Vorbereitung der Bereitstellung von Verwaltungsclustern in AWS

In diesem Thema wird erläutert, wie Sie Amazon Web Services (AWS) für die Ausführung von Tanzu Kubernetes Grid vorbereiten.

Bevor Sie die Tanzu CLI oder die Installationsprogramm-Schnittstelle zur Bereitstellung eines Verwaltungsclusters verwenden können, müssen Sie die Bootstrap-Maschine vorbereiten, auf der Sie die Tanzu CLI ausführen, und Ihr AWS-Konto (Amazon Web Services Account) einrichten.

Wenn Sie Tanzu Kubernetes Grid auf VMware Cloud on AWS installieren, führen Sie die Installation in einer vSphere-Umgebung aus. Unter Vorbereitung von VMware Cloud on AWS in Vorbereitung der Bereitstellung von Verwaltungsclustern in einer VMware Cloud-Umgebung finden Sie Informationen zur Vorbereitung Ihrer Umgebung, und unter Vorbereitung der Bereitstellung von Verwaltungsclustern für vSphere zur Bereitstellung von Verwaltungsclustern.

Wichtig

Tanzu Kubernetes Grid v2.4.x ist die letzte Version von TKG, die die Erstellung eigenständiger TKG-Verwaltungscluster auf AWS unterstützt. Die Möglichkeit, eigenständige TKG-Verwaltungscluster auf AWS zu erstellen, wird in Tanzu Kubernetes Grid v2.5 entfernt.

Ab sofort empfiehlt VMware die Verwendung von Tanzu Mission Control zur Erstellung nativer AWS EKS-Cluster anstelle neuer TKG-Verwaltungscluster auf AWS. Informationen zum Erstellen nativer AWS EKS-Cluster mit Tanzu Mission Control finden Sie unter Verwalten des Lebenszyklus von AWS EKS-Clustern in der Dokumentation zu Tanzu Mission Control.

Weitere Informationen finden Sie unter Veraltete TKG-Verwaltungs- und -Arbeitslastcluster in AWS und Azure in den Versionshinweisen zu VMware Tanzu Kubernetes Grid v2.4.

Allgemeine Anforderungen

• Die Tanzu CLI ist lokal installiert. Weitere Informationen finden Sie unter Installieren der Tanzu CLI und Kubernetes-CLI für die Verwendung mit eigenständigen Verwaltungsclustern.
• Sie verfügen über ein aktives AWS-Konto mit:
  • Zugriffsschlüssel und geheimem Zugriffsschlüssel. Weitere Informationen zu Zugriffsschlüsseln finden Sie unter AWS-Konto und Zugriffsschlüssel in der AWS-Dokumentation.
  • Berechtigungen, die unter Erforderliche AWS-Berechtigungen beschrieben sind. Diese Berechtigungen ermöglichen es Tanzu Kubernetes Grid, Cluster in AWS zu erstellen und zu verwalten.
• Eine VPC in den Verfügbarkeitsbereichen, in denen Sie einen Verwaltungscluster bereitstellen. Beispielsweise eine VPC, die Sie manuell oder mithilfe von Tools wie AWS CloudFormation oder Terraform erstellt haben. Die VPC muss mit Folgendem konfiguriert werden:
  • Zwei Subnetze für Entwicklungscluster oder sechs Subnetze für Produktionscluster.
  • NAT-Gateways wie folgt, oder alternativ siehe Amazon-VPCs ohne NAT-Gateways:
    • Ein NAT-Gateway für Entwicklungscluster oder drei NAT-Gateways für Produktionscluster.
      • Das standardmäßige NAT-Gateway-Kontingent auf AWS beträgt 5 Instanzen pro Verfügbarkeitsbereich und Konto. Wenn Sie einen Verwaltungscluster bereitstellen, nutzen alle Arbeitslastcluster die Verwaltungscluster-VPC und dessen NAT-Gateway(s) gemeinsam.
      • Weitere Informationen finden Sie unter Ressourcennutzung in Ihrem Amazon Web Services-Konto und Amazon VPC-Kontingente in der AWS-Dokumentation.
    • Ein Internet-Gateway und entsprechende Routing-Tabellen.
    • (Optional) Mit entsprechenden Regeln konfigurierte Sicherheitsgruppen.
• Ihr AWS-Konto verfügt über ausreichende Ressourcenkontingente für elastische IP-Adressen (EIP). Das standardmäßige EIP-Kontingent beträgt 5 EIP-Adressen pro Region und Konto.
• Datenverkehr ist zwischen Ihrer lokalen Bootstrap-Maschine und Port 6443 aller VMs in den von Ihnen erstellten Clustern zulässig. Port 6443 ist der Ort, an dem die Kubernetes-API standardmäßig verfügbar ist. Um diesen Port für einen Verwaltungs- oder Arbeitslastcluster zu ändern, legen Sie bei der Bereitstellung des Clusters die Variable CLUSTER_API_SERVER_PORT fest.

