Bevor Sie einen Antrea-Kubernetes-Cluster bei einem NSX registrieren, müssen Sie mehrere erforderliche Aufgaben wie in dieser Dokumentation beschrieben ausführen.

Sie können mehrere Antrea-Kubernetes-Cluster bei einer einzelnen NSX-Bereitstellung registrieren.

Wenn die Version von VMware Container Networking™ with Antrea™ in Ihrem Kubernetes-Cluster 1.8.0 oder höher ist, führen Sie die Aufgaben 1 bis 6 und Aufgabe 9 aus. Sie können die Aufgaben 7 und 8 in dieser Dokumentation überspringen.

Wenn die Version von VMware Container Networking™ with Antrea™ in Ihrem Kubernetes-Cluster 1.7.0 oder früher ist, führen Sie die Aufgaben 1 bis 5 und die Aufgaben 7 bis 9 aus. Aufgabe 6 ist nicht anwendbar.

Aufgabe 1: Hinzufügen geeigneter Lizenzen in NSX

Persona: NSX-Administrator

Ihre NSX-Umgebung muss über eine Basislizenz verfügen, die dem System die Berechtigung für Netzwerkfunktionen erteilt, und über eine Sicherheitslizenz, die dem System vollen Zugriff auf die Funktion der verteilten Firewall gewährt.

Weitere Informationen zu verfügbaren Basis- und Sicherheitslizenzen finden Sie unter Lizenztypen.

Aufgabe 2: Sicherstellen, dass die erforderlichen Ports für Antrea-NSX Interworking Adapter geöffnet sind

Antrea-NSX Interworking Adapter wird als Pod in einem Antrea-Kubernetes-Cluster ausgeführt. Dieser Pod verwendet den Hostnetzwerkmodus. Der Pod kann für die Ausführung auf einem beliebigen Kubernetes-Knoten geplant werden. Aus diesem Grund müssen Sie sicherstellen, dass die K8s-Knoten die NSX-IP-Adressen der Ports erreichen können, die im VMware Ports and Protocols-Portal unter https://ports.esp.vmware.com/home/NSX aufgeführt werden.

Folgen Sie dem Link und geben Sie Antrea Interworking Pod in das Textfeld Suche ein.

Aufgabe 3: Bereitstellen von Antrea Kubernetes-Clustern

Persona: Kubernetes-Plattformadministrator

Ein Kubernetes-Cluster mit Antrea-Netzwerk-Plug-In muss gestartet und betriebsbereit sein.

Um beispielsweise Cluster in eine Tanzu Kubernetes Grid-Instanz mit NSX zu integrieren, müssen Sie sicherstellen, dass die folgenden Aufgaben abgeschlossen sind:
  • Tanzu-Verwaltungscluster wurden bereitgestellt und die Cluster werden ausgeführt.
  • Tanzu-Kubernetes-Cluster wurden bereitgestellt und die Cluster werden ausgeführt.
  • Tanzu-Befehlszeilenschnittstelle (CLI) wurde installiert.

Detaillierte Informationen zu diesen Aufgaben finden Sie in der Dokumentation Tanzu Kubernetes Grid unter https://docs.vmware.com/de/VMware-Tanzu-Kubernetes-Grid/index.html.

Wenn Sie einen Verwaltungscluster bereitstellen, wird das Netzwerk mit Antrea automatisch im Verwaltungscluster aktiviert.

Hinweis: Die Antrea-CNI im networkPolicyOnly-Modus wird ebenfalls unterstützt. Weitere Informationen finden Sie in der Dokumentation zur Installation von VMware Container Networking mit Antrea im networkPolicyOnly-Modus, die Sie im Installationshandbuch für VMware Container Networking mit Antrea finden.

