In diesem Thema wird beschrieben, wie Sie die Installationsschnittstelle von Tanzu Kubernetes Grid verwenden, um einen Verwaltungscluster auf vSphere, wenn vSphere with Tanzu-Supervisor nicht aktiviert ist, auf Amazon Web Services (AWS) und auf Microsoft Azure bereitzustellen. Die Schnittstelle des Tanzu Kubernetes Grid-Installationsprogramms führt Sie durch die Bereitstellung des Verwaltungsclusters und bietet verschiedene Konfigurationen, die Sie auswählen oder neu konfigurieren können. Wenn Sie zum ersten Mal einen Verwaltungscluster für eine bestimmte Zielplattform bereitstellen, sollten Sie die Benutzeroberfläche des Installationsprogramms verwenden, außer in den Fällen, in denen die Bereitstellung aus einer Konfigurationsdatei durchgeführt werden muss.
WichtigTanzu Kubernetes Grid v2.4.x ist die letzte Version von TKG, die die Erstellung eigenständiger TKG-Verwaltungscluster auf AWS und Azure unterstützt. Die Möglichkeit, eigenständige TKG-Verwaltungscluster auf AWS und Azure zu erstellen, wird in Tanzu Kubernetes Grid v2.5 entfernt.
Ab sofort empfiehlt VMware die Verwendung von Tanzu Mission Control zur Erstellung nativer AWS EKS- und AWS AKS-Cluster anstelle neuer eigenständiger TKG-Verwaltungscluster oder neuer TKG-Arbeitslastcluster in AWS und Azure. Informationen zum Erstellen nativer AWS EKS- und Azure AKS-Cluster mit Tanzu Mission Control finden Sie unter Verwalten des Lebenszyklus von AWS EKS-Clustern und Verwalten des Lebenszyklus von Azure AKS-Clustern in der Dokumentation zu Tanzu Mission Control.
Weitere Informationen finden Sie unter Veraltete TKG-Verwaltungs- und -Arbeitslastcluster in AWS und Azure in den Versionshinweisen zu VMware Tanzu Kubernetes Grid v2.4.
Bevor Sie einen Verwaltungscluster bereitstellen können, müssen Sie sicherstellen, dass Ihre Umgebung die Anforderungen der Zielplattform erfüllt.
Für Produktionsbereitstellungen wird dringend empfohlen, die Identitätsverwaltung für Ihre Cluster zu aktivieren. Informationen zu den vorbereitenden Schritten, die vor der Bereitstellung eines Verwaltungsclusters durchgeführt werden müssen, finden Sie unter Abrufen Ihrer Identitätsanbieterinformationen in Konfiguration der Identitätsverwaltung.
Wenn Sie Cluster in einer Umgebung mit Internetbeschränkungen für vSphere oder AWS bereitstellen, müssen Sie auch die Schritte in Vorbereiten einer Umgebung mit Internetbeschränkungen durchführen. Diese Schritte umfassen das Festlegen von TKG_CUSTOM_IMAGE_REPOSITORY
als Umgebungsvariable.
Für jede Zielplattform gelten zusätzliche Voraussetzungen, um den Verwaltungscluster bereitzustellen.
HinweisAuf vSphere with Tanzu in vSphere 8 müssen Sie keinen Verwaltungscluster bereitstellen. Weitere Informationen finden Sie unter vSphere with Tanzu Supervisor ist ein Verwaltungscluster.
t3.large
oder t3.xlarge
finden Sie unter Amazon EC2-Instanztypen.Standard_D2s_v3
oder Standard_D4s_v3
finden Sie unter Größen virtueller Maschinen in Azure.Standardmäßig speichert Tanzu Kubernetes Grid die Datei kubeconfig
für alle Verwaltungscluster im Verzeichnis ~/.kube-tkg/config
. Wenn Sie die Datei kubeconfig
für Ihren Verwaltungscluster an einem anderen Speicherort speichern möchten, legen Sie die Umgebungsvariable KUBECONFIG
fest, bevor Sie tanzu mc create
ausführen.
Führen Sie auf der Maschine, auf der Sie die Tanzu CLI heruntergeladen und installiert haben, den Befehl tanzu mc create
mit der Option --ui
aus:
tanzu management-cluster create --ui
Wenn die Voraussetzungen erfüllt sind, wird die Schnittstelle des Installationsprogramms in einem Browser gestartet und führt Sie durch die Schritte zum Konfigurieren des Verwaltungsclusters.
VorsichtDer Befehl
tanzu mc create
nimmt einige Zeit in Anspruch. Führen Sie während der Ausführung vontanzu mc create
keine zusätzlichen Aufrufe vontanzu mc create
auf derselben Bootstrap-Maschine aus, um mehrere Verwaltungscluster bereitzustellen, den Kontext zu ändern oder~/.kube-tkg/config
zu bearbeiten.
Im Abschnitt Optionen der Schnittstelle des Installationsprogramms wird erläutert, wie Sie ändern können, wo die Schnittstelle des Installationsprogramms ausgeführt wird, einschließlich der Möglichkeit einer Ausführung auf einer anderen Maschine über die Tanzu CLI.
Klicken Sie für VMware vSphere, Amazon EC2 oder Microsoft Azure auf die Schaltfläche Bereitstellen.
Standardmäßig öffnet tanzu mc create --ui
die Schnittstelle des Installationsprogramms lokal auf http://127.0.0.1:8080 in Ihrem Standardbrowser. Sie können die Optionen --browser
und --bind
verwenden, um zu steuern, wo die Schnittstelle des Installationsprogramms ausgeführt wird:
--browser
gibt den lokalen Browser an, in dem die Schnittstelle geöffnet werden soll.
chrome
, firefox
, safari
, ie
, edge
oder none
.none
mit --bind
, um die Schnittstelle wie unten beschrieben auf einer anderen Maschine auszuführen.--bind
gibt die IP-Adresse und den Port an, von denen aus die Schnittstelle bereitgestellt werden soll.
