Sie können Tanzu Kubernetes Grid-Verwaltungscluster und -Arbeitslastcluster in Umgebungen bereitstellen, die nicht mit dem Internet verbunden sind, wie z. B.:
In diesem Thema wird die Bereitstellung von Verwaltungsclustern in einer Umgebung mit Internetbeschränkungen auf vSphere oder AWS erläutert. Sie müssen diese Schritte nicht ausführen, wenn Sie Tanzu Kubernetes Grid in einer mit dem Internet verbundenen Umgebung verwenden, die Images über eine externe Internetverbindung abrufen kann.
HinweisDieses Dokument enthält allgemeine Schritte zur Bereitstellung von Tanzu Kubernetes Grid-Verwaltungs- und Arbeitslastclustern in Air-Gapped-Umgebungen. Informationen zum Bereitstellen der Verwaltungs- und Arbeitslastcluster in einer bestimmten und validierten Konfiguration in Air-Gapped-Umgebungen finden Sie in der Dokumentation zur VMware Tanzu-Referenzarchitektur (VMware Tanzu Reference Architecture Documentation).
Bei diesem Verfahren können Sie entweder eine einzelne Maschine oder verschiedene Maschinen als Bootstrap-Maschinen in den Online- und Offline-Umgebungen verwenden.
Wenn Sie die Harbor-Registrierung installieren möchten, laden Sie die Harbor-OVA-Datei herunter:
Damit Sie Verwaltungscluster und Arbeitslastcluster in einer Umgebung mit Internetbeschränkungen bereitstellen können, benötigen Sie Folgendes:
TKG_*_PROXY
-Variablen auf die Adresse des Proxyservers fest. Wenn das Zertifikat selbstsigniert ist, legen Sie TKG_PROXY_CA_CERT
auf die Zertifizierungsstelle des Proxyservers fest. Weitere Informationen finden Sie unter Konfigurieren von Proxys.Dieses Dokument enthält allgemeine Schritte zur Bereitstellung der Tanzu Kubernetes Grid-Verwaltungs- und Arbeitslastcluster im vSphere-Netzwerk in einer Air-Gapped-Umgebung. Informationen zum Bereitstellen der Cluster in einer spezifischen und validierten Konfiguration im vSphere-Netzwerk in einer Air-Gapped-Umgebung finden Sie im Dokument Air-Gapped-Referenzdesign in VMware Tanzu Kubernetes Grid auf vSphere-Netzwerken und Bereitstellen von Tanzu Kubernetes Grid auf vSphere-Netzwerken in einer Air-Gapped-Umgebung im Dokument Air-Gapped-Referenzdesign und ‑Bereitstellung in VMware Tanzu Kubernetes Grid 2.1.
Eine internetbeschränkte Tanzu Kubernetes Grid-Installation auf vSphere verfügt über Firewalls und kommuniziert zwischen Hauptkomponenten, wie hier gezeigt.
HinweisDas folgende Diagramm beschreibt das Szenario, in dem verschiedene Bootstrap-Maschinen in den Online- und Offline-Umgebungen verwendet werden.
Auf vSphere müssen Sie zusätzlich zu den oben genannten allgemeinen Voraussetzungen Folgendes ausführen:
Laden Sie in vSphere die OVAs hoch, aus denen Knoten-VMs erstellt werden. Weitere Informationen finden Sie unter Importieren der Basisimage-Vorlage in vSphere in Bereitstellen von Verwaltungsclustern für vSphere.
Wenn Sie sich nach der Erstellung der VM nicht mit dem Standardbenutzernamen/-Kennwort anmelden können, setzen Sie bei Photon OS das Kennwort mithilfe von Gnu GRUB zurück, wie unter Zurücksetzen eines verlorenen Root-Kennworts beschrieben.
Melden Sie sich bei der Jumpbox als root an und aktivieren Sie Remote-SSH wie folgt:
PermitRootLogin yes
ein. Falls die Zeile bereits vorhanden ist, entfernen Sie das „#“.service sshd restart
neu.Installieren und konfigurieren Sie eine private Docker-kompatible Containerregistrierung wie Harbor, Docker oder Artifactory wie folgt. Diese Registrierung wird außerhalb von Tanzu Kubernetes Grid ausgeführt und ist von allen Registrierungen getrennt, die als gemeinsam genutzter Dienst für Cluster bereitgestellt werden:
Konfigurieren Sie ein Offline-Subnetz zur Verwendung als Umgebung mit Internetbeschränkungen und verknüpfen Sie es mit der Jumpbox.
Richten Sie den DHCP-Server ein, um der neuen Instanz private IP-Adressen zuzuteilen.
Erstellen Sie einen vSphere Distributed Switch auf einem Datencenter, um die Netzwerkkonfiguration mehrerer Hosts gleichzeitig von einer zentralen Stelle aus zu regeln.