Aufgabe 4: Ermitteln der Antrea-Version aus dem Kubernetes-Cluster

Persona: Kubernetes-Plattformadministrator

Bevor Sie die Interworking-Datei für Antrea-NSX (antrea-interworking-version.zip) herunterladen, die die nächste Voraussetzung in diesem Thema ist, müssen Sie die Antrea Open Source-Version aus Ihrem Kubernetes-Cluster ermitteln.

Wichtig: Jede Version von VMware Container Networking™ with Antrea™ basiert auf einer Antrea Open Source-Version. Die Interworking-Version von Antrea- NSX ist kompatibel mit der Antrea Open Source-Softwareversion aus derselben VMware Container Networking-Version.

Sehen Sie sich beispielsweise die folgende Tabelle an.

Diese Tabelle ist keine abschließende Liste aller VMware Container Networking-Versionen und Antrea-NSX Interworking-Versionen. Eine vollständige Liste finden Sie in den Versionshinweisen zu VMware Container Networking™ with Antrea™ unter https://docs.vmware.com/de/VMware-Container-Networking-with-Antrea/index.html.

VMware Container Networking-Version Basiert auf der Antrea OSS-Version Kompatibel mit der Interworking-Version von Antrea-NSX Interworking-Version

v1.5.0

Siehe: Versionshinweise zu v1.5.0

v1.7.1

v0.7.*

v1.4.0

Siehe: Versionshinweise zu v1.4.0

v1.5.2

v0.5.*

v1.3.1

Siehe: Versionshinweise zu v1.3.1–1.2.3

v1.2.3

v0.2.*

Um die Antrea Open Source-Version aus Ihrem Kubernetes-Cluster zu ermitteln, führen Sie die folgenden Schritte aus:
  1. Ermitteln Sie den Namen des Antrea-Controller-Pods. Kubernetes generiert diesen Namen mit einer zufälligen Zeichenfolge, sodass Sie den Namen aus dem K8s-Cluster abrufen können.

    Beispiel:

    $ kubectl get pod -n kube-system -l component=antrea-controller
    NAME                                 READY   STATUS    RESTARTS   AGE
    antrea-controller-6b8cb7cd59-wcjvd   1/1     Running   0          13d

    In dieser Befehlsausgabe lautet der Name des Antrea-Controller-Pods antrea-controller-6b8cb7cd59-wcjvd.

  2. Rufen Sie die Antrea Open Source-Version ab, indem Sie den folgenden Befehl ausführen:
    $ kubectl exec -it antrea-controller-6b8cb7cd59-wcjvd -n kube-system -- antctl version
    antctlVersion: v1.7.1-cacafc0
    controllerVersion: v1.7.1-cacafc0

    In dieser Befehlsausgabe ist v1.7.1 die Antrea Open Source-Version, die Sie ermitteln möchten.

Aufgabe 5: Herunterladen der Interworking-Zip-Datei für Antrea-NSX

Persona: Kubernetes-Plattformadministrator

Führen Sie die folgenden Schritte aus, um die Datei antreal-interworking-version.zip herunterzuladen:
  1. Öffnen Sie die Seite Meine Downloads (My Downloads) im Portal Broadcom Support.
  2. Klicken Sie in der oberen rechten Ecke auf Broadcom-Bereichsmenü auswählen. und wählen Sie dann VMware Cloud Foundation aus.

    Auf der Seite Meine Downloads (My Downloads) werden nur die SKUs angezeigt, zu deren Download Sie berechtigt sind.

  3. Klicken Sie auf VMware Antrea und dann auf VMware Antrea Enterprise.
  4. Klicken Sie auf die Version von VMware Container Networking with Antrea, die für Sie relevant ist. Die Registerkarte Primärdownloads (Primary Downloads) wird geöffnet.
  5. Suchen Sie auf dieser Registerkartenseite nach dem Dateinamen VMware Container Networking with Antrea, NSX Interworking Adapter Image and Deployment Manifests.
  6. Stellen Sie sicher, dass die Version der Datei antrea-interworking-version.zip, die unterhalb des Dateinamens erwähnt wird, mit der Antrea Open Source-Softwareversion kompatibel ist, die Sie zuvor ermittelt haben.

