Sie können Tanzu Kubernetes Grid-Verwaltungscluster und -Arbeitslastcluster in Umgebungen bereitstellen, die nicht mit dem Internet verbunden sind, wie z. B.:
In diesem Thema wird die Bereitstellung von Verwaltungsclustern in einer Umgebung mit Internetbeschränkungen auf vSphere oder AWS erläutert. Sie müssen diese Schritte nicht ausführen, wenn Sie Tanzu Kubernetes Grid in einer mit dem Internet verbundenen Umgebung verwenden, die Images über eine externe Internetverbindung abrufen kann.
HinweisDieses Dokument enthält allgemeine Schritte zur Bereitstellung von Tanzu Kubernetes Grid-Verwaltungs- und Arbeitslastclustern in Air-Gapped-Umgebungen. Informationen zum Bereitstellen der Verwaltungs- und Arbeitslastcluster in einer spezifischen und validierten Konfiguration in Air-Gapped-Umgebungen finden Sie unter Air-Gapped-Referenzdesign und ‑Bereitstellung in VMware Tanzu Kubernetes Grid 2.3. Das TKG v2.3-Referenzdesign gilt sowohl für TKG v2.3 als auch für v2.4.
Bei diesem Verfahren können Sie entweder eine einzelne Maschine oder verschiedene Maschinen als Bootstrap-Maschinen in den Online- und Offline-Umgebungen verwenden.
Wenn Sie die Harbor-Registrierung installieren möchten, laden Sie die Harbor-OVA-Datei herunter:
Damit Sie Verwaltungscluster und Arbeitslastcluster in einer Umgebung mit Internetbeschränkungen bereitstellen können, benötigen Sie Folgendes:
TKG_*_PROXY
-Variablen auf die Adresse des Proxyservers fest. Wenn das Zertifikat selbstsigniert ist, legen Sie TKG_PROXY_CA_CERT
auf die Zertifizierungsstelle des Proxyservers fest. Weitere Informationen finden Sie unter Konfigurieren von Proxys.Dieses Dokument enthält allgemeine Schritte zur Bereitstellung der Tanzu Kubernetes Grid-Verwaltungs- und Arbeitslastcluster im vSphere-Netzwerk in einer Air-Gapped-Umgebung. Informationen zum Bereitstellen der Cluster in einer spezifischen und validierten Konfiguration im vSphere-Netzwerk in einer Air-Gapped-Umgebung finden Sie im Dokument Air-Gapped-Referenzdesign in VMware Tanzu Kubernetes Grid on vSphere und Bereitstellen von Tanzu Kubernetes Grid auf vSphere-Netzwerken in einer Air-Gapped-Umgebung im Dokument Air-Gapped-Referenzdesign und ‑Bereitstellung in VMware Tanzu Kubernetes Grid 2.3. Das TKG v2.3-Referenzdesign gilt sowohl für TKG v2.3 als auch für v2.4.
Eine internetbeschränkte Tanzu Kubernetes Grid-Installation auf vSphere verfügt über Firewalls und kommuniziert zwischen Hauptkomponenten, wie hier gezeigt.
HinweisDas folgende Diagramm beschreibt das Szenario, in dem verschiedene Bootstrap-Maschinen in den Online- und Offline-Umgebungen verwendet werden.
Auf vSphere müssen Sie zusätzlich zu den oben genannten allgemeinen Voraussetzungen Folgendes ausführen:
Laden Sie in vSphere die OVAs hoch, aus denen Knoten-VMs erstellt werden. Weitere Informationen finden Sie unter Importieren der Basisimage-Vorlage in vSphere in Bereitstellen von Verwaltungsclustern für vSphere.
Wenn Sie sich nach der Erstellung der VM nicht mit dem Standardbenutzernamen/-Kennwort anmelden können, setzen Sie bei Photon OS das Kennwort mithilfe von Gnu GRUB zurück, wie unter Zurücksetzen eines verlorenen Root-Kennworts beschrieben.
Melden Sie sich bei der Jumpbox als root an und aktivieren Sie Remote-SSH wie folgt:
PermitRootLogin yes
ein. Falls die Zeile bereits vorhanden ist, entfernen Sie das „#“.service sshd restart
neu.Installieren und konfigurieren Sie eine private Docker-kompatible Containerregistrierung wie Harbor, Docker oder Artifactory wie folgt. Diese Registrierung wird außerhalb von Tanzu Kubernetes Grid ausgeführt und ist von allen Registrierungen getrennt, die als gemeinsam genutzter Dienst für Cluster bereitgestellt werden:
Konfigurieren Sie ein Offline-Subnetz zur Verwendung als Umgebung mit Internetbeschränkungen und verknüpfen Sie es mit der Jumpbox.
Richten Sie den DHCP-Server ein, um der neuen Instanz private IP-Adressen zuzuteilen.
Erstellen Sie einen vSphere Distributed Switch auf einem Datencenter, um die Netzwerkkonfiguration mehrerer Hosts gleichzeitig von einer zentralen Stelle aus zu regeln.