• Der Datenverkehr ist zwischen Ihrer lokalen Bootstrap-Maschine und den Image-Repositorys, die in der BoM-Datei (Bill of Materials) des Verwaltungsclusters aufgeführt sind, über Port 443 für TCP zulässig.*

  • Die BOM-Datei befindet sich unter ~/.config/tanzu/tkg/bom/ und ihr Name enthält die Tanzu Kubernetes Grid-Version, wie z. B. tkg-bom-v2.3.1+vmware.1.yaml für v2.3.1.
  • Führen Sie ein DNS-Lookup für alle imageRepository-Werte aus, z. B. projects.registry.vmware.com/tkg, um die CNAMEs zu finden, auf die der Zugriff zulässig sein soll.

• Die lokal installierte AWS-CLI.

• jq lokal installiert.

  Im AWS-CLI-Handbuch wird jq zur Verarbeitung von JSON beim Erstellen von SSH-Schlüsselpaaren. Dies wird auch verwendet, um die Umgebungs- oder Konfigurationsvariablen vorzubereiten, wenn Sie Tanzu Kubernetes Grid mithilfe der CLI bereitstellen.

• Um ein bekanntes Problem mit CAPA zu umgehen, setzen Sie EXP_EXTERNAL_RESOURCE_GC=false in Ihrer lokalen Umgebung oder in der Konfigurationsdatei des Verwaltungsclusters.

Informationen zur Installation ohne Zugriff auf externe Netzwerke finden Sie unter Vorbereitung einer Umgebung mit Internetbeschränkung.

Ressourcennutzung in Ihrem AWS-Konto

Für jeden Cluster, den Sie erstellen, nutzt Tanzu Kubernetes Grid einen Satz von Ressourcen in Ihrem AWS-Konto.

Ressource	Nutzung durch Tanzu Kubernetes Grid
VPC	1
Elastische IP-Adressen	1 pro Verfügbarkeitsbereich*
Subnetze	2 pro Verfügbarkeitsbereich für Internetverbindung, 1 pro Verfügbarkeitsbereich für intern*
EC2-Sicherheitsgruppen (VPC)	4
Internet-Gateways	1
NAT-Gateway	1 pro Verfügbarkeitsbereich für Standardbereitstellungen*
Steuerungsebene EC2-Instanzen	1 pro Verfügbarkeitsbereich*

*Entwicklungscluster nutzen einen Verfügbarkeitsbereich und Produktionscluster nutzen 3.

AWS implementiert Standardgrenzwerte oder Kontingente für diese Ressourcen und ermöglicht es Ihnen, die Grenzwerte zu ändern. Die Standardgrenzwerte reichen in der Regel aus, damit Sie mit der Erstellung und Verwendung von Clustern beginnen können. Wenn Sie die Cluster- oder Arbeitslastanzahl erhöhen, können Sie diese AWS-Grenzwerte jedoch überschreiten, was Tanzu Kubernetes Grid daran hindert, neue Cluster zu erstellen oder neue Arbeitslasten bereitzustellen.

VMware empfiehlt, die von Ihnen im AWS-Konto angegebenen Grenzwerte regelmäßig zu beurteilen und Service-Kontingenterhöhungen anzufordern, soweit dies für Ihre geschäftlichen Anforderungen erforderlich ist.