    Beispiel:


    Antrea Open Source-Softwareversion wird unter dem Dateinamen angezeigt.
  7. Aktivieren Sie das Kontrollkästchen I agree to Broadcom Terms and Conditions (Ich stimme den Nutzungsbedingungen von Broadcom zu).
  8. Klicken Sie auf das Download-Symbol.
Extrahieren Sie die ZIP-Datei. Sie enthält die folgenden Dateien.
Dateiname Beschreibung
interworking.yaml YAML-Bereitstellungsmanifestdatei zum Registrieren eines Antrea-Kubernetes-Clusters in NSX.
bootstrap-config.yaml YAML-Datei, in der Sie die folgenden Details für die Registrierung angeben können: Antrea-Kubernetes-Clustername, NSX Manager-IP-Adressen, TLS-Zertifikat des Kubernetes-Clusters und den privaten Schlüssel des Kubernetes-Clusters.
bin/antreansxctl Antrea-NSX-Befehlszeilenprogramm. Dieses Dienstprogramm ist in der Datei antrea-interworking.zip von VMware Container Networking Version 1.7.0 oder höher verfügbar.
deregisterjob.yaml YAML-Manifestdatei zum Aufheben der Registrierung eines Antrea-Kubernetes-Clusters in NSX.
ns-label-webhook.yaml Webhook-Definitionen zum automatischen Hinzufügen von Bezeichnungen zu neu erstellten Kubernetes-Namespaces. Diese YAML-Datei wird nur verwendet, wenn die Kubernetes-Version kleiner als 1.20 ist.
interworking-version.tar Archivdatei für die Container-Images von Management Plane-Adapter und Zentraler Steuerungsebenen-Adapter.

Aufgabe 6: Ausführen des Befehls „antreansxctl bootstrap“

Persona: NSX-Administrator

Wenn die VMware Container Networking™ with Antrea™-Version in Ihrem Kubernetes-Cluster 1.8.0 oder höher ist, können Sie den Befehl antreansxctl bootstrap ausführen, um die folgenden erforderlichen Aufgaben im Registrierungsvorgang zu automatisieren:
  • Erstellen eines selbstsignierten Zertifikats
  • Erstellen eines Prinzipalidentitätsbenutzers (PI-Benutzers)
  • Erstellen der Bootstrap-Konfiguration (bootstrap-config.yaml)
    Hinweis: Die Vorlage bootstrap-config.yaml, die im Befehlszeilendienstprogramm antreansxctl eingebettet ist, ist mit der aktuellen Interworking-Version kompatibel. Das Befehlszeilendienstprogramm ist für die Ausführung nicht auf die Datei bootstrap-config.yaml aus der Datei antrea-interworking.zip angewiesen.

Verwenden Sie zum Ausführen des Befehls antreansxctl bootstrap das Befehlszeilendienstprogramm antreansxctl. Sie finden dieses Dienstprogramm in der Datei antrea-interworking.zip, die Sie zuvor heruntergeladen haben.

Das Dienstprogramm antreansxctl ist eine ausführbare Datei nur für Linux. Daher benötigen Sie ein Linux-Gerät, um dieses Dienstprogramm auszuführen.

Weitere Informationen zur Verwendung des Befehls antreansxctl bootstrap und seiner verschiedenen Konfigurationsoptionen finden Sie in der Dokumentation zum Befehlszeilendienstprogramm „antreansxctl“ im Installationshandbuch für VMware Container Networking mit Antrea.

Aufgabe 7: Erstellen eines selbstsignierten Zertifikats

Persona: NSX-Administrator

Um ein Prinzipalidentitätsbenutzerkonto in NSX zu erstellen, ist ein selbstsigniertes Sicherheitszertifikat erforderlich. Dies wird weiter unten erläutert.