Dieses Dokument enthält allgemeine Schritte zur Bereitstellung der Tanzu Kubernetes Grid-Verwaltungs- und Arbeitslastcluster auf AWS in einer Air-Gapped-Umgebung. Informationen zum Bereitstellen der Cluster in einer bestimmten und validierten Konfiguration auf AWS in einer Air-Gapped-Umgebung finden Sie unter AirGap-Referenzdesign in VMware Tanzu Kubernetes Grid on AWS und Bereitstellen von Tanzu Kubernetes Grid auf vSphere-Netzwerken in einer Air-Gapped-Umgebung im Dokument AirGap-Referenzdesign und -Bereitstellung in VMware Tanzu Kubernetes Grid 2.1.
Eine Proxy-Installation von Tanzu Kubernetes Grid auf Amazon Web Services (AWS) verfügt über Firewalls und kommuniziert zwischen Hauptkomponenten, wie hier gezeigt. Sicherheitsgruppen (SG) werden automatisch zwischen der Steuerungsebene und den Arbeitslastdomänen sowie zwischen den Arbeitslastkomponenten und Steuerungsebenenkomponenten erstellt.
Für eine Proxy-Installation auf AWS benötigen Sie zusätzlich zu den oben genannten allgemeinen Voraussetzungen folgendes:
Nachdem Sie die Offline-VPC erstellt haben, müssen Sie ihr die folgenden Endpoints hinzufügen (Ein VPC-Endpoint aktiviert private Verbindungen zwischen Ihrer VPC und den unterstützten AWS-Diensten.):
sts
ssm
ec2
ec2messages
elasticloadbalancing
secretsmanager
ssmmessages
So fügen Sie die Dienst-Endpoints zu Ihrer VPC hinzu:
Um eine Umgebung mit Internetbeschränkungen für die Bereitstellung von Tanzu Kubernetes Grid vorzubereiten, können Sie eine der folgenden Optionen auswählen:
Eine einzelne Bootstrap-Maschine für die Online- und Offline-Umgebungen.
Verschiedene Bootstrap-Maschinen für die Online- und Offline-Umgebungen.
Führen Sie basierend auf der ausgewählten Option die in der folgenden Tabelle beschriebenen Schritte aus:
Führen Sie diesen Schritt nur aus, wenn Sie das Plug-In isolated-cluster
nicht mit dem Befehl tanzu plugin sync
auf der Online-Maschine installiert haben.
Installieren Sie das Plug-In isolated-cluster
.
tanzu plugin sync
WichtigStellen Sie vor der Durchführung dieses Schritts sicher, dass die Festplattenpartition, auf die Sie die Images herunterladen, über 45 GB freien Speicherplatz verfügt.
Laden Sie das Image-Paket auf Ihre mit dem Internet verbundene Linux-Bootstrap-Maschine herunter:
tanzu isolated-cluster download-bundle --source-repo <SOURCE-REGISTRY> --tkg-version <TKG-VERSION> --ca-certificate <SECURITY-CERTIFICATE>
Dabei gilt:
SOURCE-REGISTRY
ist die IP-Adresse oder der Hostname der Registrierung, in der die Images gespeichert sind.TKG-VERSION
ist die Version von Tanzu Kubernetes Grid, die Sie in der Proxy- oder Air Gap-Umgebung bereitstellen möchten.SECURITY-CERTIFICATE
ist das Sicherheitszertifikat der Registrierung, in der die Images gespeichert sind. Um die Validierung des Sicherheitszertifikats zu umgehen, verwenden Sie --insecure
anstelle von --ca-certificate
. Beide Zeichenfolgen sind optional. Wenn Sie keinen Wert angeben, validiert das System das Standard-Serversicherheitszertifikat.
Im Folgenden finden Sie ein Beispiel:
tanzu isolated-cluster download-bundle --source-repo projects.registry.vmware.com/tkg --tkg-version v2.1.1
Das Image-Paket in Form von TAR-Dateien wird zusammen mit der Datei publish-images-fromtar.yaml
auf die Online-Maschine heruntergeladen. Die YAML-Datei definiert die Zuordnung zwischen den Images und den TAR-Dateien.
Laden Sie das Tanzu CLI-Image für Linux (ZIP-Datei) auf die Online-Maschine herunter:
Scrollen Sie unter Produktdownloads (Product Downloads) zum Abschnitt mit der Bezeichnung VMware Tanzu CLI 2.1 CLI und suchen Sie nach VMware Tanzu CLI for Linux.
Klicken Sie auf Jetzt herunterladen. Die ZIP-Datei tanzu-cli-bundle-linux-amd64.tar.gz
wird auf die lokale Maschine heruntergeladen.
