Bevor Sie einen Antrea-Kubernetes-Cluster bei einem NSX registrieren, müssen Sie mehrere erforderliche Aufgaben ausführen.
Sie können mehrere Antrea-Kubernetes-Cluster bei einer einzelnen NSX-Bereitstellung registrieren.
Stellen Sie sicher, dass die erforderlichen Ports für Antrea-NSX Interworking Adapter geöffnet sind
Antrea-NSX Interworking Adapter wird als Pod in einem Antrea-Kubernetes-Cluster ausgeführt. Dieser Pod verwendet den Hostnetzwerkmodus. Der Pod kann für die Ausführung auf einem beliebigen Kubernetes-Knoten geplant werden. Aus diesem Grund müssen Sie sicherstellen, dass die K8s-Knoten die NSX-IP-Adressen der Ports erreichen können, die im VMware Ports and Protocols-Portal unter https://ports.esp.vmware.com/home/NSX aufgeführt werden.
Folgen Sie dem Link und geben Sie Antrea Interworking Pod in das Textfeld Suche ein.
Bereitstellen von Antrea-Kubernetes-Clustern
Persona: Kubernetes-Plattformadministrator
Ein Kubernetes-Cluster mit Antrea-Netzwerk-Plug-In muss gestartet und betriebsbereit sein.
- Tanzu-Verwaltungscluster wurden bereitgestellt und die Cluster werden ausgeführt.
- Tanzu-Kubernetes-Cluster wurden bereitgestellt und die Cluster werden ausgeführt.
- Tanzu-Befehlszeilenschnittstelle (CLI) wurde installiert.
Detaillierte Informationen zu diesen Aufgaben finden Sie in der Dokumentation Tanzu Kubernetes Grid unter https://docs.vmware.com/de/VMware-Tanzu-Kubernetes-Grid/index.html.
Wenn Sie einen Verwaltungscluster bereitstellen, wird das Netzwerk mit Antrea automatisch im Verwaltungscluster aktiviert.
Hinzufügen einer geeigneten Lizenz in ein NSX
Persona: NSX-Administrator
- NSX Data Center Advanced
- NSX Data Center Enterprise Plus
- Antrea Enterprise Standalone
- Navigieren Sie in NSX Manager zu .
- Geben Sie einen Lizenzschlüssel ein.
Erstellen eines selbstsignierten Zertifikats
Persona: NSX-Administrator
Um ein Prinzipalidentitätsbenutzerkonto in NSX zu erstellen, ist ein selbstsigniertes Sicherheitszertifikat erforderlich. Dies wird weiter unten erläutert.
Erstellen Sie mithilfe von OpenSSL-Befehlen ein selbstsigniertes Sicherheitszertifikat für jeden Antrea-Kubernetes-Cluster, den Sie in NSX registrieren möchten.
Nehmen Sie beispielsweise an, dass Sie ein selbstsigniertes OpenSSL-Zertifikat mit einer Länge von 2048 Bit für einen Antrea-Kubernetes-Cluster namens cluster-sales erstellen möchten. Die folgenden OpenSSL-Befehle generieren eine Datei mit einem privaten Schlüssel, eine Datei mit der Aufforderung zur Signierung eines Zertifikats und eine Datei mit einem selbstsignierten Zertifikat für diesen Cluster.
openssl genrsa -out cluster-sales-private.key 2048 openssl req -new -key cluster-sales-private.key -out cluster-sales.csr -subj "/C=US/ST=CA/L=Palo Alto/O=VMware/OU=Antrea Cluster/CN=cluster-sales" openssl x509 -req -days 3650 -sha256 -in cluster-sales.csr -signkey cluster-sales-private.key -out cluster-sales.crt
Erstellen eines Prinzipalidentitätsbenutzers
Persona: NSX-Administrator
Der Management Plane-Adapter und der Zentrale Control Plane(CCP)-Adapter verwenden das Benutzerkonto der Prinzipalidentität (PI), um sich bei einem NSX Manager als Prinzipalidentität zu identifizieren. Der PI-Benutzer ist Besitzer der Bestandsressourcen, die von den Adaptern gemeldet werden. NSX verhindert, dass andere Benutzer die Bestandsressourcen versehentlich überschreiben.
Jeder Antrea-Kubernetes-Cluster erfordert einen anderen PI-Benutzer. Der Clustername muss in NSX eindeutig sein. Der allgemeine Name des Zertifikats und der PI-Benutzername müssen mit dem Clusternamen identisch sein. NSX unterstützt nicht die gemeinsame Nutzung von Zertifikaten und PI-Benutzern zwischen Clustern.