VorsichtDie Bereitstellung der Schnittstelle des Installationsprogramms über eine nicht standardmäßige IP-Adresse und einen nicht standardmäßigen Port könnte die Tanzu CLI einem potenziellen Sicherheitsrisiko aussetzen, solange die Schnittstelle ausgeführt wird. VMware empfiehlt die Übergabe einer IP und eines Port in einem sicheren Netzwerk an die Option
–bind
.
Anwendungsbeispiele für --browser
und --bind
:
http://127.0.0.1:8080
verwendet, verwenden Sie --bind
, um die Benutzeroberfläche von einem anderen lokalen Port aus zu bedienen.--browser none
verwenden.So führen Sie die Tanzu CLI aus und erstellen Verwaltungscluster auf einer Remotemaschine, während die Benutzeroberfläche des Installationsprogramms lokal oder an anderer Stelle ausgeführt wird:
Führen Sie auf der Remote-Bootstrap-Maschine tanzu mc create --ui
mit den folgenden Optionen und Werten aus:
--bind
: eine IP-Adresse und ein Port für die Remotemaschine--browser
: none
tanzu mc create --ui --bind 192.168.1.87:5555 --browser none
Navigieren Sie auf der Maschine mit der lokalen Benutzeroberfläche zur IP-Adresse der Remotemaschine, um auf die Benutzeroberfläche des Installationsprogramms zuzugreifen.
Die Optionen zum Konfigurieren der Zielplattform hängen vom verwendeten Anbieter ab.
Geben Sie im Abschnitt IaaS-Anbieter die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) der vCenter Server-Instanz ein, auf der der Verwaltungscluster bereitgestellt werden soll.
Die Unterstützung für IPv6-Adressen in Tanzu Kubernetes Grid ist begrenzt. Weitere Informationen finden Sie unter Bereitstellen von Clustern auf IPv6 (nur vSphere). Wenn die Bereitstellung nicht für eine auf IPv6 beschränkte Netzwerkumgebung vorgesehen ist, müssen Sie IPv4-Adressen mithilfe der folgenden Schritte angeben.
Geben Sie den vCenter Single Sign-On-Benutzernamen und das Kennwort für ein Benutzerkonto ein, das über die erforderlichen Berechtigungen für Tanzu Kubernetes Grid-Vorgänge verfügt.
Der Kontoname muss die Domäne enthalten, z. B. [email protected]
.
(Optional) Wählen Sie unter SL-Fingerabdrucküberprüfung die Option Verifizierung deaktivieren aus. Wenn Sie dieses Kontrollkästchen aktivieren, umgeht das Installationsprogramm die Verifizierung des Zertifikatfingerabdrucks beim Aufbau einer Verbindung mit dem vCenter Server.
Klicken Sie auf Verbinden.
Überprüfen Sie den SSL-Fingerabdruck des vCenter Server-Zertifikats und klicken Sie auf Weiter, wenn er gültig ist. Dieser Bildschirm wird nur angezeigt, wenn das obige Kontrollkästchen Verifizierung deaktivieren deaktiviert ist.
Informationen zum Abrufen des Fingerabdrucks des vCenter Server-Zertifikats finden Sie unter Abrufen von Fingerabdrücken des vSphere-Zertifikats.
Wenn Sie einen Verwaltungscluster auf einer vSphere 7- oder vSphere 8-Instanz bereitstellen, bestätigen Sie, ob Sie mit der Bereitstellung fortfahren möchten.
In vSphere 7 und vSphere 8 stellt vSphere with Tanzu einen integrierten Supervisor bereit, der als Verwaltungscluster funktioniert und eine bessere Benutzererfahrung bietet als ein eigenständiger Verwaltungscluster. Die Bereitstellung eines Tanzu Kubernetes Grid-Verwaltungsclusters in vSphere 7 oder vSphere 8 wird auch bei nicht vorhandenem Supervisor unterstützt, es ist jedoch vorzuziehen, vSphere with Tanzu zu aktivieren und nach Möglichkeit den Supervisor zu verwenden. Azure VMware Solution unterstützt keinen Supervisor-Cluster, sodass Sie einen Verwaltungscluster bereitstellen müssen.
Weitere Informationen finden Sie unter vSphere with Tanzu Supervisor ist ein Verwaltungscluster in Erstellen und Verwalten von TKG 2.3-Arbeitslastclustern mit der Tanzu CLI.
Wenn vSphere with Tanzu aktiviert ist, gibt die Benutzeroberfläche des Installationsprogramms an, dass Sie den TKG-Dienst als bevorzugte Methode zum Ausführen von Kubernetes-Arbeitslasten verwenden können. In diesem Fall benötigen Sie keinen eigenständigen Verwaltungscluster. Sie bietet eine Auswahlmöglichkeit:
Mit der Option Konfigurieren vSphere with Tanzu (Configure vSphere with Tanzu) wird der vSphere Client geöffnet, sodass Sie Ihren Supervisor konfigurieren können, wie unter Konfiguration und Verwalten eines Supervisors in der Dokumentation zu vSphere 8 beschrieben.
Mit der Option TKG-Verwaltungscluster bereitstellen (Deploy TKG Management Cluster) können Sie weiterhin einen eigenständigen Verwaltungscluster für vSphere 7 oder vSphere 8 und je nach Bedarf für eine Azure VMware Solution bereitstellen.
Wählen Sie im Dropdown-Menü Datencenter das Datencenter aus, in dem der Verwaltungscluster bereitgestellt werden soll.
Fügen Sie Ihren öffentlichen SSH-Schlüssel hinzu. Um Ihren öffentlichen SSH-Schlüssel hinzuzufügen, verwenden Sie die Option Datei durchsuchen oder fügen Sie den Inhalt des Schlüssels manuell in das Textfeld ein. Klicken Sie auf Weiter (Next).