Die wichtigsten Service-Kontingente sind:

Servicecode	Kontingentname	Kontingentcode
vpc	Internet-Gateways pro Region	L-A4707A72
vpc	NAT-Gateways pro Verfügbarkeitsbereich	L-FE5A380F
vpc	VPCs pro Region	L-F678F1CE
ec2	Ausführen von On-Demand-Standardinstanzen (A, C, D, H, I, M, R, T, Z)	L-1216C47A
ec2	Elastische EC2-VPC-IPs	L-0263D0A3
elasticloadbalancing	Klassische Lastausgleichsdienste pro Region	L-E9E9831D

Sie können optional VPCs freigeben, anstatt neue zu erstellen, z. B. einen Arbeitslastcluster, der eine VPC gemeinsam mit seinem Verwaltungscluster nutzt.

Informationen zu den Größen von Clusterknoteninstanzen finden Sie unter Amazon EC2 Instanztypen in der AWS-Dokumentation.

Amazon-VPCs ohne NAT-Gateways

Tanzu Kubernetes Grid können in VPCs ohne angehängte NAT-Gateways bereitgestellt werden, wenn die folgenden Bedingungen erfüllt sind:

• Die Subnetze, in denen Arbeitslastcluster bereitgestellt werden, verfügen über Routentabellen mit 0.0.0.0/0-Routen zum Internet. Oder:
• Ihre Bereitstellungsumgebung ist internetbeschränkt, wie unter Umgebung mit Internetbeschränkungen beschrieben.

Tanzu Kubernetes Grid überprüft nicht, ob bestimmte Routen in Routing-Tabellen vorhanden sind. Daher wird die Internetverbindung entweder über VPC-NAT-Gateways, EC2-Instanzen oder -Appliances, Internet-Gateways, Transit-Gateways oder DirectConnect unterstützt.

Beispiele für die Dimensionierung des Verwaltungsclusters

In der folgenden Tabelle werden Beispiele für die Dimensionierung von Verwaltungsclustern in AWS beschrieben. Verwenden Sie diese Daten als Richtlinie, um sicherzustellen, dass Ihr Verwaltungscluster für die Anzahl der Arbeitslastcluster skaliert ist, die Sie bereitstellen möchten. In der Spalte Größe der Arbeitslastcluster-VMwerden die VM-Größen aufgelistet, die für die Beispiele in der Spalte Kann verwalten… verwendet wurden.

Verwaltungscluster Plan	Größe der Verwaltungscluster-VM	Kann verwalten…	Größe der Arbeitslastcluster-VM
3 Knoten der Steuerungsebene und 3 Worker-Knoten	Knoten der Steuerungsebene: m4.large (CPU: 2; Arbeitsspeicher: 8 GB) Worker-Knoten: m4.large (CPU: 2; Arbeitsspeicher: 8 GB)	Beispiele: 5 Arbeitslastcluster, wobei jeder Cluster mit 3 Steuerungsebenen- und 200 Worker-Knoten bereitgestellt wird; Oder 10 Arbeitslastcluster, wobei jeder Cluster mit 3 Steuerungsebenen- und 50 Worker-Knoten bereitgestellt wird	Knoten der Steuerungsebene: c4.large (CPU: 2; Arbeitsspeicher: 3,75 GB) Worker-Knoten: c4.large (CPU: 2; Arbeitsspeicher: 3,75 GB)
3 Knoten der Steuerungsebene und 3 Worker-Knoten	Knoten der Steuerungsebene: m4.large (CPU: 2; Arbeitsspeicher: 8 GB) Worker-Knoten: m4.large (CPU: 2; Arbeitsspeicher: 8 GB)	Beispiel: Ein Arbeitslastcluster, der mit 3 Steuerungsebenen- und 500 Worker-Knoten bereitgestellt wird	Knoten der Steuerungsebene: c5.4xlarge (CPU: 16; Arbeitsspeicher: 32 GB) Worker-Knoten: c5.xlarge (CPU: 4; Arbeitsspeicher: 8 GB)
3 Knoten der Steuerungsebene und 3 Worker-Knoten	Knoten der Steuerungsebene: m4.xlarge (CPU: 4; Arbeitsspeicher: 16 GB) Worker-Knoten: m4.xlarge (CPU: 4; Arbeitsspeicher: 16 GB)	Beispiel: 200 Arbeitslastcluster, wobei jeder Cluster mit 3 Steuerungsebenen- und 5 Worker-Knoten bereitgestellt wird	Knoten der Steuerungsebene: c4.large (CPU: 2; Arbeitsspeicher: 3,75 GB) Worker-Knoten: c4.large (CPU: 2; Arbeitsspeicher: 3,75 GB)

