Bereitstellen von Verwaltungsclustern über eine Konfigurationsdatei

Sie können die Tanzu CLI verwenden, um einen Verwaltungscluster für vSphere, Amazon Web Services (AWS) und Microsoft Azure mit einer Konfiguration bereitzustellen, die Sie in einer YAML-Konfigurationsdatei angeben.

Voraussetzungen

Bevor Sie einen Verwaltungscluster bereitstellen können, müssen Sie sicherstellen, dass Ihre Umgebung die Anforderungen der Zielplattform erfüllt.

Allgemeine Voraussetzungen

  • Stellen Sie sicher, dass alle Anforderungen erfüllt sind und Sie alle Verfahren unter Installieren der Tanzu CLI und anderer Tools für die Verwendung mit eigenständigen Verwaltungsclustern befolgt haben.
  • Für Produktionsbereitstellungen wird dringend empfohlen, die Identitätsverwaltung für Ihre Cluster zu aktivieren. Informationen zu den vorbereitenden Schritten, die vor der Bereitstellung eines Verwaltungsclusters durchgeführt werden müssen, finden Sie unter Abrufen der Details Ihres Identitätsanbieters in Konfiguration der Identitätsverwaltung. Konzeptionelle Informationen zu Identitätsverwaltung und Zugriffssteuerung in Tanzu Kubernetes Grid finden Sie unter Informationen zur Identitäts- und Zugriffsverwaltung.
  • Wenn Sie Cluster in einer Umgebung mit Internetbeschränkungen für vSphere oder AWS bereitstellen, müssen Sie auch die Schritte in Vorbereiten einer Umgebung mit Internetbeschränkungen durchführen. Diese Schritte umfassen das Festlegen von TKG_CUSTOM_IMAGE_REPOSITORY als Umgebungsvariable.
  • Wichtig

    Es wird ausdrücklich empfohlen, die Schnittstelle des Tanzu Kubernetes Grid-Installationsprogramms anstelle der CLI zu verwenden, um Ihren ersten Verwaltungscluster für eine bestimmte Zielplattform bereitzustellen. Wenn Sie einen Verwaltungscluster mithilfe der Schnittstelle des Installationsprogramms bereitstellen, wird eine Clusterkonfigurationsdatei für den Verwaltungscluster mit den erforderlichen Parametern hinzugefügt. Sie können die erstellte Konfigurationsdatei als Modell für zukünftige Bereitstellungen von der CLI auf dieser Zielplattform verwenden.

  • Wenn Sie den Verwaltungscluster bei Tanzu Mission Control registrieren möchten, stellen Sie sicher, dass Ihre Arbeitslastcluster die unter Anforderungen für die Registrierung eines Tanzu Kubernetes-Clusters bei Tanzu Mission Control in der Dokumentation von Tanzu Mission Control aufgeführten Anforderungen erfüllen.

Infrastrukturvoraussetzungen

vSphere
Stellen Sie sicher, dass alle unter Vorbereitung zum Bereitstellen von Verwaltungsclustern auf vSphere aufgeführten Anforderungen erfüllt sind.
Wichtig

In vSphere with Tanzu müssen Sie keinen Verwaltungscluster bereitstellen. Weitere Informationen finden Sie unter vSphere with Tanzu Supervisor ist ein Verwaltungscluster.

AWS
Stellen Sie sicher, dass alle unter Vorbereitung zum Bereitstellen von Verwaltungsclustern auf AWS aufgeführten Anforderungen erfüllt sind.
  • Informationen zu den Konfigurationen der verschiedenen Größen von Knoteninstanzen, z. B. t3.large oder t3.xlarge finden Sie unter Amazon EC2-Instanztypen.
  • Informationen dazu, wann sie eine virtuelle private Cloud (Virtual Private Cloud, VPC) erstellen und wann Sie eine vorhandene VPC wiederverwenden sollten, finden Sie unter Ressourcennutzung in Ihrem Amazon Web Services-Konto.
  • Wenn Sie zum ersten Mal einen Verwaltungscluster für AWS bereitstellen, erstellen Sie einen CloudFormation-Stack für Tanzu Kubernetes Grid in Ihrem AWS-Konto. Befolgen Sie dazu die Anweisungen unter IAM-Ressourcen erstellen.

IAM-Ressourcen erstellen

Bevor Sie einen Verwaltungscluster für AWS zum ersten Mal bereitstellen, müssen Sie in Ihrem AWS-Konto einen CloudFormation-Stack für Tanzu Kubernetes Grid, tkg-cloud-vmware-com, erstellen. Dieser CloudFormation-Stack enthält die IAM-Ressourcen (Identity and Access Management), die Tanzu Kubernetes Grid zum Erstellen und Ausführen von Clustern auf AWS benötigt. Weitere Informationen finden Sie unter Von Tanzu Kubernetes Grid festgelegte Berechtigungen in Vorbereitung zum Bereitstellen von Verwaltungsclustern auf AWS.