Wählen Sie im Abschnitt IaaS-Anbieter aus, wie die Anmeldedaten für Ihr AWS-Konto bereitgestellt werden sollen. Die folgenden beiden Möglichkeiten stehen zur Verfügung:
Anmeldedatenprofil (empfohlen): Auswahl eines bereits vorhandenen AWS-Anmeldedatenprofils. Wenn Sie ein Profil auswählen, werden die für Ihr Profil konfigurierten Informationen zum Zugriffsschlüssel und zum Sitzungstoken an das Installationsprogramm übergeben, ohne dass die tatsächlichen Werte in der Benutzeroberfläche angezeigt werden. Informationen zum Einrichten von Anmeldedatenprofilen finden Sie unter Anmeldedatendateien und -profile.
Einmalige Anmeldedaten: Geben Sie die Anmeldedaten für das AWS-Konto direkt in die Felder Zugriffsschlüssel-ID und Geheimer Zugriffsschlüssel für Ihr AWS-Konto ein. Geben Sie optional ein AWS-Sitzungstoken in Sitzungstoken an, wenn Ihr AWS-Konto so konfiguriert ist, dass temporäre Anmeldedaten erforderlich sind. Weitere Informationen zum Abrufen eines Sitzungstokens finden Sie unter Verwenden temporärer Anmeldedaten mit AWS-Ressourcen.
Wählen Sie in Region die AWS-Region aus, in der der Verwaltungscluster bereitgestellt werden soll.
Wenn ein Produktionsverwaltungs-Cluster bereitgestellt werden soll, muss diese Region über mindestens drei Verfügbarkeitsbereiche verfügen.
Wählen Sie im Abschnitt VPC für AWS (VPC for AWS) die Option VPC-ID (VPC ID) aus dem Dropdown-Menü aus. Der Block VPC CIDR wird automatisch ausgefüllt, wenn Sie die VPC auswählen. Wenn Sie den Verwaltungscluster in einer Umgebung mit Internetbeschränkungen bereitstellen, z. B. in einer Proxy- oder Air-Gap-Umgebung, aktivieren Sie das Kontrollkästchen Dies ist keine internetseitige VPC (This is not an internet facing VPC).
WichtigWenn Sie zum ersten Mal einen Verwaltungscluster in Azure mit einer neuen Version von Tanzu Kubernetes Grid (z. B. v2.3) bereitstellen, müssen Sie sicherstellen, dass Sie die Lizenz für das Basisimage dieser Version akzeptiert haben. Weitere Informationen finden Sie in der Dokumentation zum Akzeptieren der Lizenz für das Basisimage in der Anleitung für die Vorbereitung der Bereitstellung von Verwaltungsclustern in Microsoft Azure.
Geben Sie im Abschnitt IaaS-Anbieter (IaaS Provider) die Werte Tenant-ID (Tenant ID), Client-ID (Client ID), Geheimer Clientschlüssel (Client Secret) und Abonnement-ID (Subscription ID) für Ihr Azure-Konto ein. Diese Werte wurden aufgezeichnet, als Sie eine Azure-App registriert und über das Azure-Portal einen geheimen Schlüssel dafür erstellt haben.
AZURE_ENVIRONMENT
andere Umgebungen angeben.Fügen Sie den Inhalt Ihres öffentlichen SSH-Schlüssels in das Textfeld ein, z. B. .ssh/id_rsa.pub
.
Wählen Sie unter Ressourcengruppe (Resource Group) entweder Vorhandene Ressourcengruppe auswählen (Select an existing resource group) oder Neue Ressourcengruppe erstellen (Create a new resource group) aus.
Wenn Sie Vorhandene Ressourcengruppe auswählen (Select an existing resource group) auswählen, verwenden Sie das Dropdown-Menü, um die Gruppe auszuwählen, und klicken Sie dann auf Weiter (Next).
Wenn Sie Neue Ressourcengruppe erstellen (Create a new resource group) auswählen, geben Sie einen Namen für die neue Ressourcengruppe ein und klicken Sie dann auf Weiter (Next).
Wählen Sie im Abschnitt VNet für Azure (VNet for Azure) entweder Neues VNet in Azure erstellen (Create a new VNet on Azure) oder Vorhandenes VNet auswählen (Select an existing VNet) aus.
Wenn Sie Neues VNet in Azure erstellen (Create a new VNet on Azure) auswählen, wählen Sie im Dropdown-Menü die Ressourcengruppe aus, in der das VNet erstellt werden soll, und geben Sie Folgendes an:
10.0.0.0/16
.10.0.0.0/24
.10.0.1.0/24
.Klicken Sie nach dem Konfigurieren dieser Felder auf Weiter (Next).
Wenn Sie Vorhandenes VNet auswählen (Select an existing VNet) auswählen, verwenden Sie die Dropdown-Menüs, um die Ressourcengruppe, in der sich das VNet befindet, den VNet-Namen und die Subnetze der Steuerungsebene sowie der Worker-Knoten auszuwählen, und klicken Sie dann auf Weiter (Next).
Aktivieren Sie das Kontrollkästchen Privater Azure-Cluster (Private Azure Cluster), um den Verwaltungscluster als privat festzulegen, wie unter Private Cluster in Azure beschrieben.
Einige der Optionen für die Konfiguration des Verwaltungsclusters hängen vom verwendeten Anbieter ab.
Wählen Sie im Abschnitt Verwaltungsclustereinstellungen (Management Cluster Settings) die Kachel Entwicklung (Development) oder Produktion (Production) aus.
Verwenden Sie in einer der Kacheln Entwicklung (Development) oder Produktion (Production) das Dropdown-Menü Instanztyp (Instance type), um aus verschiedenen Kombinationen von CPU, RAM und Speicher für die VM oder die VMs des Steuerungsebenenknotens auszuwählen.
