Bevor Sie einen Antrea-Container-Cluster bei einem NSX-T Data Center registrieren, müssen Sie mehrere erforderliche Aufgaben ausführen.

Sie können mehrere Antrea-Container-Cluster bei einer einzelnen NSX-T Data Center-Bereitstellung registrieren.

Bereitstellen von Antrea-Container-Clustern

Persona: Kubernetes-Plattformadministrator

Ein Kubernetes-Cluster mit Antrea-Netzwerk-Plug-In muss gestartet und betriebsbereit sein.

Um beispielsweise Cluster in eine Tanzu Kubernetes Grid-Instanz mit NSX-T Data Center zu integrieren, müssen Sie sicherstellen, dass die folgenden Aufgaben abgeschlossen sind:
  • Tanzu-Verwaltungscluster wurden bereitgestellt und die Cluster werden ausgeführt.
  • Tanzu-Kubernetes-Cluster wurden bereitgestellt und die Cluster werden ausgeführt.
  • Tanzu-Befehlszeilenschnittstelle (CLI) wurde installiert.

Detaillierte Informationen zu diesen Aufgaben finden Sie in der Dokumentation Tanzu Kubernetes Grid unter https://docs.vmware.com/de/VMware-Tanzu-Kubernetes-Grid/index.html.

Wenn Sie einen Verwaltungscluster bereitstellen, wird das Netzwerk mit Antrea automatisch im Verwaltungscluster aktiviert.

Hinzufügen einer geeigneten Lizenz in ein NSX-T Data Center

Persona: NSX-Administrator

Stellen Sie sicher, dass Ihre NSX-T Data Center-Umgebung über eine der folgenden Lizenzen verfügt:
  • NSX Data Center Advanced
  • NSX Data Center Enterprise Plus
  • Antrea Enterprise Standalone
So fügen Sie eine Lizenz hinzu:
  1. Navigieren Sie in NSX Manager zu System > Lizenzen > Lizenzen hinzufügen.
  2. Geben Sie einen Lizenzschlüssel ein.

Erstellen eines selbstsignierten Zertifikats

Persona: NSX-Administrator

Um ein Prinzipalidentitätsbenutzerkonto in NSX-T zu erstellen, ist ein selbstsigniertes Sicherheitszertifikat erforderlich. Dies wird weiter unten erläutert.

Erstellen Sie mithilfe von OpenSSL-Befehlen ein selbstsigniertes Sicherheitszertifikat für jeden Antrea-Container-Cluster, den Sie in NSX-T registrieren möchten.

Nehmen Sie beispielsweise an, dass Sie ein selbstsigniertes OpenSSL-Zertifikat mit einer Länge von 2048 Bit für einen Antrea-Container-Cluster namens cluster-sales erstellen möchten. Die folgenden OpenSSL-Befehle generieren eine Datei mit einem privaten Schlüssel, eine Datei mit der Aufforderung zur Signierung eines Zertifikats und eine Datei mit einem selbstsignierten Zertifikat für diesen Cluster.

openssl genrsa -out cluster-sales-private.key 2048
openssl req -new -key cluster-sales-private.key -out cluster-sales.csr -subj "/C=US/ST=CA/L=Palo Alto/O=VMware/OU=Antrea Cluster/CN=cluster-sales"
openssl x509 -req -days 3650 -sha256 -in cluster-sales.csr -signkey cluster-sales-private.key -out cluster-sales.crt
Hinweis: Stellen sicher, dass im Befehl openssl req, mit dem Sie die Datei .csr erstellen, für jeden Antrea-Container-Cluster ein anderer CN (Common Name) verwendet wird.

Erstellen eines Prinzipalidentitätsbenutzers

Persona: NSX-Administrator

Der Management Plane-Adapter und der Zentrale Control Plane(CCP)-Adapter verwenden das Benutzerkonto der Prinzipalidentität (PI), um sich bei einem NSX Manager als Prinzipalidentität zu identifizieren. Der PI-Benutzer ist Besitzer der Bestandsressourcen, die von den Adaptern gemeldet werden. NSX-T verhindert, dass andere Benutzer die Bestandsressourcen versehentlich überschreiben.

Erstellen Sie einen Prinzipalidentitätsbenutzer in NSX-T mit dem selbstsignierten Zertifikat, das Sie im vorherigen Schritt erstellt haben. Weisen Sie diesem Prinzipalidentitätsbenutzer die Rolle Unternehmensadministrator zu. Der Prinzipalidentitätsbenutzer ist für einen Antrea-Container-Cluster eindeutig.

So erstellen Sie einen Prinzipalidentitätsbenutzer:
  1. Klicken Sie auf der NSX Manager-Benutzeroberfläche auf die Registerkarte System.
  2. Navigieren Sie unter Einstellungen zu Benutzerverwaltung > Benutzerrollenzuweisung.
  3. Klicken Sie auf Hinzufügen > Prinzipalidentität mit Rolle.
  4. Geben Sie einen Namen für den Prinzipalidentitätsbenutzer ein. Geben Sie beispielsweise cluster-sales ein.
    Wichtig: Stellen Sie sicher, dass Sie in der Datei bootstrap-config.yaml denselben Namen für den NSX-Prinzipalidentitätsbenutzer, den Zertifikat-CN und das Argument "clusterName" angeben.

    Weitere Informationen zur Bootstrap-Konfiguration finden Sie unter Bearbeiten der Bootstrap-Konfigurationsdatei.