  1. Wenn Sie den CloudFormation-Stack für Tanzu Kubernetes Grid bereits in Ihrem AWS-Konto erstellt haben, überspringen Sie den Rest dieses Verfahrens.

  2. Wenn Sie den CloudFormation-Stack für Tanzu Kubernetes Grid noch nicht in Ihrem AWS-Konto erstellt haben, stellen Sie sicher, dass AWS-Authentifizierungsvariablen entweder in der lokalen Umgebung oder in der Struktur Ihrer Standard-Anmeldedatenanbieter für AWS festgelegt sind. Weitere Anweisungen finden Sie unter Konfiguration der AWS-Kontoanmeldedaten und des SSH-Schlüssels.

    Wenn Sie AWS-Anmeldedaten an mehreren Stellen konfiguriert haben, werden die Anmeldedateneinstellungen zum Erstellen des CloudFormation-Stacks in der folgenden Rangfolge angewendet:

    • In den lokalen Umgebungsvariablen AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN und AWS_REGION festgelegte Anmeldedaten werden zuerst angewendet.
    • Anmeldedaten, die in einer gemeinsam genutzten Anmeldedatendatei als Teil der Struktur der Standard-Anmeldedatenanbieter gespeichert sind. Sie können den Speicherort der Anmeldedatendatei angeben, die in der lokalen Umgebungsvariable AWS_SHARED_CREDENTIAL_FILE verwendet werden soll. Wenn diese Umgebungsvariable nicht definiert ist, wird der Standardspeicherort $HOME/.aws/credentials verwendet. Wenn Sie Anmeldedatenprofile verwenden, verwendet der Befehl den Profilnamen, der in der Konfigurationsvariable AWS_PROFILE der lokalen Umgebung angegeben ist. Wenn Sie keinen Wert für diese Variable angeben, wird das Profil mit dem Namen default verwendet.

      Ein Beispiel dafür, wie die Struktur der Standard-Anmeldedatenanbieter für AWS für Java-Apps interpretiert wird, finden Sie unter Arbeiten mit AWS-Anmeldedaten in der AWS-Dokumentation.

  3. Führen Sie den folgenden Befehl aus:

    tanzu mc permissions aws set
    

    Führen Sie für weitere Informationen folgenden Befehl aus: tanzu mc permissions aws set --help.

Wichtig

Der Befehl tanzu mc permissions aws set ersetzt das Befehlszeilendienstprogramm clusterawsadm aus Tanzu Kubernetes Grid v1.1.x und früheren Versionen. Verwenden Sie für vorhandene Verwaltungs- und Arbeitslastcluster, die ursprünglich mit v1.1.x oder früher bereitgestellt wurden, weiterhin den CloudFormation-Stack, der mithilfe des Befehls clusterawsadm alpha bootstrap create-stack erstellt wurde. Verwenden Sie für Tanzu Kubernetes Grid Cluster Version 1.2 und höher den Stack tkg-cloud-vmware-com.

Azure
Stellen Sie sicher, dass die unter Vorbereitung zum Bereitstellen von Verwaltungsclustern auf Microsoft Azure aufgeführten Anforderungen erfüllt sind.

Informationen zu den Konfigurationen der verschiedenen Größen von Knoteninstanzen für Azure, z. B. Standard_D2s_v3 oder Standard_D4s_v3 finden Sie unter Größen virtueller Maschinen in Azure.


Erstellen der Clusterkonfigurationsdatei

Bevor Sie einen Verwaltungscluster mithilfe der Tanzu CLI erstellen, müssen Sie dessen Konfiguration in einer YAML-Konfigurationsdatei definieren, die die Basiskonfiguration für den Cluster bereitstellt. Wenn Sie den Verwaltungscluster über die CLI bereitstellen, geben Sie diese Datei mithilfe der Option --file des Befehls tanzu mc create an.

Wenn Sie den Befehl tanzu config init erstmalig ausführen, wird das Unterverzeichnis ~/.config/tanzu/tkg erstellt, das die Tanzu Kubernetes Grid-Konfigurationsdateien enthält.

Wenn Sie zuvor einen Verwaltungscluster mithilfe des Befehls tanzu mc create --ui bereitgestellt haben, enthält das Verzeichnis ~/.config/tanzu/tkg/clusterconfigs Konfigurationsdateien für den Verwaltungscluster mit Einstellungen, die bei jedem Aufruf der Schnittstelle des Installationsprogramms gespeichert werden. Je nach Infrastruktur, in der Sie den Verwaltungscluster bereitgestellt haben, können Sie diese Dateien als Vorlagen für Clusterkonfigurationsdateien für neue Bereitstellungen in derselben Infrastruktur verwenden. Alternativ können Sie Konfigurationsdateien des Verwaltungsclusters anhand der Vorlagen in dieser Dokumentation erstellen.