Wählen Sie die Konfiguration für die VMs des Steuerungsebenenknotens entsprechend der erwarteten Arbeitslasten aus, die ausgeführt werden sollen. Beispielsweise benötigen einige Arbeitslasten möglicherweise eine große Rechenleistung, aber relativ wenig Speicher, während andere möglicherweise eine große Menge an Speicher und weniger Rechenleistung benötigen. Wenn Sie einen Instanztyp in der Kachel Produktion (Production) auswählen, wird der ausgewählte Instanztyp automatisch als Worker-Knoten-Instanztyp ausgewählt. Sie können dies bei Bedarf ändern.
Wenn Sie den Verwaltungscluster bei Tanzu Mission Control registrieren möchten, stellen Sie sicher, dass Ihre Arbeitslastcluster die unter Anforderungen für die Registrierung eines Tanzu Kubernetes-Clusters bei Tanzu Mission Control in der Dokumentation von Tanzu Mission Control aufgeführten Anforderungen erfüllen.
Geben Sie optional einen Namen für Ihren Verwaltungscluster ein.
Wenn Sie keinen Namen angeben, generiert Tanzu Kubernetes Grid automatisch einen eindeutigen Namen. Wenn Sie einen Namen angeben, muss dieser mit einem Buchstaben, nicht mit einem numerischen Zeichen, enden und mit den DNS-Hostnamenanforderungen übereinstimmen, die in RFC 952 beschrieben und in RFC 1123 geändert wurden.
(Optional) Aktivieren Sie das Kontrollkästchen Maschinenintegritätsprüfungen (Machine Health Checks), wenn Sie MachineHealthCheck
aktivieren möchten. Sie können MachineHealthCheck
auf Clustern nach der Bereitstellung mithilfe der CLI aktivieren oder deaktivieren. Eine Anleitung dafür finden Sie unter Konfiguration von Maschinenintegritätsprüfungen für Arbeitslastcluster.
(Optional) Aktivieren Sie das Kontrollkästchen Überwachungsprotokollierung aktivieren (Enable Audit Logging), um Anforderungen an den Kubernetes-API-Server aufzuzeichnen. Weitere Informationen finden Sie unter Überwachungsprotokollierung.
Konfigurieren Sie zusätzliche Einstellungen, die für Ihre Zielplattform spezifisch sind.
Wählen Sie unter Endpoint-Anbieter der Steuerungsebene (Control Plane Endpoint Provider) die Option Kube-Vip oder NSX Advanced Load Balancer aus, um die Komponente auszuwählen, die für den API-Server der Steuerungsebene verwendet werden soll.
Um NSX Advanced Load Balancer zu verwenden, müssen Sie ihn zuerst in Ihrer vSphere-Umgebung bereitstellen. Weitere Informationen finden Sie unter Installation von NSX Advanced Load Balancer. Weitere Informationen zu den Vorteilen der Verwendung von NSX Advanced Load Balancer als Endpoint-Anbieter der Steuerungsebene finden Sie unter Konfigurieren von NSX Advanced Load Balancer.
Geben Sie unter Steuerungsebenen-Endpoint (Control Plane Endpoint) eine statische virtuelle IP-Adresse oder einen FQDN für API-Anforderungen an den Verwaltungscluster ein. Diese Einstellung ist erforderlich, wenn Sie Kube-Vip verwenden.
Stellen Sie sicher, dass sich diese IP-Adresse nicht in Ihrem DHCP-Bereich, sondern im selben Subnetz wie der DHCP-Bereich befindet. Wenn Sie der VIP-Adresse einen FQDN zugeordnet haben, können Sie anstelle der VIP-Adresse den FQDN angeben. Weitere Informationen finden Sie unter Statische VIPs und Lastausgleichsdienste für vSphere.
Wenn Sie NSX Advanced Load Balancer als Endpoint-Anbieter der Steuerungsebene verwenden, wird die VIP automatisch aus dem statischen IP-Pool von NSX Advanced Load Balancer zugewiesen.
Geben Sie unter EC2-Schlüsselpaar (EC2 Key Pair) den Namen eines AWS-Schlüsselpaars an, das bereits bei Ihrem AWS-Konto und in der Region registriert ist, in der Sie den Verwaltungscluster bereitstellen. Sie haben dies möglicherweise in Konfiguration der AWS-Kontoanmeldedaten und des SSH-Schlüssels eingerichtet.
(Optional) Deaktivieren Sie das Kontrollkästchen Bastion-Host (Bastion Host), wenn in den Verfügbarkeitsbereichen, in denen Sie den Verwaltungscluster bereitstellen, bereits ein Bastion-Host vorhanden ist.
Wenn Sie diese Option aktiviert lassen, erstellt Tanzu Kubernetes Grid einen Bastion-Host für Sie.
Wenn Sie zum ersten Mal einen Verwaltungscluster in diesem AWS-Konto bereitstellen, aktivieren Sie das Kontrollkästchen Erstellung des AWS CloudFormation-Stacks automatisieren (Automate creation of AWS CloudFormation Stack).
Dieser CloudFormation-Stack erstellt die IAM-Ressourcen (Identity and Access Management), die Tanzu Kubernetes Grid zum Bereitstellen und Ausführen von Clustern auf AWS benötigt. Weitere Informationen finden Sie unter Von Tanzu Kubernetes Grid festgelegte Berechtigungen in Vorbereitung zum Bereitstellen von Verwaltungsclustern auf AWS.
Konfigurieren von Verfügbarkeitsbereichen:
Wählen Sie im Dropdown-Menü Verfügbarkeitsbereich 1 (Availability Zone 1) einen Verfügbarkeitsbereich für den Verwaltungscluster aus. Sie können nur dann einen Verfügbarkeitsbereich auswählen, wenn Sie die Kachel Entwicklung (Development) ausgewählt haben. Siehe hierzu die Abbildung unten.
Wählen Sie im Dropdown-Menü AZ1-Worker-Knoten-Instanztyp (AZ1 Worker Node Instance Type) die Konfiguration für die Worker-Knoten-VM aus der Liste der In diesem Verfügbarkeitsbereich verfügbaren Instanzen aus.