Erforderliche AWS-Berechtigungen

In den folgenden Abschnitten werden die Berechtigungen aufgelistet, die Tanzu Kubernetes Grid benötigt, um Cluster auf AWS bereitzustellen und zu verwalten:

• Von Tanzu Kubernetes Grid festgelegte Berechtigungen: Tanzu Kubernetes Grid legt diese Berechtigungen automatisch fest, wenn Sie den Befehl tanzu mc permissions aws set ausführen oder das Kontrollkästchen Erstellung von AWS CloudFormation-Stack automatisieren (Automate creation of AWS CloudFormation Stack) in der Installationsprogramm-Schnittstelle aktivieren.
  • Der Tanzu CLI-Alias mc ist die Abkürzung für management-cluster.
• Von Ihnen festgelegte Berechtigungen: Sie fügen diese Berechtigungen manuell hinzu.

Von Tanzu Kubernetes Grid festgelegte Berechtigungen

Um Tanzu Kubernetes Grid für die Bereitstellung von Clustern in AWS zu aktivieren, müssen Sie in Ihrem AWS-Konto den CloudFormation-Stack tkg-cloud-vmware-com erstellen. Dieser CloudFormation-Stack definiert die IAM-Ressourcen und -Berechtigungen (Identity and Access Management), die Tanzu Kubernetes Grid benötigt, um Cluster auf AWS bereitzustellen und zu verwalten.

Um den Stack zu erstellen, führen Sie nach Durchführung der Schritte in diesem Thema den Befehl tanzu mc permissions aws set aus, bevor Sie den Cluster bereitstellen, oder aktivieren Sie das Kontrollkästchen Erstellung von AWS CloudFormation-Stack automatisieren (Automate creation of AWS CloudFormation Stack) in der Installationsprogramm-Schnittstelle, wie im Abschnitt Erstellen von IAM-Ressourcen von Bereitstellen von Verwaltungsclustern über eine Konfigurationsdatei oder Bereitstellen von Verwaltungsclustern mit der Installationsprogramm-Schnittstelle beschrieben ist. Sie müssen diesen Vorgang nur einmal pro AWS-Konto durchführen, unabhängig davon, ob Sie eine einzelne oder mehrere AWS-Regionen für Ihre Tanzu Kubernetes Grid-Umgebung verwenden möchten.

Wenn Sie den Befehl tanzu mc permissions aws set ausführen oder das Kontrollkästchen Erstellung von AWS CloudFormation-Stack automatisieren (Automate creation of AWS CloudFormation Stack) aktivieren, werden die folgenden IAM-Profile, Rollen und Richtlinien erstellt. Der Benutzer, dessen Anmeldedaten Sie beim Erstellen des Stacks für Tanzu Kubernetes Grid angeben, muss über Administratorberechtigungen zum Erstellen dieser IAM-Ressourcen in Ihrem AWS-Konto verfügen.

• Profile/AWS::IAM::InstanceProfile:

  • Steuerungsebene – control-plane.tkg.cloud.vmware.com: Wird von EC2-Instanzen verwendet, die Kubernetes-Steuerungsebenenkomponenten ausführen.
  • Knoten – nodes.tkg.cloud.vmware.com: Wird von allen Nicht-Steuerungsebenen-EC2-Instanzen in Tanzu Kubernetes Grid-Clustern verwendet.
  • Controller – controllers.tkg.cloud.vmware.com: Kann für Bootstrapping-Tanzu Kubernetes Grid von einer Jumpbox in EC2 mit angehängtem Instanzprofil verwendet werden.