  • Um die Konfigurationsdatei aus einer vorherigen Bereitstellung zu verwenden, die mithilfe der Schnittstelle des Installationsprogramms durchgeführt wurde, erstellen Sie eine Kopie der Konfigurationsdatei mit einem neuen Namen, öffnen Sie sie in einem Texteditor und aktualisieren Sie die Konfiguration. Informationen zum Aktualisieren aller Einstellungen finden Sie in der Variablenreferenz für Konfigurationsdatei.
  • Informationen zum Erstellen einer neuen Konfigurationsdatei finden Sie weiter unten unter Erstellen einer Verwaltungscluster-Konfigurationsdatei. Dieser Abschnitt enthält Konfigurationsdateivorlagen für jede Zielplattform.

VMware empfiehlt die Verwendung einer dedizierten Konfigurationsdatei für jeden Verwaltungscluster mit konfigurationsspezifischen Einstellungen für einzelne Infrastrukturen.

Erstellen einer Verwaltungscluster-Konfigurationsdatei

Erstellen Sie anhand der folgenden Anweisungen und Vorlagen eine eigenständige Verwaltungscluster-Konfigurationsdatei.

Details zu den einzelnen Variablen finden Sie in der Variablenreferenz für Konfigurationsdatei.

Wichtig

- Wie unter Konfigurieren des Verwaltungsclusters beschrieben, überschreiben Umgebungsvariablen Werte aus einer Clusterkonfigurationsdatei. Um alle Einstellungen aus einer Clusterkonfigurationsdatei zu verwenden, heben Sie die Auswahl aller in Konflikt stehenden Umgebungsvariablen auf, bevor Sie den Verwaltungscluster über die CLI bereitstellen. - Die Unterstützung für IPv6-Adressen in Tanzu Kubernetes Grid ist begrenzt. Weitere Informationen finden Sie unter Bereitstellen von Clustern auf IPv6 (nur vSphere). Wenn die Bereitstellung nicht in einer auf IPv6 beschränkten Netzwerkumgebung erfolgt, müssen alle IP-Adresseinstellungen in Ihren Konfigurationsdateien IPv4 sein. - Einige Parameter konfigurieren identische Eigenschaften. Beispielsweise werden mit der Eigenschaft SIZE dieselben Infrastruktureinstellungen wie alle Größen- und Typeneigenschaften der Steuerungsebenen- und Worker-Knoten für die verschiedenen Zielplattformen konfiguriert, allerdings auf einer allgemeineren Ebene. Vermeiden Sie es in solchen Fällen, in Konflikt stehende oder redundante Eigenschaften festzulegen.

So erstellen Sie eine Konfigurationsdatei für die Bereitstellung eines eigenständigen Verwaltungsclusters:

  1. Kopieren Sie den Inhalt der Vorlage für Ihre Zielplattform und fügen Sie ihn in einen Texteditor ein.

    Kopieren Sie eine Vorlage aus einem der folgenden Speicherorte:

    Wenn Sie beispielsweise bereits einen Verwaltungscluster über die Schnittstelle des Installationsprogramms bereitgestellt haben, können Sie die Datei am Standardspeicherort für Clusterkonfigurationen speichern: ~/.config/tanzu/tkg/clusterconfigs.

  2. Speichern Sie die Datei mit der Dateiendung .yaml und einem geeigneten Namen, z. B. aws-mgmt-cluster-config.yaml.

In den folgenden Abschnitten wird neben der Aktualisierung der Einstellungen, die für alle Zielplattformen gleich sind, auch die Aktualisierung der Einstellungen beschrieben, die für vSphere, AWS und Azure spezifisch sind.

Konfigurieren von grundlegenden Informationen zur Erstellung von Verwaltungsclustern

Die grundlegenden Einstellungen für die Erstellung eines Verwaltungsclusters definieren die Infrastruktur, in der der Verwaltungscluster bereitgestellt werden soll, sowie andere grundlegende Einstellungen. Diese Einstellungen gelten für alle Zielplattformen.

  • Geben Sie für CLUSTER_PLAN an, ob Sie einen Entwicklungscluster bereitstellen möchten, der einen einzelnen Steuerungsebenenknoten bereitstellt, oder einen Produktionscluster, der einen hochverfügbaren Verwaltungscluster mit drei Steuerungsebenenknoten bereitstellt. Geben Sie dev oder prod an.
  • Geben Sie für INFRASTRUCTURE_PROVIDER aws, azure oder vsphere an.