Wenn Sie oben die Kachel Produktion (Production) ausgewählt haben, verwenden Sie die Dropdown-Menüs Verfügbarkeitsbereich 2 (Availability Zone 2), Verfügbarkeitsbereich 3 (Availability Zone 3) und AZ-Worker-Knoten-Instanztyp (AZ Worker Node Instance Type), um drei eindeutige Verfügbarkeitsbereiche für den Verwaltungscluster auszuwählen.
Wenn Tanzu Kubernetes Grid den Verwaltungscluster bereitstellt, der drei Steuerungsebenenknoten und drei Worker-Knoten enthält, werden die Steuerungsebenen- und Worker-Knoten auf diese Verfügbarkeitszonen verteilt.
Verwenden Sie die Dropdown-Menüs Öffentliches VPC-Subnetz (VPC public subnet) und privates VPC-Subnetz (VPC private subnet), um Subnetze in der VPC auszuwählen.
Wenn Sie einen Produktionsverwaltungscluster bereitstellen, wählen Sie Subnetze für alle drei Verfügbarkeitsbereiche aus. Öffentliche Subnetze sind nicht verfügbar, wenn Sie im vorherigen Abschnitt Dies ist keine internetseitige VPC (This is not an internet facing VPC) ausgewählt haben. Die folgende Abbildung zeigt die Kachel Entwicklung (Development).
Klicken Sie auf Weiter (Next).
Das Konfigurieren von NSX Advanced Load Balancer betrifft nur vSphere-Bereitstellungen.
WichtigUm unter vSphere 8 NSX Advanced Load Balancer mit einem eigenständigen TKG-Verwaltungscluster und dessen Arbeitslastclustern zu verwenden, benötigen Sie NSX ALB v22.1.2 oder höher und TKG v2.1.1 oder höher.
Im optionalen Abschnitt VMware NSX Advanced Load Balancer können Sie Tanzu Kubernetes Grid für die Verwendung von NSX Advanced Load Balancer konfigurieren. Standardmäßig verwenden alle Arbeitslastcluster den Lastausgleichsdienst.
Fügen Sie den Inhalt der Zertifizierungsstelle, die zum Generieren Ihres Controller-Zertifikats verwendet wird, in das Textfeld Controller-Zertifizierungsstelle (Controller Certificate Authority) ein und klicken Sie auf Anmeldedaten verifizieren (Verify Credentials).
Der Zertifikatsinhalt beginnt mit -----BEGIN CERTIFICATE-----
.
Wenn Sie über ein selbstsigniertes Controller-Zertifikat verfügen, muss es ein SSL/TLS-Zertifikat verwenden, das auf der Avi Controller-Benutzeroberfläche > Verwaltung (Administration) > Einstellungen (Settings) > Zugriffseinstellungen (Access Settings) auf der Registerkarte Systemzugriffseinstellungen (System Access Settings) > SSL-Zertifikat (SSL Certificate) konfiguriert ist. Sie können die Inhalte von Zertifikaten abrufen, wie in Einrichten eines AVI-Controllers: beschrieben. Benutzerdefiniertes Zertifikat.
Verwenden Sie das Dropdown-Menü Cloudname (Cloud Name), um die Cloud auszuwählen, die Sie in Ihrer NSX Advanced Load Balancer-Bereitstellung erstellt haben.
Beispiel: Default-Cloud
.
Wählen Sie im Abschnitt Arbeitslastcluster (Workload Cluster) und Verwaltungscluster (Management Cluster) das Dropdown-Menü Name der Service-Engine-Gruppe (Service Engine Group Name) aus, um eine Dienstmodulgruppe auszuwählen.
Beispiel: Default-Group
.
Wählen Sie im Dropdown-Menü Name Arbeitslastcluster – Name des VIP-Netzwerks der Datenebene (Workload Cluster - Data Plane VIP Network Name) den Namen des Netzwerks aus, in dem sich der dynamische IP-Pool des Lastausgleichsdiensts befindet.
Dasselbe Netzwerk wird automatisch für die Verwendung durch die Daten- und Steuerungsebenen von Arbeitslastclustern und Verwaltungsclustern ausgewählt. Sie können diese bei Bedarf ändern.
Das VIP-Netzwerk für NSX ALB muss in derselben vCenter Server-Instanz wie das Kubernetes-Netzwerk vorhanden sein, das Tanzu Kubernetes Grid verwendet. Auf diese Weise kann NSX Advanced Load Balancer das Kubernetes-Netzwerk in vCenter Server erkennen und Dienst-Engines bereitstellen und konfigurieren.
Sie können das Netzwerk in der Ansicht Infrastruktur (Infrastructure) > Netzwerke (Networks) der Benutzeroberfläche von NSX Advanced Load Balancer anzeigen.
Wählen Sie in den Dropdown-Menüs Arbeitslastcluster – VIP-Netzwerk-CIDR der Datenebene (Workload Cluster - Data Plane VIP Network CIDR) und Arbeitslastcluster – VIP-Netzwerk-CIDR der Steuerungsebene (Workload Cluster - Control Plane VIP Network CIDR) das CIDR des Subnetzes aus, das für die Lastausgleichsdienst-VIP verwendet werden soll, damit es von den Daten- und Steuerungsebenen von Arbeitslast- und Verwaltungsclustern genutzt werden kann. Wenn das CIDR nicht ausgewählt werden kann, geben Sie es bitte ein.
Dies stammt aus einem der konfigurierten Subnetze des VIP-Netzwerks. Sie können das Subnetz-CIDR eines bestimmten Netzwerks in der Ansicht Infrastruktur (Infrastructure) > Netzwerke (Networks) der Benutzeroberfläche von NSX Advanced Load Balancer anzeigen. Dieselben CIDRs werden automatisch in den entsprechenden Verwaltungsclustereinstellungen angewendet. Sie können diese bei Bedarf ändern.
(Optional) Geben Sie eine oder mehrere Clusterbezeichnungen ein, um Cluster zu benennen, auf denen NSX ALB selektiv aktiviert werden soll, oder um NSX ALB-Einstellungen für verschiedene Clustergruppen anzupassen.