• Rollen/AWS::IAM::Role: Diese werden den obigen AWS-IAM-Instanzprofilen 1:1 zugeordnet:

  • Steuerungsebene – control-plane.tkg.cloud.vmware.com
  • Knoten – nodes.tkg.cloud.vmware.com
  • Controller – controllers.tkg.cloud.vmware.com

• Richtlinien/AWS::IAM::ManagedPolicy:

  • arn:aws:iam::YOUR-ACCOUNT-ID:policy/control-plane.tkg.cloud.vmware.com: Angehängt an die obige IAM-Rolle vom Typ Steuerungsebene.
  • arn:aws:iam::YOUR-ACCOUNT-ID:policy/nodes.tkg.cloud.vmware.com: Angehängt an die obigen IAM-Rollen vom Typ Steuerungsebene und Knoten.
  • arn:aws:iam::YOUR-ACCOUNT-ID:policy/controllers.tkg.cloud.vmware.com: Angehängt an die obigen IAM-Rollen vom Typ Steuerungsebene und Controller.

Nachdem Tanzu Kubernetes Grid den CloudFormation-Stack in Ihrem AWS-Konto erstellt hat, können Sie seine Vorlage abrufen, indem Sie in der AWS-Konsole zu CloudFormation > Stacks navigieren. Weitere Informationen zu CloudFormation-Stacks finden Sie unter Arbeit mit Stacks in der AWS-Dokumentation.

Statt den Befehl tanzu mc permissions aws set auszuführen oder das Kontrollkästchen Erstellung von AWS CloudFormation-Stack automatisieren (Automate creation of AWS CloudFormation Stack) zu aktivieren, können Sie die Vorlage abrufen, die Tanzu Kubernetes Grid zum Erstellen der oben genannten IAM-Ressourcen verwendet, und den Stack tkg-cloud-vmware-com direkt im AWS-Konto erstellen. Um die Vorlage abzurufen, führen Sie den Befehl tanzu mc permissions aws generate-cloudformation-template aus.

Von Tanzu Mission Control benötigte Berechtigungen

Die folgenden IAM-Berechtigungen sind nur erforderlich, wenn Sie beabsichtigen, Ihren Verwaltungscluster bei Tanzu Mission Control zu registrieren. Diese Berechtigungen werden der IAM-Rolle nodes.tkg.cloud.vmware.com automatisch hinzugefügt, wenn Sie den Befehl tanzu mc permissions aws set ausführen.

{
  "Action": [
    "servicequotas:ListServiceQuotas",
    "ec2:DescribeKeyPairs",
    "ec2:DescribeInstanceTypeOfferings",
    "ec2:DescribeInstanceTypes",
    "ec2:DescribeAvailabiilityZones",
    "ec2:DescribeRegions",
    "ec2:DescribeSubnets",
    "ec2:DescribeRouteTables",
    "ec2:DescribeVpcs",
    "ec2:DescribeNatGateways",
    "ec2:DescribeAddresses",
    "elasticloadbalancing:DescribeLoadBalancers"
  ],
  "Resource": [
    "*"
  ],
  "Effect": "Allow"
}

Sie können diese Berechtigungen deaktivieren, indem Sie DISABLE_TMC_CLOUD_PERMISSIONS auf true festlegen, bevor Sie tanzu mc permissions aws set ausführen. Weitere Informationen finden Sie unter Registrieren Ihres Verwaltungsclusters bei Tanzu Mission Control.

Von Ihnen festgelegte Berechtigungen

Sie müssen die folgenden Berechtigungen einmal pro AWS-Konto manuell festlegen.

Installationsprogramm-Schnittstelle

Wenn Sie beabsichtigen, den Verwaltungscluster über die Installationsprogramm-Schnittstelle bereitzustellen, muss der Benutzer, dessen Anmeldedaten Sie Tanzu Kubernetes Grid bei der Bereitstellung des Clusters angeben, über die Berechtigungen "ec2:DescribeInstanceTypeOfferings" und "ec2:DescribeInstanceTypes" verfügen. Wenn Ihr Benutzer derzeit nicht über diese Berechtigungen verfügt, können Sie eine benutzerdefinierte Richtlinie erstellen, die die Berechtigungen enthält, und sie Ihrem Benutzer zuordnen.