    INFRASTRUCTURE_PROVIDER: aws
    
    INFRASTRUCTURE_PROVIDER: azure
    
    INFRASTRUCTURE_PROVIDER: vsphere
    
  • Deaktivieren Sie optional die Teilnahme am Programm zur Verbesserung der Benutzerfreundlichkeit (Customer Experience Improvement Program, CEIP) von VMware, indem Sie ENABLE_CEIP_PARTICIPATION auf false festlegen. Informationen zu CEIP finden Sie unter Teilnahme an CEIP verwalten und https://www.vmware.com/solutions/trustvmware/ceip.html.

  • Deaktivieren Sie optional die Überwachungsprotokollierung, indem Sie ENABLE_AUDIT_LOGGING auf false festlegen. Informationen zur Überwachungsprotokollierung finden Sie unter Überwachungsprotokollierung.
  • Wenn die empfohlenen CIDR-Bereiche 100.64.0.0/13 und 100.96.0.0/11 nicht verfügbar sind, aktualisieren Sie CLUSTER_CIDR für das Cluster-Pod-Netzwerk und SERVICE_CIDR für das Clusterdienstnetzwerk.

Beispiel:

#! ---------------------------------------------------------------------
#! Basic cluster creation configuration
#! ---------------------------------------------------------------------

CLUSTER_NAME: aws-mgmt-cluster
CLUSTER_PLAN: dev
INFRASTRUCTURE_PROVIDER: aws
ENABLE_CEIP_PARTICIPATION: true
ENABLE_AUDIT_LOGGING: true
CLUSTER_CIDR: 100.96.0.0/11
SERVICE_CIDR: 100.64.0.0/13

Konfiguration der Identitätsverwaltung

Legen Sie IDENTITY_MANAGEMENT_TYPE auf ldap oder oidc fest. Legen Sie diese Option auf none fest oder lassen Sie sie unausgefüllt, um die Identitätsverwaltung zu deaktivieren. Es wird dringend empfohlen, die Identitätsverwaltung für Produktionsbereitstellungen zu aktivieren.

IDENTITY_MANAGEMENT_TYPE: oidc
IDENTITY_MANAGEMENT_TYPE: ldap

OIDC

Um OIDC zu konfigurieren, aktualisieren Sie die folgenden Variablen. Informationen zum Konfigurieren der Variablen finden Sie unter Identitätsanbieter – OIDC in der Variablenreferenz für Konfigurationsdatei.

Beispiel:

OIDC_IDENTITY_PROVIDER_CLIENT_ID: 0oa2i[...]NKst4x7
OIDC_IDENTITY_PROVIDER_CLIENT_SECRET: 331!b70[...]60c_a10-72b4
OIDC_IDENTITY_PROVIDER_GROUPS_CLAIM: groups
OIDC_IDENTITY_PROVIDER_ISSUER_URL: https://dev-[...].okta.com
OIDC_IDENTITY_PROVIDER_SCOPES: openid,groups,email
OIDC_IDENTITY_PROVIDER_USERNAME_CLAIM: email

LDAP

Um LDAP zu konfigurieren, heben Sie die Kommentierung der LDAP_* Variablen auf und aktualisieren Sie sie mit Informationen zu Ihrem LDAPS-Server. Informationen zum Konfigurieren der Variablen finden Sie unter Identitätsanbieter – LDAP in der Variablenreferenz für Konfigurationsdatei.

Beispiel:

LDAP_BIND_DN: ""
LDAP_BIND_PASSWORD: ""
LDAP_GROUP_SEARCH_BASE_DN: dc=example,dc=com
LDAP_GROUP_SEARCH_FILTER: (objectClass=posixGroup)
LDAP_GROUP_SEARCH_GROUP_ATTRIBUTE: memberUid
LDAP_GROUP_SEARCH_NAME_ATTRIBUTE: cn
LDAP_GROUP_SEARCH_USER_ATTRIBUTE: uid
LDAP_HOST: ldaps.example.com:636
LDAP_ROOT_CA_DATA_B64: ""
LDAP_USER_SEARCH_BASE_DN: ou=people,dc=example,dc=com
LDAP_USER_SEARCH_FILTER: (objectClass=posixAccount)
LDAP_USER_SEARCH_NAME_ATTRIBUTE: uid
LDAP_USER_SEARCH_USERNAME: uid

Konfiguration von Proxys

Um optional ausgehenden HTTP(S)-Datenverkehr vom Verwaltungscluster an einen Proxy zu senden, z. B. in einer Umgebung mit Internetbeschränkungen, heben Sie die Kommentierung der *_PROXY-Einstellungen auf und legen Sie sie fest. Die Proxy-Einstellungen gelten für alle Zielplattformen. Sie können einen Proxy für HTTP-Anforderungen und einen anderen Proxy für HTTPS-Anforderungen oder denselben Proxy für HTTP- und HTTPS-Anforderungen verwenden. Sie können Proxys nach der Bereitstellung des Clusters nicht mehr ändern.