Standardmäßig ist NSX Advanced Load Balancer auf allen Arbeitslastclustern aktiviert, die mit diesem Verwaltungscluster bereitgestellt werden, und die Cluster teilen sich Controller, Cloud, Dienst-Engine-Gruppe und VIP-Netzwerk von VMware NSX Advanced Load Balancer. Dies kann später nicht geändert werden.
Optional können Sie NSX ALB nur auf einer Teilmenge von Clustern aktivieren oder die Möglichkeit aufrechterhalten, NSX ALB-Einstellungen später für verschiedene Clustergruppen anzupassen. Dies ist in den folgenden Szenarien nützlich:
Um NSX ALB selektiv und nicht global zu aktivieren, fügen Sie Bezeichnungen im Format key: value
hinzu. Die hier definierten Bezeichnungen werden zum Erstellen einer Bezeichnungsauswahl verwendet. Der Lastausgleichsdienst wird nur für Arbeitslastcluster-Cluster
objekte mit übereinstimmenden Bezeichnungen aktiviert. Folglich müssen Sie sicherstellen, dass das Cluster
objekt des Arbeitslastclusters die entsprechenden Bezeichnungen aufweist.
Wenn Sie beispielsweise team: tkg
verwenden, um den Lastausgleichsdienst auf einem Arbeitslastcluster zu aktivieren:
Legen Sie für kubectl
den Kontext des Verwaltungsclusters fest.
kubectl config use-context management-cluster@admin
Kennzeichnen Sie das Cluster
objekt des entsprechenden Arbeitslastclusters mit den definierten Bezeichnungen. Wenn Sie mehrere Schlüsselwerte definieren, müssen Sie sie alle anwenden.
kubectl label cluster <cluster-name> team=tkg
Klicken Sie auf Weiter (Next), um Metadaten zu konfigurieren.
Dieser Abschnitt ist für alle Zielplattformen identisch.
Geben Sie im optionalen Abschnitt Metadaten (Metadata) optional beschreibende Informationen zu diesem Verwaltungscluster an.
Alle hier angegebenen Metadaten gelten für den Verwaltungscluster und die Arbeitslastcluster, die er verwaltet, und können mithilfe des Clusterverwaltungstools Ihrer Wahl aufgerufen werden.
release : beta
, environment : staging
oder environment : production
. Weitere Informationen finden Sie unter Bezeichnungen und Selektoren in der Kubernetes-Dokumentation.Wenn Sie in vSphere bereitstellen, klicken Sie auf Weiter (Next), um zu Ressourcen konfigurieren zu wechseln. Wenn Sie in AWS oder Azure bereitstellen, klicken Sie auf Weiter (Next), um zu Kubernetes-Netzwerk und Proxys konfigurieren zu wechseln.
Dieser Abschnitt betrifft nur auf vSphere-Bereitstellungen.
Wählen Sie die vSphere-Datenspeicher aus, die vom Verwaltungscluster verwendet werden sollen. Die Speicherrichtlinie für die VMs kann nur angegeben werden, wenn Sie den Verwaltungscluster über eine Konfigurationsdatei bereitstellen.
Wählen Sie unter Verfügbarkeitszonen angeben (Specify Availability Zones) den Ort aus, an dem die Knoten des Verwaltungsclusters platziert werden sollen, und geben Sie dann die spezifischen Angaben ein:
Keine AZs: Um Knoten nach Cluster, Host oder Ressourcenpool zu platzieren, wählen Sie den Cluster, Host oder Ressourcenpool aus, in dem die Knoten platziert werden sollen.
Clusterbasierte AZs: Um Knoten über mehrere Computing-Cluster in einem Datencenter zu verteilen, geben Sie die zugehörigen AZs auf eine der folgenden Arten an:
Hostgruppenbasierte AZs: Um Knoten auf mehrere Hosts in einem einzigen Computing-Cluster zu verteilen, geben Sie deren AZs auf eine der folgenden Arten an:
HinweisWenn in vSphere noch keine geeigneten Ressourcen vorhanden sind, wechseln Sie zu vSphere, um sie zu erstellen, ohne das Installationsprogramm für Tanzu Kubernetes Grid zu beenden. Klicken Sie dann auf die Schaltfläche „Aktualisieren (Refresh)“, damit die neuen Ressourcen ausgewählt werden können.
Dieser Abschnitt ist für alle Zielplattformen identisch, wobei einige der von Ihnen bereitgestellten Informationen vom verwendeten Anbieter abhängen.
Konfigurieren Sie im Abschnitt Kubernetes-Netzwerk (Kubernetes Network) das Netzwerk für Kubernetes-Dienste und klicken Sie auf Weiter (Next).
100.64.0.0/13
und 100.96.0.0/11
nicht verfügbar sind, aktualisieren Sie die Werte unter Clusterdienst-CIDR (Cluster Service CIDR) und Cluster-Pod-CIDR (Cluster Pod CIDR).(Optional) Um ausgehenden HTTP(S)-Datenverkehr vom Verwaltungscluster an einen Proxy zu senden, z. B. in einer Umgebung mit Internetbeschränkungen, schalten Sie Proxy-Einstellungen aktivieren (Enable Proxy Settings) um und geben Sie anhand der folgenden Anweisungen Ihre Proxy-Informationen ein. Tanzu Kubernetes Grid wendet diese Einstellungen auf kubelet, containerd und die Steuerungsebene an.
Sie können einen Proxy für HTTP-Datenverkehr und einen anderen Proxy für HTTPS-Datenverkehr oder denselben Proxy für HTTP- und HTTPS-Datenverkehr verwenden.
WichtigSie können Proxys nach der Bereitstellung des Clusters nicht mehr ändern.