Erstellen Sie einen Prinzipalidentitätsbenutzer in NSX mit dem selbstsignierten Zertifikat, das Sie im vorherigen Schritt erstellt haben. Weisen Sie diesem Prinzipalidentitätsbenutzer die Rolle Unternehmensadministrator zu.
- Klicken Sie auf der NSX Manager-Benutzeroberfläche auf die Registerkarte System.
- Navigieren Sie unter Einstellungen zu .
- Klicken Sie auf .
- Geben Sie einen Namen für den Prinzipalidentitätsbenutzer ein. Geben Sie beispielsweise cluster-sales ein.
Wichtig: Stellen Sie sicher, dass Sie in der Datei bootstrap-config.yaml denselben Namen für den NSX-Prinzipalidentitätsbenutzer, den Zertifikat-CN und das Argument "clusterName" angeben.
Weitere Informationen zur Bootstrap-Konfiguration finden Sie unter Bearbeiten der Bootstrap-Konfigurationsdatei.
- Wählen Sie als Rolle Unternehmensadministrator aus.
- Geben Sie im Textfeld Knoten-ID einen Namen für den Antrea-Kubernetes-Cluster ein. Dieser Name muss für alle Kubernetes-Cluster, die Sie bei NSX registrieren, eindeutig sein. Geben Sie beispielsweise cluster-sales ein.
- Fügen Sie im Textbereich Zertifikats-PEM das vollständige selbstsignierte Zertifikat ein, das Sie zuvor erstellt hatten. Stellen Sie sicher, dass auch die Zeilen -----BEGIN CERTIFICATE---- und ------END CERTIFICATE----- in diesem Textfeld vorhanden sind.
- Klicken Sie auf Speichern.
- Klicken Sie im linken Navigationsbereich unter Einstellungen auf Zertifikate. Stellen Sie sicher, dass das selbstsignierte Zertifikat des Antrea-Kubernetes-Clusters angezeigt wird.
Ermitteln der Antrea-Version aus dem Kubernetes-Cluster
Persona: Kubernetes-Plattformadministrator
Bevor Sie die Interworking-Datei für Antrea-NSX (antrea-interworking-version.zip) herunterladen, die die nächste Voraussetzung in diesem Thema ist, müssen Sie die Antrea Open Source-Version aus Ihrem Kubernetes-Cluster ermitteln.
Sehen Sie sich beispielsweise die folgende Tabelle an.
VMware Container Networking-Version | Basiert auf der Antrea OSS-Version | Kompatibel mit der Interworking-Version von Antrea-NSX Interworking-Version |
---|---|---|
v1.5.0 Siehe: Versionshinweise zu v1.5.0 |
v1.7.1 |
v0.7.* |
v1.4.0 Siehe: Versionshinweise zu v1.4.0 |
v1.5.2 |
v0.5.* |
v1.3.1 |
v1.2.3 |
v0.2.* |
- Ermitteln Sie den Namen des Antrea-Controller-Pods. Kubernetes generiert diesen Namen mit einer zufälligen Zeichenfolge, sodass Sie den Namen aus dem K8s-Cluster abrufen können.
Beispiel:
$ kubectl get pod -n kube-system -l component=antrea-controller NAME READY STATUS RESTARTS AGE antrea-controller-6b8cb7cd59-wcjvd 1/1 Running 0 13d
In dieser Befehlsausgabe lautet der Name des Antrea-Controller-Pods antrea-controller-6b8cb7cd59-wcjvd.
- Rufen Sie die Antrea Open Source-Version ab, indem Sie den folgenden Befehl ausführen:
$ kubectl exec -it antrea-controller-6b8cb7cd59-wcjvd -n kube-system -- antctl version antctlVersion: v1.7.1-cacafc0 controllerVersion: v1.7.1-cacafc0
In dieser Befehlsausgabe ist v1.7.1 die Antrea Open Source-Version, die Sie ermitteln möchten.
Herunterladen der Interworking-Zip-Datei für Antrea-NSX
Persona: Kubernetes-Plattformadministrator
- Öffnen Sie in einem Webbrowser die Seite Alle Downloads im VMware Customer Connect-Portal und melden Sie sich mit Ihrer VMware-ID an.
- Wählen Sie im Dropdown-Menü Alle Produkte die Option Netzwerk und Sicherheit aus.
- Klicken Sie neben VMware Antrea auf Download Product (Produkt herunterladen). Die Seite Download VMware Antrea (VMware Antrea herunterladen) wird geöffnet.