Hinweis

In vSphere kann der Datenverkehr von Cluster-VMs zu vCenter nicht per Proxy ausgeführt werden. In einer Proxy-vSphere-Umgebung müssen Sie entweder VSPHERE_INSECURE auf true festlegen oder die vCenter IP-Adresse bzw. den Hostnamen zur Liste TKG_NO_PROXY hinzufügen.

  • TKG_HTTP_PROXY_ENABLED: Legen Sie dies auf true fest, um einen Proxy zu konfigurieren.

  • TKG_PROXY_CA_CERT: Legen Sie dies auf die Zertifizierungsstelle des Proxyservers fest, wenn das Zertifikat selbstsigniert ist.

  • TKG_HTTP_PROXY: Dies ist die URL des Proxys, der HTTP-Anforderungen verarbeitet. Um die URL festzulegen, verwenden Sie das folgende Format:

    PROTOCOL://USERNAME:PASSWORD@FQDN-OR-IP:PORT
    

    Dabei gilt:

    • (Erforderlich) PROTOCOL: Dies muss http sein.
    • (Optional) USERNAME und PASSWORD: Dies sind HTTP-Proxy-Benutzername und -Kennwort. Sie müssen USERNAME und PASSWORD festlegen, wenn für den Proxy eine Authentifizierung erforderlich ist.

    Hinweis: Bei der Bereitstellung von Verwaltungsclustern über CLI können die folgenden nicht alphanumerischen Zeichen in Kennwörtern nicht verwendet werden: # ` ^ | / \ ? % ^ { [ ] }" < > .

    • (Erforderlich) FQDN-OR-IP: Dies ist der FQDN oder die IP-Adresse Ihres HTTP-Proxys.
    • (Erforderlich) PORT: Dies ist die Portnummer, die Ihr HTTP-Proxy verwendet.

    Beispiel: http://user:password@myproxy.com:1234.

  • TKG_HTTPS_PROXY: Dies ist die URL des Proxys, der HTTPS-Anforderungen verarbeitet. Sie können TKG_HTTPS_PROXY auf denselben Wert wie TKG_HTTP_PROXY festlegen oder einen anderen Wert angeben. Um den Wert festzulegen, verwenden Sie das gleiche URL-Format wie im vorherigen Schritt, wobei:

    • (Erforderlich) PROTOCOL: Dies muss http sein.
    • (Optional) USERNAME und PASSWORD: Dies sind HTTPS-Proxy-Benutzername und -Kennwort. Sie müssen USERNAME und PASSWORD festlegen, wenn für den Proxy eine Authentifizierung erforderlich ist.

    Hinweis: Bei der Bereitstellung von Verwaltungsclustern über CLI können die folgenden nicht alphanumerischen Zeichen in Kennwörtern nicht verwendet werden: # ` ^ | / \ ? % ^ { [ ] }" < > .

    • (Erforderlich) FQDN-OR-IP: Dies ist der FQDN oder die IP-Adresse Ihres HTTPS-Proxys.
    • (Erforderlich) PORT: Dies ist die Portnummer, die Ihr HTTPS-Proxy verwendet.

    Beispiel: http://user:password@myproxy.com:1234.

  • TKG_NO_PROXY: Hiermit werden ein oder mehrere kommagetrennte Netzwerk-CIDRs oder Hostnamen festgelegt, die den HTTP(S)-Proxy umgehen müssen, um beispielsweise dem Verwaltungscluster die direkte Kommunikation mit der Infrastruktur zu ermöglichen, die im selben Netzwerk hinter demselben Proxy ausgeführt wird. Verwenden Sie in der Einstellung für kommagetrennte Listen keine Leerzeichen. Beispiel: noproxy.yourdomain.com,192.168.0.0/24.

    In vSphere muss diese Liste Folgendes enthalten:

    • Ihre vCenter-IP-Adresse oder den vCenter-Hostnamen.
    • Das CIDR von VSPHERE_NETWORK, das die IP-Adresse Ihres Steuerungsebenen-Endpoints enthält. Wenn Sie VSPHERE_CONTROL_PLANE_ENDPOINT auf einen FQDN festlegen, fügen Sie diesen FQDN auch zur TKG_NO_PROXY-Liste hinzu.

    Intern hängt Tanzu Kubernetes Grid localhost, 127.0.0.1, die Werte von CLUSTER_CIDR und SERVICE_CIDR, .svc und .svc.cluster.local an den Wert an, der in TKG_NO_PROXY festgelegt wurde. Außerdem werden Ihr AWS VPC-CIDR und 169.254.0.0/16 für Bereitstellungen unter AWS und Ihr Azure VNET-CIDR, 169.254.0.0/16, und 168.63.129.16 für Bereitstellungen unter Azure angehängt. Für vSphere müssen Sie das CIDR von VSPHERE_NETWORK, das die IP-Adresse Ihres Steuerungsebenen-Endpoints enthält, manuell zu TKG_NO_PROXY hinzufügen. Wenn Sie VSPHERE_CONTROL_PLANE_ENDPOINT auf einen FQDN festlegen, fügen Sie sowohl den FQDN als auch VSPHERE_NETWORK zu TKG_NO_PROXY hinzu.