  5. Wählen Sie als Rolle Unternehmensadministrator aus.
  6. Geben Sie im Textfeld Knoten-ID einen Namen für den Antrea-Container-Cluster ein. Dieser Name muss für alle Container-Cluster, die Sie bei NSX-T registrieren, eindeutig sein. Geben Sie beispielsweise cluster-sales ein.
  7. Fügen Sie im Textbereich Zertifikats-PEM das vollständige selbstsignierte Zertifikat ein, das Sie zuvor erstellt hatten. Stellen Sie sicher, dass auch die Zeilen -----BEGIN CERTIFICATE---- und ------END CERTIFICATE----- in diesem Textfeld vorhanden sind.
  8. Klicken Sie auf Speichern.
  9. Klicken Sie im linken Navigationsbereich unter Einstellungen auf Zertifikate. Stellen Sie sicher, dass das selbstsignierte Zertifikat des Antrea-Container-Clusters angezeigt wird.

Herunterladen einer ZIP-Datei

Persona: Kubernetes-Plattformadministrator

Führen Sie die folgenden Schritte aus, um die Datei antreal-interworking-version.zip herunterzuladen:
  1. Öffnen Sie in einem Webbrowser die Seite zum Herunterladen von VMware Antrea und melden Sie sich mit Ihrer VMware-ID an.
  2. Vergewissern Sie sich, dass Sie sich auf der Registerkarte Product Downloads (Produkt-Downloads) befinden.
  3. Klicken Sie neben der Version VMware Container Networking with Antrea auf Go to Downloads (Zu den Downloads).
  4. Suchen Sie auf der daraufhin geöffneten Webseite die Datei VMware Container Networking with Antrea, NSX Interworking connector and deployment manifests und klicken Sie auf Download Now (Jetzt herunterladen).
Extrahieren Sie die ZIP-Datei. Sie enthält die folgenden Dateien.
Dateiname Beschreibung
interworking.yaml YAML-Bereitstellungsmanifestdatei zum Registrieren eines Antrea-Container-Clusters in NSX-T.
bootstrap-config.yaml YAML-Datei, in der Sie die folgenden Details für die Registrierung angeben können: Antrea-Container-Clustername, NSX Manager-IP-Adressen, TLS-Zertifikat des Container-Clusters und den privaten Schlüssel des Container-Clusters.
deregisterjob.yaml YAML-Manifestdatei zum Aufheben der Registrierung eines Antrea-Container-Clusters in NSX-T.
ns-label-webhook.yaml Webhook-Definitionen zum automatischen Hinzufügen von Bezeichnungen zu neu erstellten Kubernetes-Namespaces. Diese YAML-Datei wird nur verwendet, wenn die Kubernetes-Version kleiner als 1.20 ist.
interworking-version.tar Archivdatei für die Container-Images von Management Plane-Adapter und Zentrale Control Plane(CCP)-Adapter.

Importieren der Container-Images in die Container-Registrierung

Persona: Kubernetes-Plattformadministrator

Diese Vorbereitungsaufgabe kann über zwei Verfahren ausgeführt werden.

Ansatz 1 (Empfohlen): Images aus VMware Harbor Registry abrufen

VMware hat die Container-Images auf VMware Harbor Registry gehostet.

Die Image-Speicherorte sind:
  • projects.registry.vmware.com/antreainterworking/interworking-debian:version
  • projects.registry.vmware.com/antreainterworking/interworking-ubuntu:version
  • projects.registry.vmware.com/antreainterworking/interworking-photon:version

Versionsinformationen finden Sie in den Versionshinweisen zu VMware Container Networking with Antrea unter https://docs.vmware.com/de/VMware-Container-Networking-with-Antrea/index.html.

Öffnen Sie die Dateien interworking.yaml und deregisterjob.yaml in einem beliebigen Texteditor und ersetzen Sie alle Image-URLs durch einen dieser Image-Speicherorte.

Der Vorteil dieses Ansatzes besteht darin, dass Kubernetes die Container-Images automatisch aus VMware Harbor Registry abrufen kann, sobald Sie die .yaml-Dateien für die Registrierung des Container-Clusters an den Kubernetes-API-Server übermitteln.

Ansatz 2: Kopieren Sie die Images manuell in Kubernetes-Worker-Knoten und Control Plane-Knoten

Wenn Ihre Kubernetes-Infrastruktur über keine Internetverbindung verfügt oder falls die Konnektivität zu langsam ist, verwenden Sie diesen manuellen Ansatz.

Extrahieren Sie die Container-Images aus der Datei interworking-version.tar und kopieren Sie sie in die Kubernetes-Worker-Knoten und Control Plane-Knoten der einzelnen Antrea-Container-Cluster, die Sie bei NSX-T registrieren möchten.

Führen Sie beispielsweise in der Tanzu-Befehlszeile den folgenden Befehl für jede Kubernetes-Worker-Knoten-IP und Control Plane-Knoten-IP aus, um die .tar- und .yaml-Dateien zu kopieren:
scp -o StrictHostKeyChecking=no interworking* capv@{node-ip}:/home/capv

Importieren Sie die Images in die lokale Kubernetes-Registrierung, die von der Container-Laufzeit-Engine verwaltet wird. Wenn Ihre Organisation über eine private Container-Registrierung verfügt, importieren Sie alternativ die Container-Images in die private Container-Registrierung.

Führen Sie beispielsweise in der Tanzu-Befehlszeile den folgenden Befehl für jede Kubernetes-Worker-Knoten-IP und Control Plane-Knoten-IP aus, um Container-Images in die lokale Kubernetes-Registrierung zu importieren:

ssh capv@{node-ip} sudo ctr -n=k8s.io i import interworking-{version-id}.tar