So fügen Sie Ihre HTTP-Proxy-Informationen hinzu:
http://
beginnen. Beispiel: http://myproxy.com:1234
.Wenn der Proxy eine Authentifizierung erfordert, geben Sie unter HTTP-Proxy-Benutzername (HTTP Proxy Username) und HTTP-Proxy-Kennwort (HTTP Proxy Password) Benutzernamen und Kennwort ein, die für die Verbindung mit Ihrem HTTP-Proxy verwendet werden sollen.
HinweisBei Bereitstellung von Verwaltungsclustern mithilfe der Benutzeroberfläche des Installationsprogramms können bei Kennwörtern keine nicht alphanumerischen Zeichen verwendet werden.
So fügen Sie Ihre HTTPS-Proxy-Informationen hinzu:
Wenn Sie eine andere URL für HTTPS-Datenverkehr verwenden möchten, gehen Sie wie folgt vor:
http://
beginnen. Beispiel: http://myproxy.com:1234
.Wenn der Proxy eine Authentifizierung erfordert, geben Sie unter HTTPS-Proxy-Benutzername (HTTPS Proxy Username) und HTTPS-Proxy-Kennwort (HTTP Proxy Password) Benutzernamen und Kennwort ein, die für die Verbindung mit Ihrem HTTP-Proxy verwendet werden sollen.
HinweisBei Bereitstellung von Verwaltungsclustern mithilfe der Benutzeroberfläche des Installationsprogramms können bei Kennwörtern keine nicht alphanumerischen Zeichen verwendet werden.
Geben Sie unter Kein Proxy (No proxy) eine kommagetrennte Liste von Netzwerk-CIDRs oder Hostnamen ein, die den HTTP(S)-Proxy umgehen müssen. Wenn Ihr Verwaltungscluster im selben Netzwerk wie Ihre Infrastruktur hinter demselben Proxy ausgeführt wird, legen Sie dies auf Ihre Infrastruktur-CIDRs oder FQDNs fest, damit der Verwaltungscluster direkt mit der Infrastruktur kommuniziert.
Beispiel: noproxy.yourdomain.com,192.168.0.0/24
.
localhost
, 127.0.0.1
, die Werte von Cluster-Pod-CIDR (Cluster Pod CIDR) und Clusterdienst-CIDR (Cluster Service CIDR), .svc
und .svc.cluster.local
an die Liste an, die Sie in dieses Feld eingeben.localhost
,
127.0.0.1
, Ihr VPC-CIDR,
Cluster-Pod-CIDR (Cluster Pod CIDR) und
Clusterdienst-CIDR (Cluster Service CIDR),
.svc
,
.svc.cluster.local
und
169.254.0.0/16
an die Liste an, die Sie in dieses Feld eingeben.
localhost
,
127.0.0.1
, Ihr VNet-CIDR,
Cluster-Pod-CIDR (Cluster Pod CIDR), und
Clusterdienst-CIDR (Cluster Service CIDR),
.svc
,
.svc.cluster.local
,
169.254.0.0/16
und
168.63.129.16
an die Liste an, die Sie in dieses Feld eingeben.
WichtigWenn die Verwaltungscluster-VMs mit externen Diensten und Infrastruktur-Endpoints in Ihrer Tanzu Kubernetes Grid-Umgebung kommunizieren müssen, stellen Sie sicher, dass diese Endpoints über die oben konfigurierten Proxys erreichbar sind, oder fügen Sie sie zu Kein Proxy (No proxy) hinzu. Je nach Konfiguration Ihrer Umgebung kann dafür unter anderem Folgendes erforderlich sein: Ihr OIDC- oder LDAP-Server, Harbor und im Fall von vSphere VMware NSX und NSX Advanced Load Balancer.
Dieser Abschnitt ist für alle Zielplattformen identisch. Informationen zur Implementierung der Identitätsverwaltung durch Tanzu Kubernetes Grid finden Sie unter Informationen zur Identitäts- und Zugriffsverwaltung.
Wählen Sie im Abschnitt Identitätsverwaltung (Identity Management) optional Identitätsverwaltungseinstellungen aktivieren (Activate Identity Management Settings).
Sie können die Identitätsverwaltung für Proof-of-Concept-Bereitstellungen deaktivieren. In Produktionsbereitstellungen wird jedoch dringend empfohlen, die Identitätsverwaltung zu implementieren. Wenn Sie die Identitätsverwaltung deaktivieren, können Sie sie später erneut aktivieren. Anweisungen zum erneuten Aktivieren der Identitätsverwaltung finden Sie unter Aktivieren und Konfigurieren der Identitätsverwaltung in einer vorhandenen Bereitstellung in Konfigurieren der Identitätsverwaltung.
Wenn Sie die Identitätsverwaltung aktivieren, wählen Sie OIDC oder LDAPS aus.
Wählen Sie unten die Registerkarte „OIDC“ oder „LDAPS“ aus, um die Konfigurationsinformationen anzuzeigen.
client_id
-Wert, den Sie von Ihrem OIDC-Anbieter erhalten. Ist Ihr Anbieter beispielsweise Okta, melden Sie sich bei Okta an, erstellen Sie eine Web-Anwendung und wählen Sie die Option Client-Anmeldedaten (Client Credentials) aus, um Werte für client_id
und secret
zu erhalten.secret
-Wert, den Sie von Ihrem OIDC-Anbieter erhalten.openid,groups,email
.user_name
, email
oder code
ein.groups
.host:port
an.Geben Sie die Attribute der Benutzersuche an.
OU=Users,OU=domain,DC=io
.uid, sAMAccountName
.Geben Sie die Attribute der Gruppensuche an.
OU=Groups,OU=domain,DC=io
.cn
.distinguishedName, dn
.member
.Fügen Sie den Inhalt des CA-Zertifikats des LDAPS-Servers in das Textfeld Stamm-CA (Root CA) ein.
(Optional) Überprüfen Sie die LDAP-Einstellungen.
Geben Sie einen Benutzernamen und einen Gruppennamen ein.