    Wichtig

    Wenn die Cluster-VMs mit externen Diensten und Infrastruktur-Endpoints in Ihrer Tanzu Kubernetes Grid-Umgebung kommunizieren müssen, stellen Sie sicher, dass diese Endpoints über die oben festgelegten Proxys erreichbar sind, oder fügen Sie sie TKG_NO_PROXY hinzu. Je nach Konfiguration Ihrer Umgebung kann dafür unter anderem Folgendes erforderlich sein:

    • Ihr OIDC- oder LDAP-Server
    • Harbor
    • VMware NSX
    • NSX Advanced Load Balancer
    • AWS-VPC-CIDRs, die sich außerhalb des Clusters befinden

Beispiel:

#! ---------------------------------------------------------------------
#! Proxy configuration
#! ---------------------------------------------------------------------

TKG_HTTP_PROXY_ENABLED: true
TKG_PROXY_CA_CERT: "LS0t[...]tLS0tLQ==""
TKG_HTTP_PROXY: "http://myproxy.com:1234"
TKG_HTTPS_PROXY: "http://myproxy.com:1234"
TKG_NO_PROXY: "noproxy.yourdomain.com,192.168.0.0/24"

Konfigurieren der Knoteneinstellungen

Standardmäßig wird Ubuntu v20.04 auf allen Clusterknoten für sämtliche Zielplattformen ausgeführt. In vSphere können Sie optional Cluster bereitstellen, auf deren Knoten Photon OS ausgeführt wird. In AWS können Knoten optional Amazon Linux 2 ausführen. Für die Architektur lautet die standardmäßige und aktuelle Option amd64. Informationen zu den Betriebssystems- und Versionseinstellungen finden Sie unter Knotenkonfiguration in der Variablenreferenz für Konfigurationsdatei.

Beispiel:

#! ---------------------------------------------------------------------
#! Node configuration
#! ---------------------------------------------------------------------

OS_NAME: "photon"
OS_VERSION: "3"
OS_ARCH: "amd64"

Wie Sie Konfiguration und Größen der Knotenberechnungen festlegen, hängt von der Zielplattform ab. Weitere Informationen finden Sie unter Konfiguration des Verwaltungsclusters für vSphere, Konfiguration des Verwaltungsclusters für AWS oder Konfiguration des Verwaltungsclusters für Microsoft Azure.

Konfiguration von Maschinenintegritätsprüfungen

Aktualisieren Sie optional Variablen entsprechend Ihrer Bereitstellungseinstellungen und unter Beachtung der Richtlinien im Abschnitt Maschinenintegritätsprüfungen der Variablenreferenz für Konfigurationsdatei.

Beispiel:

ENABLE_MHC:
ENABLE_MHC_CONTROL_PLANE: true
ENABLE_MHC_WORKER_NODE: true
MHC_MAX_UNHEALTHY_CONTROL_PLANE: 60%
MHC_MAX_UNHEALTHY_WORKER_NODE: 60%
MHC_UNKNOWN_STATUS_TIMEOUT: 10m
MHC_FALSE_STATUS_TIMEOUT: 20m

Konfiguration einer privaten Image-Registrierung

Wenn Sie den Verwaltungscluster in einer Umgebung mit Internetbeschränkungen bereitstellen, heben Sie die Kommentierung der TKG_CUSTOM_IMAGE_REPOSITORY_*-Einstellungen auf und aktualisieren Sie sie. Diese Einstellungen gelten für alle Zielplattformen. Sie müssen die Einstellungen für die private Image-Registrierung nicht konfigurieren, wenn:

  • Sie den Verwaltungscluster in einer Umgebung mit Internetbeschränkungen bereitstellen und die TKG_CUSTOM_IMAGE_REPOSITORY_*-Variablen mit dem Befehl tanzu config set festgelegt wurden, wie unter Vorbereitung einer Umgebung mit Internetbeschränkungen beschrieben. Umgebungsvariablen, die mithilfe von tanzu config set festgelegt wurden, setzen Werte aus einer Clusterkonfigurationsdatei außer Kraft.
  • Wenn Sie den Verwaltungscluster in einer Umgebung bereitstellen, die Zugriff auf das externe Internet ermöglicht.

Beispiel:

#! ---------------------------------------------------------------------
#! Image repository configuration
#! ---------------------------------------------------------------------

TKG_CUSTOM_IMAGE_REPOSITORY: "custom-image-repository.io/yourproject"
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE: "LS0t[...]tLS0tLQ=="

Konfiguration des Antrea-CNI

Standardmäßig stellen Cluster, die über die Tanzu CLI bereitgestellt werden, clusterinterne Containernetzwerke über die Antrea Container-Netzwerkschnittstelle (Container Network Interface, CNI) bereit.