Erstellen Sie mithilfe von OpenSSL-Befehlen ein selbstsigniertes Sicherheitszertifikat für jeden Antrea-Kubernetes-Cluster, den Sie in NSX registrieren möchten.

Nehmen Sie beispielsweise an, dass Sie ein selbstsigniertes OpenSSL-Zertifikat mit einer Länge von 2048 Bit für einen Antrea-Kubernetes-Cluster namens cluster-sales erstellen möchten. Die folgenden OpenSSL-Befehle generieren eine Datei mit einem privaten Schlüssel, eine Datei mit der Aufforderung zur Signierung eines Zertifikats und eine Datei mit einem selbstsignierten Zertifikat für diesen Cluster.

openssl genrsa -out cluster-sales-private.key 2048
openssl req -new -key cluster-sales-private.key -out cluster-sales.csr -subj "/C=US/ST=CA/L=Palo Alto/O=VMware/OU=Antrea Cluster/CN=cluster-sales"
openssl x509 -req -days 3650 -sha256 -in cluster-sales.csr -signkey cluster-sales-private.key -out cluster-sales.crt
Hinweis: Stellen sicher, dass im Befehl openssl req, mit dem Sie die Datei .csr erstellen, für jeden Antrea-Kubernetes-Cluster ein anderer CN (Common Name) verwendet wird.

Aufgabe 8: Erstellen eines Prinzipalidentitätsbenutzers

Persona: NSX-Administrator

Der Management Plane-Adapter und der Zentraler Steuerungsebenen-Adapter verwenden das Benutzerkonto der Prinzipalidentität (PI), um sich bei einem NSX Manager als Prinzipalidentität zu identifizieren. Der PI-Benutzer ist Besitzer der Bestandsressourcen, die von den Adaptern gemeldet werden. NSX verhindert, dass andere Benutzer die Bestandsressourcen versehentlich überschreiben.

Jeder Antrea-Kubernetes-Cluster erfordert einen anderen PI-Benutzer. Der Clustername muss in NSX eindeutig sein. Der allgemeine Name des Zertifikats und der PI-Benutzername müssen mit dem Clusternamen identisch sein. NSX unterstützt nicht die gemeinsame Nutzung von Zertifikaten und PI-Benutzern zwischen Clustern.

Erstellen Sie einen Prinzipalidentitätsbenutzer in NSX mit dem selbstsignierten Zertifikat, das Sie im vorherigen Schritt erstellt haben. Weisen Sie diesem Prinzipalidentitätsbenutzer die Rolle Unternehmensadministrator zu.

So erstellen Sie einen Prinzipalidentitätsbenutzer:
  1. Klicken Sie auf der NSX Manager-Benutzeroberfläche auf die Registerkarte System.
  2. Navigieren Sie unter Einstellungen zu Benutzerverwaltung > Benutzerrollenzuweisung.
  3. Klicken Sie auf Hinzufügen > Prinzipalidentität mit Rolle.
  4. Geben Sie einen Namen für den Prinzipalidentitätsbenutzer ein. Geben Sie beispielsweise cluster-sales ein.
    Wichtig: Stellen Sie sicher, dass Sie in der Datei bootstrap-config.yaml denselben Namen für den NSX-Prinzipalidentitätsbenutzer, den Zertifikat-CN und das Argument "clusterName" angeben.

    Weitere Informationen zur Bootstrap-Konfiguration finden Sie unter Bearbeiten der Bootstrap-Konfigurationsdatei.

  5. Wählen Sie als Rolle Unternehmensadministrator aus.
  6. Geben Sie im Textfeld Knoten-ID einen Namen für den Antrea-Kubernetes-Cluster ein. Dieser Name muss für alle Kubernetes-Cluster, die Sie bei NSX registrieren, eindeutig sein. Geben Sie beispielsweise cluster-sales ein.
  7. Fügen Sie im Textbereich Zertifikats-PEM das vollständige selbstsignierte Zertifikat ein, das Sie zuvor erstellt hatten. Stellen Sie sicher, dass auch die Zeilen -----BEGIN CERTIFICATE---- und ------END CERTIFICATE----- in diesem Textfeld vorhanden sind.
  8. Klicken Sie auf Speichern.
  9. Klicken Sie im linken Navigationsbereich unter Einstellungen auf Zertifikate. Stellen Sie sicher, dass das selbstsignierte Zertifikat des Antrea-Kubernetes-Clusters angezeigt wird.