HinweisIn Tanzu Kubernetes Grid v1.4.x und höher werden diese Felder ignoriert und auf
cn
für den Benutzernamen undou
für den Gruppennamen zurückgesetzt. Updates zu diesem bekannten Problem finden Sie in den Versionshinweisen zu VMware Tanzu Kubernetes Grid 1.5.
Klicken Sie auf Start.
Wenn nach Abschluss der Überprüfung Fehler angezeigt werden, müssen Sie diese in nachfolgenden Schritten genau überprüfen.
HinweisDer LDAP-Host führt diese Prüfung durch, nicht die Verwaltungsclusterknoten. Somit funktioniert Ihre LDAP-Konfiguration möglicherweise auch dann, wenn diese Überprüfung fehlschlägt.
Verwenden Sie im Abschnitt Betriebssystem-Image (OS Image) das Dropdown-Menü, um die Image-Vorlagen des Betriebssystems und der Kubernetes-Version auszuwählen, die für die Bereitstellung von Tanzu Kubernetes Grid-VMs verwendet werden sollen, und klicken Sie auf Weiter (Next).
Das Dropdown-Menü Betriebssystem-Image (OS Image) enthält Betriebssystem-Images, die alle der folgenden Kriterien erfüllen:
ova
, ami
und azure
der BoM aufgelistet.version
, id
bzw. sku
identifiziert.Dieser Abschnitt ist für alle Zielplattformen identisch.
Deaktivieren Sie im Abschnitt Teilnahme an CEIP (CEIP Participation) optional das Kontrollkästchen, um nicht am Programm zur Verbesserung der Benutzerfreundlichkeit von VMware teilzunehmen. Klicken Sie anschließend auf Weiter (Next).
Sie können das Programm auch nach der Bereitstellung des Verwaltungsclusters aktivieren bzw. deaktivieren. Informationen zu CEIP finden Sie unter Teilnahme an CEIP verwalten und https://www.vmware.com/solutions/trustvmware/ceip.html.
Klicken Sie auf Konfiguration überprüfen (Review Configuration), um die Details des von Ihnen konfigurierten Verwaltungsclusters anzuzeigen. Wenn Sie zum Installationsassistenten zurückkehren möchten, um Ihre Konfiguration zu ändern, klicken Sie auf Konfiguration bearbeiten (Edit Configuration).
Wenn Sie auf Konfiguration bearbeiten (Edit Configuration) klicken, füllt das Installationsprogramm die Clusterkonfigurationsdatei, die sich im Unterverzeichnis ~/.config/tanzu/tkg/clusterconfigs
befindet, mit den Einstellungen auf, die Sie in der Benutzeroberfläche angegeben haben. Sie können optional eine Kopie dieser Konfigurationsdatei exportieren, indem Sie auf Konfiguration exportieren (Export Configuration) klicken.
Klicken Sie auf Verwaltungscluster bereitstellen (Deploy Management Cluster).
Die Bereitstellung des Verwaltungsclusters kann einige Minuten dauern. Die erste Ausführung von tanzu mc create
dauert länger als nachfolgende Ausführungen, da die erforderlichen Docker-Images in den Image-Speicher auf Ihrer Bootstrap-Maschine eingefügt werden müssen. Für nachfolgende Ausführungen ist dieser Schritt nicht erforderlich, daher erfolgen sie schneller. Sie können den Fortschritt der Bereitstellung des Verwaltungsclusters in der Benutzeroberfläche des Installationsprogramms oder über das Terminal verfolgen, in dem Sie tanzu mc create --ui
ausgeführt haben. Wenn die Maschine, auf der Sie tanzu mc create
ausführen, vor Abschluss der lokalen Vorgänge heruntergefahren oder neu gestartet wird, schlägt die Bereitstellung fehl. Wenn Sie den Browser oder die Browserregisterkarte, in dem/der die Bereitstellung ausgeführt wird, versehentlich vor Beendigung der Bereitstellung schließen, wird diese im Terminal fortgesetzt.
(Optional) Klicken Sie unter Gleichwertiger CLI-Befehl (CLI Command Equivalent) auf die Schaltfläche Kopieren (Copy), um den CLI-Befehl für die angegebene Konfiguration zu kopieren. Dieser CLI-Befehl enthält den Pfad zur Konfigurationsdatei, die vom Installationsprogramm aufgefüllt wird.
(Nur vSphere) Nachdem Sie einen Verwaltungscluster auf vSphere bereitstellen, müssen Sie die IP-Adressen der Knoten der Steuerungsebene als statisch konfigurieren, wie unter Konfigurieren von DHCP-Reservierungen für die Steuerungsebene (nur vSphere) beschrieben.
~/.config/tanzu/tkg/clusterconfigs
mit einem generierten Dateinamen im Format UNIQUE-ID.yaml
. Diese Konfigurationsdatei verfügt über eine flache Struktur, die Variablen in Großbuchstaben mit Unterstrichen festlegt, z. B. CLUSTER_NAME
. Nachdem die Bereitstellung abgeschlossen ist, können Sie den Namen der Konfigurationsdatei optional in einen aussagekräftigen Namen umbenennen und die Datei zur zukünftigen Verwendung an einem anderen Speicherort speichern. Das Installationsprogramm generiert auch eine klassenbasierte Kubernetes-Objektspezifikation im Kubernetes-Stil für das Objekt Cluster
des Verwaltungsclusters, das in einer Datei mit demselben Namen wie der Verwaltungscluster gespeichert wird. Diese klassenbasierte Objektspezifikation dient nur zu Informationszwecken. Die Bereitstellung von Verwaltungsclustern anhand einer klassenbasierten Objektspezifikation wird noch nicht unterstützt. Weitere Informationen zu Clustertypen in TKG 2.x finden Sie unter Arbeitslastcluster in Informationen zu Tanzu Kubernetes Grid.Informationen zu den Vorgängen während der Bereitstellung des Verwaltungsclusters sowie der Verbindung von kubectl
mit dem Verwaltungscluster finden Sie unter Untersuchen und Registrieren eines neu bereitgestellten eigenständigen Verwaltungsclusters.