Sie können optional die Quellnetzwerkadressübersetzung (Source Network Address Translation, SNAT) für Pod-Datenverkehr deaktivieren, hybrid-, noEncap-, NetworkPolicyOnly-Datenverkehrskapselungsmodi implementieren, Proxys und Netzwerkrichtlinien verwenden und Traceflow implementieren.

Weitere Informationen zu Antrea finden Sie in den folgenden Ressourcen:

Um optional diese Funktionen auf Antrea zu konfigurieren, heben Sie die Kommentierung der Variable ANTREA_* auf und aktualisieren Sie sie. Beispiel:

#! ---------------------------------------------------------------------
#! Antrea CNI configuration
#! ---------------------------------------------------------------------

ANTREA_NO_SNAT: true
ANTREA_NODEPORTLOCAL: true
ANTREA_NODEPORTLOCAL_ENABLED: true
ANTREA_NODEPORTLOCAL_PORTRANGE: 61000-62000
ANTREA_TRAFFIC_ENCAP_MODE: "encap"
ANTREA_PROXY: true
ANTREA_PROXY_ALL: true
ANTREA_PROXY_LOAD_BALANCER_IPS: false
ANTREA_PROXY_NODEPORT_ADDRS:
ANTREA_PROXY_SKIP_SERVICES: ""
ANTREA_POLICY: true
ANTREA_TRACEFLOW: true
ANTREA_DISABLE_UDP_TUNNEL_OFFLOAD: false
ANTREA_ENABLE_USAGE_REPORTING: false
ANTREA_EGRESS: true
ANTREA_EGRESS_EXCEPT_CIDRS: ""
ANTREA_FLOWEXPORTER: false
ANTREA_FLOWEXPORTER_COLLECTOR_ADDRESS: "flow-aggregator.flow-aggregator.svc:4739:tls"
ANTREA_FLOWEXPORTER_POLL_INTERVAL: "5s"
ANTREA_FLOWEXPORTER_ACTIVE_TIMEOUT: "5s"
ANTREA_FLOWEXPORTER_IDLE_TIMEOUT: "15s"
ANTREA_IPAM: false
ANTREA_KUBE_APISERVER_OVERRIDE: ""
ANTREA_MULTICAST: false
ANTREA_MULTICAST_INTERFACES: ""
ANTREA_NETWORKPOLICY_STATS: true
ANTREA_SERVICE_EXTERNALIP: true
ANTREA_TRAFFIC_ENCRYPTION_MODE: none
ANTREA_TRANSPORT_INTERFACE: ""
ANTREA_TRANSPORT_INTERFACE_CIDRS: ""

Konfiguration von IaaS-spezifischen Variablen

Aktualisieren Sie die Konfigurationsdateieinstellungen für vSphere, AWS oder Azure. Informationen zu den für jede Zielplattform spezifischen Konfigurationsdateieinstellungen finden Sie in den entsprechenden Themen:

Führen Sie den Befehl tanzu mc create aus.

Nachdem Sie die Clusterkonfigurationsdatei erstellt oder aktualisiert und die neueste BoM heruntergeladen haben, können Sie einen Verwaltungscluster bereitstellen, indem Sie den Befehl tanzu mc create --file CONFIG-FILE ausführen, wobei CONFIG-FILE der Name der Konfigurationsdatei ist. Wenn Ihre Konfigurationsdatei die Standarddatei ~/.config/tanzu/tkg/cluster-config.yaml ist, können Sie die Option --file auslassen. Wenn Sie das Kubernetes-Manifest überprüfen möchten, das vom Befehl tanzu mc create verwendet wird, können Sie optional das Flag --dry-run verwenden, um das Manifest auszugeben, ohne Änderungen vorzunehmen. Dieser Aufruf führt weiterhin die unten beschriebenen Validierungsprüfungen aus, bevor das Kubernetes-Manifest generiert wird.

Vorsicht

Der Befehl tanzu mc create nimmt einige Zeit in Anspruch. Führen Sie während der Ausführung von tanzu mc create keine zusätzlichen Aufrufe von tanzu mc create auf derselben Bootstrap-Maschine aus, um mehrere Verwaltungscluster bereitzustellen, den Kontext zu ändern oder ~/.kube-tkg/config zu bearbeiten.