Konfigurieren von AWS-Kontoanmeldedaten

Damit Tanzu Kubernetes Grid VMs für Amazon EC2 erstellen und verwalten kann, muss es über ein AWS-Konto sowie folgende Informationen verfügen:

• Anmeldedaten für das AWS-Konto
• Ein SSH-Schlüsselpaar, das beim Konto für jede AWS-Region registriert ist, in der Sie Verwaltungscluster bereitstellen möchten

Sie müssen Ihre Kontoanmeldedaten festlegen, um ein SSH-Schlüsselpaar für die Region zu erstellen, in der Sie Tanzu Kubernetes Grid-Cluster bereitstellen möchten.

Sie haben mehrere Optionen zum Konfigurieren der AWS-Kontoanmeldedaten, die für den Zugriff auf EC2 verwendet werden. In den folgenden Unterabschnitten werden die verschiedenen Optionen erläutert.

VMware empfiehlt die Option „Anmeldedatenprofile (Credential Profiles)“, die mit dem Befehl aws configure verwaltet wird. Diese Profile werden in einer lokalen gemeinsam genutzten Konfigurationsdatei gespeichert, üblicherweise in ~/.aws/config.

In absteigender Reihenfolge, wenn mehr als eine verwendet wird, sind folgende Optionen für die Konfiguration der Anmeldedaten möglich:

1. Variablen für die Konfigurationsdatei des Arbeitslastclusters (nur für die Erstellung von Arbeitslastclustern). Weitere Informationen finden Sie nachstehend unter Cluster-Konfigurationsdatei.

2. Lokale, statische Umgebungsvariablen. Weitere Informationen finden Sie nachstehend unter Lokale Umgebungsvariablen.

3. (Empfohlen) Anmeldedatenprofile, die aktualisiert werden, wenn Sie aws configure ausführen. Diese werden in einer Datei gespeichert, die sich unter Linux oder macOS unter ~/.aws/config oder unter Windows unter C:\Users\USERNAME\.aws\config befindet oder die als credentials benannt werden kann. Weitere Informationen finden Sie nachstehend unter Anmeldedatenprofile.

4. Anmeldedaten für das Instanzprofil. Sie können jeder Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instanzen eine IAM-Rolle zuordnen. Temporäre Anmeldedaten für diese Rolle sind dann für Code verfügbar, der in der Instanz ausgeführt wird. Die Anmeldedaten werden über den Amazon EC2-Metadatendienst übermittelt. Weitere Informationen finden Sie unter „IAM-Rollen für AWS“ im Amazon EC2-Benutzerhandbuch für Linux-Instanzen und unter „Verwenden von Instanzprofilen“ im IAM-Benutzerhandbuch.

Lokale Umgebungsvariablen

Eine Option zum Konfigurieren von AWS-Anmeldedaten besteht darin, lokale Umgebungsvariablen für Ihre Bootstrap-Maschine festzulegen. Um lokale Umgebungsvariablen zu verwenden, legen Sie die folgenden Umgebungsvariablen für Ihr AWS-Konto fest:

• export AWS_ACCESS_KEY_ID=aws_access_key, wobei aws_access_key Ihr AWS-Zugriffsschlüssel ist.

• export AWS_SECRET_ACCESS_KEY=aws_access_key_secret, wobei aws_access_key_secret Ihr geheimer AWS-Zugriffsschlüssel ist.

• export AWS_SESSION_TOKEN=aws_session_token, wobei aws_session_token das AWS-Sitzungstoken ist, das Ihrem Konto gewährt wurde. Sie müssen diese Variable nur angeben, wenn Sie einen temporären Zugriffsschlüssel verwenden müssen. Weitere Informationen zur Verwendung temporärer Zugriffsschlüssel finden Sie unter Verstehend und Abrufen Ihrer AWS-Anmeldedaten (Understanding and getting your AWS credentials).

• export AWS_REGION=aws_region, wobei aws_region die AWS-Region ist, in der Sie den Cluster bereitstellen möchten. Beispiel: us-west-2.

  Eine vollständige Liste der AWS-Regionen finden Sie unter AWS-Dienst-Endpoints. Zusätzlich zu den regulären AWS-Regionen können Sie auch die Regionen us-gov-east und us-gov-west in AWS GovCloud angeben.