(Optional) Stellen Sie sicher, dass die heruntergeladenen Dateien die unveränderten Originaldateien sind. VMware stellt für jeden Download eine SHA-1-, eine SHA-256- und eine MD5-Prüfsumme bereit. Um diese Prüfsummen zu erhalten, klicken Sie unter dem Eintrag, den Sie herunterladen möchten, auf Weitere Informationen (Read More). Weitere Informationen finden Sie unter Verwenden kryptografischer Hashes.
Kopieren Sie die folgenden Dateien über einen USB-Stick oder ein anderes Speichermedium auf die Offline-Maschine, bei der es sich um die Bootstrap-Maschine in der Proxy- oder Air Gap-Umgebung handelt:
tanzu-cli-bundle-linux-amd64.tar.gz
Entpacken Sie die TAR-Dateien auf der Offline-Bootstrap-Maschine in das Verzeichnis tanzu
:
tar -xvf tanzu-cli-bundle-linux-amd64.tar.gz -C $HOME/tanzu
cd $HOME/tanzu/cli
sudo install core/v0.28.1/tanzu-core-linux_amd64 /usr/local/bin/tanzu
tar -xvf tanzu-framework-plugins-standalone-linux-amd64.tar.gz
Installieren Sie das Plug-In isolated-cluster
auf der Offline-Bootstrap-Maschine:
tanzu plugin install isolated-cluster --local standalone-plugins/
Melden Sie sich über Docker bei der privaten Registrierung auf der Offline-Maschine an:
docker login <URL>
Dabei gilt: URL
ist die URL zum privaten Repository, in dem die Bilder in der Proxy- oder Air Gap-Umgebung gespeichert werden.
Laden Sie das Images-Paket auf die Offline-Maschine hoch:
tanzu isolated-cluster upload-bundle --source-directory <SOURCE-DIRECTORY> --destination-repo <DESTINATION-REGISTRY> --ca-certificate <SECURITY-CERTIFICATE>
Dabei gilt:
SOURCE-DIRECTORY
ist der Pfad zu dem Speicherort, an dem die TAR-Image-Dateien gespeichert werden.DESTINATION-REGISTRY
ist der Pfad zur privaten Registrierung, in der die Images in der Air Gap-Umgebung gehostet werden.SECURITY-CERTIFICATE
ist das Sicherheitszertifikat der privaten Registrierung, in der die Images in der Proxy- oder Air Gap-Umgebung gehostet werden. Um die Validierung des Sicherheitszertifikats zu umgehen, verwenden Sie --insecure
anstelle von --ca-certificate
. Beide Zeichenfolgen sind optional. Wenn Sie keinen Wert angeben, validiert das System das Standard-Serversicherheitszertifikat.Im Folgenden finden Sie ein Beispiel:
tanzu isolated-cluster upload-bundle --source-directory ./ --destination-repo hostname1 --ca-certificate /tmp/registryca.crt
Konfigurieren Sie die Registrierung, in die Sie die Images verschoben haben, indem Sie die folgenden Referenzvariablen der Konfigurationsdatei verwenden:
TKG_CUSTOM_IMAGE_REPOSITORY
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE
oder TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY
.Weitere Informationen zu diesen Konfigurationsvariablen finden Sie unter Konfiguration von privaten Image-Registrierungen.
Hinweis: Sie können auch den Befehl tanzu config set env.CONFIG-VARIABLE
verwenden, um die Registrierung zu konfigurieren und die Umgebungsvariablen beizubehalten, wenn Sie die Tanzu CLI in Zukunft verwenden. Weitere Informationen finden Sie in der VMware Tanzu CLI-Referenz unter tanzu config set.
Ihre Umgebung mit Internetbeschränkungen ist jetzt bereit für die Bereitstellung oder das Upgrade von Tanzu Kubernetes Grid-Verwaltungsclustern und für die Bereitstellung von Arbeitslastclustern auf vSphere oder AWS.
Informationen zum Bereitstellen der Verwaltungs- und Arbeitslastcluster in einer bestimmten und validierten Konfiguration in Air-Gapped-Umgebungen finden Sie in der Dokumentation zur VMware Tanzu-Referenzarchitektur (VMware Tanzu Reference Architecture Documentation).
Informationen zum Bereitstellen der Verwaltungscluster mithilfe einer Konfigurationsdatei finden Sie unter Bereitstellen von Verwaltungsclustern über eine Konfigurationsdatei.
Wenn Sie dieses Verfahren im Rahmen eines Upgrades durchgeführt haben, finden Sie weitere Informationen unter Upgrade von Tanzu Kubernetes Grid.
Wenn Sie die FIPS-fähigen Versionen von Tanzu Kubernetes Grid in Umgebungen mit Internetbeschränkungen bereitstellen müssen, führen Sie das unter FIPS-fähige Versionen beschriebene Verfahren durch.