Um einen Verwaltungscluster bereitzustellen, verwenden Sie den Befehl tanzu mc create. Beispiel:

tanzu mc create --file path/to/cluster-config-file.yaml

Validierungsprüfungen

Wenn Sie tanzu mc create ausführen, führt der Befehl mehrere Validierungsprüfungen durch, bevor der Verwaltungscluster bereitgestellt wird. Die Prüfungen unterscheiden sich entsprechend der Infrastruktur, in der Sie den Verwaltungscluster bereitstellen.

vSphere
Der Befehl überprüft, ob die zielseitige vSphere-Infrastruktur die folgenden Anforderungen erfüllt:
  • Die angegebenen vSphere-Anmeldedaten sind gültig.
  • Knoten erfüllen die Größen-Mindestanforderungen.
  • Die Basisimage-Vorlage ist in vSphere vorhanden und für die angegebene Kubernetes-Version gültig.
  • Erforderliche Ressourcen, einschließlich Ressourcenpool, Datenspeicher und Ordner, sind in vSphere vorhanden.
AWS
Der Befehl überprüft, ob die AWS-Zielinfrastruktur die folgenden Anforderungen erfüllt:
  • Die von Ihnen angegebenen AWS-Anmeldedaten sind gültig.
  • Cloud Formation Stack ist vorhanden.
  • Knoteninstanztyp wird unterstützt.
  • Region und AZ stimmen überein.
Azure
Der Befehl überprüft, ob die Azure-Zielinfrastruktur die folgenden Anforderungen erfüllt:
  • Die von Ihnen angegebenen Azure-Anmeldedaten sind gültig.
  • Der öffentliche SSH-Schlüssel ist im Base64-Format codiert.
  • Der Knoteninstanztyp wird unterstützt.

Ist eine dieser Bedingungen nicht erfüllt, schlägt der Befehl tanzu mc create fehl.

Überwachen des Fortschritts

Wenn Sie tanzu mc create ausführen, können Sie den Fortschritt der Bereitstellung des Verwaltungsclusters im Terminal verfolgen. Die erste Ausführung von tanzu mc create dauert länger als nachfolgende Ausführungen, da die erforderlichen Docker-Images in den Image-Speicher auf Ihrer Bootstrap-Maschine eingefügt werden müssen. Für nachfolgende Ausführungen ist dieser Schritt nicht erforderlich, daher erfolgen sie schneller.

Wenn tanzu mc create vor der Bereitstellung des Verwaltungsclusters fehlschlägt, sollten Sie die Artefakte auf Ihrer Bootstrap-Maschine bereinigen, bevor Sie tanzu mc create erneut ausführen. Weitere Informationen finden Sie im Thema Fehlerbehebung bei Problemen mit dem Verwaltungscluster. Wenn die Maschine, auf der Sie tanzu mc create ausführen, vor Abschluss der lokalen Vorgänge heruntergefahren oder neu gestartet wird, schlägt die Bereitstellung fehl.

Wenn die Bereitstellung erfolgreich ist, wird eine Bestätigungsmeldung im Terminal angezeigt:

Management cluster created! You can now create your first workload cluster by running tanzu cluster create [name] -f [file]

Nächste Schritte

  • Konfiguration der Identitätsverwaltung: Wenn Sie die OIDC- oder LDAP-Identitätsverwaltung für den Verwaltungscluster aktiviert haben, müssen Sie nach der Bereitstellung die unter Abschließen der Konfiguration des Identitätsanbieters beschriebenen Schritte ausführen, um den Zugriff zu aktivieren.
  • Registrieren Ihres Verwaltungsclusters bei Tanzu Mission Control: Wenn Sie Ihren Verwaltungscluster bei Tanzu Mission Control registrieren möchten, finden Sie weitere Informationen unter Registrieren Ihres Verwaltungsclusters bei Tanzu Mission Control.
  • Bereitstellen von Arbeitslastclustern: Nachdem Ihr Verwaltungscluster erstellt wurde, können Sie Arbeitslastcluster bereitstellen, wie unter Erstellen und Verwalten von TKG 2.2-Arbeitslastclustern mit der Tanzu CLI beschrieben.
  • Bereitstellen eines weiteren Verwaltungsclusters: Informationen zum Bereitstellen mehrerer Verwaltungscluster auf vSphere, Azure und AWS finden Sie unter Verwalten Ihrer Verwaltungscluster. Dieses Thema enthält auch Informationen zum Hinzufügen vorhandener Verwaltungscluster zu Ihrer CLI-Instanz, zum Abrufen von Anmeldedaten, zum Skalieren und Löschen von Verwaltungsclustern, zum Hinzufügen von Namespaces und zur An- oder Abmeldung bei CEIP.

Informationen dazu, was während der Bereitstellung des Verwaltungsclusters passiert ist, wie Sie kubectl mit dem Verwaltungscluster verbinden, wie Sie Namespaces erstellen und wie Sie den Verwaltungscluster bei Tanzu Mission Control registrieren, finden Sie unter Untersuchen und Registrieren eines neu bereitgestellten eigenständigen Verwaltungsclusters.

check-circle-line exclamation-circle-line close-line
Scroll to top icon