- Klicken Sie neben der Version von VMware Container Networking with Antrea, die für Sie relevant ist, auf Go to Downloads (Zu den Downloads).
- Suchen Sie Antrea-NSX Interworking Adapter Image and Manifest Bundle auf der Seite. Klicken Sie auf Read More (Mehr lesen) und stellen Sie sicher, dass die in der Datei antrea-interworking-version.zip angegebene Version mit der Antrea Open Source-Softwareversion kompatibel ist, die Sie zuvor ermittelt haben.
- Klicken Sie auf Download Now (Jetzt herunterladen).
Dateiname | Beschreibung |
---|---|
interworking.yaml | YAML-Bereitstellungsmanifestdatei zum Registrieren eines Antrea-Kubernetes-Clusters in NSX. |
bootstrap-config.yaml | YAML-Datei, in der Sie die folgenden Details für die Registrierung angeben können: Antrea-Kubernetes-Clustername, NSX Manager-IP-Adressen, TLS-Zertifikat des Kubernetes-Clusters und den privaten Schlüssel des Kubernetes-Clusters. |
deregisterjob.yaml | YAML-Manifestdatei zum Aufheben der Registrierung eines Antrea-Kubernetes-Clusters in NSX. |
ns-label-webhook.yaml | Webhook-Definitionen zum automatischen Hinzufügen von Bezeichnungen zu neu erstellten Kubernetes-Namespaces. Diese YAML-Datei wird nur verwendet, wenn die Kubernetes-Version kleiner als 1.20 ist. |
interworking-version.tar | Archivdatei für die Container-Images von Management Plane-Adapter und Zentrale Control Plane(CCP)-Adapter. |
Importieren der Container-Images in die Container-Registrierung
Persona: Kubernetes-Plattformadministrator
Diese Vorbereitungsaufgabe kann über zwei Verfahren ausgeführt werden.
- Ansatz 1 (Empfohlen): Images aus VMware Harbor Registry abrufen
-
VMware hat die Container-Images auf VMware Harbor Registry gehostet.
Die Image-Speicherorte sind:- projects.registry.vmware.com/antreainterworking/interworking-debian:version
- projects.registry.vmware.com/antreainterworking/interworking-ubuntu:version
- projects.registry.vmware.com/antreainterworking/interworking-photon:version
Versionsinformationen finden Sie in den Versionshinweisen zu VMware Container Networking with Antrea unter https://docs.vmware.com/de/VMware-Container-Networking-with-Antrea/index.html.
Öffnen Sie die Dateien interworking.yaml und deregisterjob.yaml in einem beliebigen Texteditor und ersetzen Sie alle Image-URLs durch einen dieser Image-Speicherorte.
Der Vorteil dieses Ansatzes besteht darin, dass Kubernetes die Container-Images automatisch aus VMware Harbor Registry abrufen kann, sobald Sie die .yaml-Dateien für die Registrierung des Clusters an den Kubernetes-API-Server übermitteln.
- Ansatz 2: Kopieren Sie die Images manuell in Kubernetes-Worker-Knoten und Control Plane-Knoten
-
Wenn Ihre Kubernetes-Infrastruktur über keine Internetverbindung verfügt oder falls die Konnektivität zu langsam ist, verwenden Sie diesen manuellen Ansatz.
Extrahieren Sie die Container-Images aus der Datei interworking-version.tar und kopieren Sie sie in die Kubernetes-Worker-Knoten und Control Plane-Knoten der einzelnen Antrea-Kubernetes-Cluster, die Sie bei NSX registrieren möchten.
Führen Sie beispielsweise in der Tanzu-Befehlszeile den folgenden Befehl für jede Kubernetes-Worker-Knoten-IP und Control Plane-Knoten-IP aus, um die .tar- und .yaml-Dateien zu kopieren:scp -o StrictHostKeyChecking=no interworking* capv@{node-ip}:/home/capv
Importieren Sie die Images in die lokale Kubernetes-Registrierung, die von der Container-Laufzeit-Engine verwaltet wird. Wenn Ihre Organisation über eine private Container-Registrierung verfügt, importieren Sie alternativ die Container-Images in die private Container-Registrierung.
Führen Sie beispielsweise in der Tanzu-Befehlszeile den folgenden Befehl für jede Kubernetes-Worker-Knoten-IP und Control Plane-Knoten-IP aus, um Container-Images in die lokale Kubernetes-Registrierung zu importieren:
ssh capv@{node-ip} sudo ctr -n=k8s.io i import interworking-{version-id}.tar