Aufgabe 9: Importieren der Container-Images in die Container-Registrierung

Persona: Kubernetes-Plattformadministrator

Diese Vorbereitungsaufgabe kann über zwei Verfahren ausgeführt werden.

Ansatz 1 (Empfohlen): Images aus VMware Harbor Registry abrufen

VMware hat die Container-Images auf VMware Harbor Registry gehostet.

Die Image-Speicherorte sind:
  • projects.registry.vmware.com/antreainterworking/interworking-debian:version
  • projects.registry.vmware.com/antreainterworking/interworking-ubuntu:version
  • projects.registry.vmware.com/antreainterworking/interworking-photon:version

Versionsinformationen finden Sie in den Versionshinweisen zu VMware Container Networking with Antrea unter https://docs.vmware.com/de/VMware-Container-Networking-with-Antrea/index.html.

Öffnen Sie die Dateien interworking.yaml und deregisterjob.yaml in einem beliebigen Texteditor und ersetzen Sie alle Image-URLs durch einen dieser Image-Speicherorte.

Der Vorteil dieses Ansatzes besteht darin, dass Kubernetes die Container-Images automatisch aus VMware Harbor Registry abrufen kann, sobald Sie die .yaml-Dateien für die Registrierung des Clusters an den Kubernetes-API-Server übermitteln.

Ansatz 2: Kopieren Sie die Images manuell in Kubernetes-Worker-Knoten und Control Plane-Knoten

Wenn Ihre Kubernetes-Infrastruktur über keine Internetverbindung verfügt oder falls die Konnektivität zu langsam ist, verwenden Sie diesen manuellen Ansatz.

Extrahieren Sie die Container-Images aus der Datei interworking-version.tar und kopieren Sie sie in die Kubernetes-Worker-Knoten und Control Plane-Knoten der einzelnen Antrea-Kubernetes-Cluster, die Sie bei NSX registrieren möchten.

Führen Sie beispielsweise in der Tanzu-Befehlszeile den folgenden Befehl für jede Kubernetes-Worker-Knoten-IP und Control Plane-Knoten-IP aus, um die .tar- und .yaml-Dateien zu kopieren:
scp -o StrictHostKeyChecking=no interworking* capv@{node-ip}:/home/capv

Importieren Sie die Images in die lokale Kubernetes-Registrierung, die von der Container-Laufzeit-Engine verwaltet wird. Wenn Ihre Organisation über eine private Container-Registrierung verfügt, importieren Sie alternativ die Container-Images in die private Container-Registrierung.

Führen Sie beispielsweise in der Tanzu-Befehlszeile den folgenden Befehl für jede Kubernetes-Worker-Knoten-IP und Control Plane-Knoten-IP aus, um Container-Images in die lokale Kubernetes-Registrierung zu importieren:

ssh capv@{node-ip} sudo ctr -n=k8s.io i import interworking-{version-id}.tar

Damit dieser Ansatz in einer vSphere with Tanzu-Umgebung funktioniert, für die NAT konfiguriert ist, müssen Sie die SCP- und SSH-Befehle auf einer Jump-Host-VM ausführen, um eine Verbindung mit den Tanzu Kubernetes-Clusterknoten herzustellen. Weitere Informationen zum Erstellen einer Linux-Jump-Host-VM und zum Einrichten von SSH-Verbindungen zu den Clusterknoten finden Sie in der Dokumentation zu vSphere with Tanzu unter https://docs.vmware.com/de/VMware-vSphere/index.html.