Tanzu Kubernetes Grid unterstützt die folgenden AWS-CLI-Umgebungsvariablen:

• AWS_ACCESS_KEY_ID
• AWS_SECRET_ACCESS_KEY
• AWS_SESSION_TOKEN
• AWS_SHARED_CREDENTIALS_FILE
• AWS_CONFIG_FILE
• AWS_REGION
• AWS_PROFILE

Weitere Informationen hierzu finden Sie im Benutzerhandbuch zur AWS-Befehlszeilenschnittstelle.

Anmeldedatenprofile

Für die Arbeit mit Tanzu Kubernetes Grid wird empfohlen, den Befehl aws configure zum Speichern von AWS-Anmeldedaten in einer lokalen Anmeldedaten- oder Konfigurationsdatei zu verwenden. Eine AWS-Konfigurationsdatei kann eine Reihe von Authentifizierungsmechanismen unterstützen, die von statischen Anmeldedaten bis hin zu SSO über externe Anmeldedaten-Hilfsdienste reichen.

Eine AWS-Anmeldedatendatei kann mehrere Konten unterstützen, einschließlich eines Standardprofils und zusätzlicher benannter Profile. Die Anmeldedatendateien und -profile werden nach lokalen Umgebungsvariablen im Namen der oben genannten Rangfolge der Anmeldedaten angewendet.

Um Anmeldedatendateien und Profile für Ihr AWS-Konto auf der Bootstrap-Maschine einzurichten, können Sie den CLI-Befehl aws configure verwenden.

Um anzupassen, welche AWS-Anmeldedatendateien und -Profile verwendet werden sollen, können Sie die folgenden Umgebungsvariablen festlegen:

• export AWS_PROFILE=profile_name, wobei profile_name der Profilname ist, der den AWS-Zugriffsschlüssel enthält, den Sie verwenden möchten. Wenn Sie keinen Wert für diese Variable angeben, wird der Profilname default verwendet. Weitere Informationen zur Verwendung von benannten Profilen finden Sie unter Benannte Profile in der AWS-Dokumentation.

• export AWS_SHARED_CREDENTIAL_FILE=path_to_credentials_file, wobei path_to_credentials_file der Speicherort und Name der Anmeldedatendatei ist, die Informationen zum AWS-Zugriffsschlüssel enthält. Wenn Sie diese Umgebungsvariable nicht definieren, ist $HOME/.aws/credentials der Standardspeicherort und Dateiname.

• export AWS_CONFIG=path_to_config_file, wobei path_to_config_file der Speicherort und der Name der Konfigurationsdatei ist, die die Profilkonfiguration enthält. Wenn Sie diese Umgebungsvariable nicht definieren, ist $HOME/.aws/config der Standardspeicherort und Dateiname. Wenn Sie explizite Anmeldedatenquellen angeben oder externe Anmeldedatenprozesse verwenden, sollten Sie diese Datei verwenden.

Hinweis

Alle benannten Profile, die Sie in Ihren AWS-Anmeldedaten oder Konfigurationsdateien erstellen, werden als auswählbare Optionen im Dropdown-Menü AWS-Anmeldedatenprofil (AWS Credential Profile) in der Installationsprogramm-Schnittstelle von Tanzu Kubernetes Grid für AWS angezeigt.

Weitere Informationen zu funktionierenden AWS-Anmeldedaten und der standardmäßigen AWS-Anmeldedaten-Anbieterkette finden Sie unter Best Practices für die Verwaltung von AWS-Zugriffsschlüsseln (Best practices for managing AWS access keys) in der AWS-Dokumentation.

Clusterkonfigurationsdatei

Sie können AWS-Anmeldedaten in der Konfigurationsdatei angeben, die zum Erstellen eines Clusters verwendet wird, indem Sie die folgenden Variablen festlegen:

• AWS_ACCESS_KEY_ID (Base-64-codiert)
• AWS_SECRET_ACCESS_KEY (Base-64-codiert)
• AWS_SESSION_TOKEN (optional)

AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY müssen im Format <encoded:(base64 encoded value)> übergeben werden, z. B. wenn Ihre AWS-Zugriffsschlüssel-ID AKIAIOSFODNN7EXAMPLE, der geheime Zugriffsschlüssel wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY und das Sitzungstoken AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OP ist, muss dies in der Konfigurationsdatei wie folgt festgelegt werden:

AWS_ACCESS_KEY_ID: <encoded:QUtJQUlPU0ZPRE5ON0VYQU1QTEU=>
AWS_SECRET_ACCESS_KEY: <encoded:d0phbHJYVXRuRkVNSS9LN01ERU5HL2JQeFJmaUNZRVhBTVBMRUtFWQ==>
AWS_SESSION_TOKEN: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

In früheren Versionen von Tanzu Kubernetes Grid wurden die Anmeldedaten in einer Clusterkonfigurationsdatei gespeichert. Tanzu Kubernetes Grid 1.4 und höher speichern standardmäßig keine Anmeldeinformationen für AWS in Konfigurationsdateien.

