器与工作负载网络上的某些其他服务器之间触发备用路由。

  • 确认配置的 DNS 服务器实际上是 DNS 服务器,并在端口 53 上托管其 DNS 端口。

  • 确认工作负载 DNS 服务器已配置为允许从控制平面虚拟机的 IP(工作负载网络提供的 IP)进行连接。

  • 确认管理 DNS 服务器的地址中没有键入内容。

  • 确认搜索域中不包含可能错误地解析主机名的不必要的“~”。

无法从控制平面虚拟机 <VM name> 连接到管理 DNS 服务器 <server name>。

无法连接到 DNS 服务器。

  • 检查管理网络,验证到管理 DNS 服务器的路由是否存在。

  • 确认没有可能会在 DNS 服务器和其他服务器之间触发备用路由的冲突 IP 地址。

  • 确认配置的 DNS 服务器实际上是 DNS 服务器,并在端口 53 上托管其 DNS 端口。

  • 确认管理 DNS 服务器已配置为允许从控制平面虚拟机的 IP 进行连接。

  • 确认管理 DNS 服务器的地址中没有键入内容。

  • 确认搜索域中不包含可能错误地解析主机名的不必要的“~”。

无法从控制平面虚拟机 <vm name> 连接到 <component name> <component address>。错误:错误消息文本

  • 发生了一般网络故障。

  • 连接到 vCenter Server 时出错。

  • 验证已配置的组件(如 vCenter Server、 HAProxy、NSX Manager 或 NSX Advanced Load Balancer)的主机名或 IP 地址正确无误。

  • 验证管理网络上的任何外部网络设置,例如有冲突的 IP、防火墙规则和其他设置。

控制平面虚拟机 <VM name> 无法验证 vCenter <vCenter Server name> 证书。vCenter Server 证书无效。

vCenter Server 提供的证书格式无效,因此不受信任。

  • 重新启动 wcpsvc,验证控制平面虚拟机中受信任的根包是否为最新版本,且具有最新的 vCenter Server 根证书。

  • 确认 vCenter Server 证书实际上是有效的证书。

控制平面虚拟机 <VM name> 不信任 vCenter <vCenter Server name> 证书。

  • vCenter Server 提供的 vmca.pem 证书不同于为控制平面虚拟机配置的证书。

  • vCenter Server Appliance 中的可信根证书已替换,但 wcpsvc 未重新启动。

  • 重新启动 wcpsvc,验证控制平面虚拟机中可信根包是否为最新版本,且具有最新的 vCenter Server 证书根。
表 2. NSX Manager 连接错误

控制平面虚拟机 <VM name> 无法验证 NSX Server <NSX server name> 证书。服务器 <NSX-T address> 返回的指纹与在 vCenter <vCenter Server name> 中注册的预期客户端证书指纹不匹配

注册到 主管 的 SSL 指纹与 NSX Manager 提供的证书的 SHA-1 哈希不匹配。

  • 在 NSX 与 vCenter Server 实例之间重新启用对 NSX Manager 的信任。

  • vCenter Server 上重新启动 wcpsvc

无法从控制平面虚拟机 <vm name> 连接到 <component name> <component address>。错误:错误消息文本

发生了一般网络故障。

  • 验证 NSX Manager 管理网络上的任何外部网络设置,例如冲突的 IP、防火墙规则和其他设置。

  • 确认 NSX 扩展中的 NSX Manager IP 正确无误。

  • 确认 NSX Manager 正在运行。
表 3. 负载均衡器错误

控制平面虚拟机 <vm name> 不信任负载均衡器 (<load balancer>- <load balancer endpoint>) 证书。

负载均衡器提供的证书与配置到控制平面虚拟机的证书不同。

确认已为负载均衡器配置正确的管理 TLS 证书。

控制平面虚拟机 <vm name> 无法验证负载均衡器 (<load balancer>- <load balancer endpoint>) 的证书。证书无效。

负载均衡器提供的证书格式无效或已过期。

更正已配置负载均衡器的服务器证书。

控制平面虚拟机 <vm name> 无法使用用户名 <user name> 和提供的密码向负载均衡器 (<load balancer>- <load balancer endpoint>) 进行身份验证。

负载均衡器的用户名或密码不正确。

验证配置到负载均衡器的用户名和密码是否正确。

尝试从控制平面虚拟机 <vm name> 连接到负载均衡器 (<load balancer>- <load balancer endpoint>) 时出现 HTTP 错误。

控制平面虚拟机可以连接到负载均衡器端点,但端点不会返回成功的 (200) http 响应

确认负载均衡器处于正常状态并接受请求。

无法从控制平面虚拟机 <vm name> 连接到 <load balancer> (<load balancer endpoint>)。错误:<error text>

  • 发生了一般网络故障。

  • 通常情况下,这意味着负载均衡器无法正常工作,或者某些防火墙阻止连接。

  • 验证负载均衡器端点是否可访问

  • 验证没有防火墙阻止与负载均衡器的连接。