Registrieren eines EC2-Schlüsselpaars

Nachdem Sie die Anmeldedaten für Ihr AWS-Konto entweder mithilfe von lokalen Umgebungsvariablen oder in einer Anmeldedatendatei und einem Profil festgelegt haben, müssen Sie ein EC2-Schlüsselpaar für Ihr AWS-Konto generieren. Tanzu Kubernetes Grid übergibt den öffentlichen Schlüssel dieses Schlüsselpaars an AWS, um sich innerhalb jeder Region zu authentifizieren.

Hinweis

AWS unterstützt nur RSA-Schlüssel. Die von AWS benötigten Schlüssel weisen ein anderes Format als die von vSphere benötigten Schlüssel auf. Sie können dasselbe Schlüsselpaar nicht sowohl für vSphere- als auch für AWS-Bereitstellungen verwenden.

Wenn Sie nicht bereits über ein EC2-Schlüsselpaar für das Konto und die Region verfügen, das Sie zum Bereitstellen des Verwaltungsclusters verwenden, erstellen Sie mithilfe der folgenden Schritte:

1. Erstellen Sie für jede Region, die Sie mit Tanzu Kubernetes Grid verwenden möchten, ein benanntes Schlüsselpaar und geben Sie eine .pem-Datei aus, die den Namen enthält. Im folgenden Befehl wird beispielsweise default verwendet und die Datei als default.pem gespeichert.

   aws ec2 create-key-pair --key-name default --output json | jq .KeyMaterial -r > default.pem
   

   Um ein Schlüsselpaar für eine Region zu erstellen, die nicht die Standardeinstellung in Ihrem Profil ist, oder die lokal als AWS_DEFAULT_REGION festgelegt ist, schließen Sie die Option --region ein.

2. Melden Sie sich bei Ihrem Amazon EC2-Dashboard an und navigieren Sie zu Netzwerk und Sicherheit (Network & Security) > Schlüsselpaare (Key Pairs), um sicherzustellen, dass das erstellte Schlüsselpaar bei Ihrem Konto registriert ist.

Nächste Schritte

Für Produktionsbereitstellungen wird dringend empfohlen, die Identitätsverwaltung für Ihre Cluster zu aktivieren:

• Informationen zu den vorbereitenden Schritten, die vor der Bereitstellung eines Verwaltungsclusters durchgeführt werden müssen, finden Sie unter Abrufen Ihrer Identitätsanbieterinformationen in Konfiguration der Identitätsverwaltung.
• Konzeptionelle Informationen zu Identitätsverwaltung und Zugriffssteuerung in Tanzu Kubernetes Grid finden Sie unter Informationen zur Identitäts- und Zugriffsverwaltung.

Wenn Sie Tanzu Kubernetes Grid in einer Umgebung mit einer externen Internetverbindung verwenden, können Sie nach der Einrichtung der Identitätsverwaltung Verwaltungscluster in AWS bereitstellen.

• Bereitstellen von Verwaltungsclustern mit der Installationsprogramm-Schnittstelle. Dies ist die bevorzugte Option für erste Bereitstellungen.
• Bereitstellen von Verwaltungsclustern über eine Konfigurationsdatei. Dies ist die kompliziertere Methode, die eine größere Flexibilität bei der Konfiguration bietet.
• Wenn Sie Cluster für vSphere und Azure sowie für AWS bereitstellen möchten, finden Sie Informationen zur erforderlichen Einrichtung für diese Plattformen unter Vorbereitung der Bereitstellung von Verwaltungsclustern für vSphere und Vorbereitung der Bereitstellung von Verwaltungsclustern für Microsoft Azure.