Dieses Dokument enthält allgemeine Schritte zur Bereitstellung der Tanzu Kubernetes Grid-Verwaltungs- und Arbeitslastcluster auf AWS in einer Air-Gapped-Umgebung. Informationen zum Bereitstellen der Cluster in einer bestimmten und validierten Konfiguration auf AWS in einer Air-Gapped-Umgebung finden Sie unter Air-Gapped-Referenzdesign in VMware Tanzu Kubernetes Grid on AWS und Bereitstellen von Tanzu Kubernetes Grid auf vSphere-Netzwerken in einer Air-Gapped-Umgebung im Dokument Air-Gapped-Referenzdesign und ‑Bereitstellung in VMware Tanzu Kubernetes Grid 2.3. Das TKG v2.3-Referenzdesign gilt sowohl für TKG v2.3 als auch für v2.4.
Eine Proxy-Installation von Tanzu Kubernetes Grid auf Amazon Web Services (AWS) verfügt über Firewalls und kommuniziert zwischen Hauptkomponenten, wie hier gezeigt. Sicherheitsgruppen (SG) werden automatisch zwischen der Steuerungsebene und den Arbeitslastdomänen sowie zwischen den Arbeitslastkomponenten und Steuerungsebenenkomponenten erstellt.
Für eine Proxy-Installation auf AWS benötigen Sie zusätzlich zu den oben genannten allgemeinen Voraussetzungen folgendes:
Nachdem Sie die Offline-VPC erstellt haben, müssen Sie ihr die folgenden Endpoints hinzufügen (Ein VPC-Endpoint aktiviert private Verbindungen zwischen Ihrer VPC und den unterstützten AWS-Diensten.):
sts
ssm
ec2
ec2messages
elasticloadbalancing
secretsmanager
ssmmessages
So fügen Sie die Dienst-Endpoints zu Ihrer VPC hinzu:
Um eine Umgebung mit Internetbeschränkungen für die Bereitstellung von Tanzu Kubernetes Grid vorzubereiten, können Sie eine der folgenden Optionen auswählen:
Eine einzelne Bootstrap-Maschine für die Online- und Offline-Umgebungen.
Verschiedene Bootstrap-Maschinen für die Online- und Offline-Umgebungen.
Führen Sie basierend auf der ausgewählten Option die in der folgenden Tabelle beschriebenen Schritte aus:
So installieren Sie das Plug-In isolated-cluster
:
Installieren Sie das Plug-In isolated-cluster
, indem Sie das für die Installation eines einzelnen Plug-Ins beschriebene Verfahren unter Installieren von Tanzu CLI-Plug-Ins in der VMware Tanzu CLI-Dokumentation befolgen.
Stellen Sie sicher, dass die Versionsnummer des Plug-Ins isolated-cluster
mit der Versionsnummer der Core-Tanzu CLI kompatibel ist:
Führen Sie tanzu plugin list
aus, um die Versionsnummer der Tanzu CLI-Plug-Ins anzuzeigen.
Sehen Sie in den Repo-Versionen der TKG- und Tanzu CLI- Plug-Ins und des Tanzu Standard-Pakets unter Informationen zu Tanzu Kubernetes Grid nach, um sicherzustellen, dass die Version des Plug-Ins isolated-cluster
mit TKG v2.3 kompatibel ist.
tanzu version
aufgelistet wird, sollte mit der Tanzu CLI-Version für TKG v2.3 übereinstimmen, die unter Produkt-Snapshot in den Versionshinweisen zu TKG aufgeführt ist.Wenn die Version des Plug-Ins isolated-cluster
nicht mit Ihrer TKG-Version übereinstimmt, aktualisieren Sie TKG gemäß der Beschreibung unter Aktualisieren von Tanzu Kubernetes Grid.
WichtigStellen Sie vor der Durchführung dieses Schritts sicher, dass die Festplattenpartition, auf die Sie die Images herunterladen, über 45 GB freien Speicherplatz verfügt.
Laden Sie das Image-Paket auf Ihre mit dem Internet verbundene Linux-Bootstrap-Maschine herunter:
tanzu isolated-cluster download-bundle --source-repo <SOURCE-REGISTRY> --tkg-version <TKG-VERSION> --ca-certificate <SECURITY-CERTIFICATE>
Dabei gilt:
SOURCE-REGISTRY
ist die IP-Adresse oder der Hostname der Registrierung, in der die Images gespeichert sind.TKG-VERSION
ist die Version von Tanzu Kubernetes Grid, die Sie in der Proxy- oder Air Gap-Umgebung bereitstellen möchten.SECURITY-CERTIFICATE
ist das Sicherheitszertifikat der Registrierung, in der die Images gespeichert sind. Um die Validierung des Sicherheitszertifikats zu umgehen, verwenden Sie --insecure
anstelle von --ca-certificate
. Beide Zeichenfolgen sind optional. Wenn Sie keinen Wert angeben, validiert das System das Standard-Serversicherheitszertifikat.
Im Folgenden finden Sie ein Beispiel:
tanzu isolated-cluster download-bundle --source-repo projects.registry.vmware.com/tkg --tkg-version v2.3.1
Das Image-Paket in Form von TAR-Dateien wird zusammen mit der Datei publish-images-fromtar.yaml
auf die Online-Maschine heruntergeladen. Die YAML-Datei definiert die Zuordnung zwischen den Images und den TAR-Dateien.
Laden Sie das Tanzu CLI-Image für Linux (ZIP-Datei) auf die Online-Maschine herunter:
tanzu-cli-linux-amd64.tar.gz
wird auf die lokale Maschine heruntergeladen.Laden Sie das CLI-Plug-In-Paket auf die Online-Maschine herunter:
Führen Sie in der Tanzu CLI den folgenden Befehl aus, um das Plug-Ins-Paket für die CLI herunterzuladen:
tanzu plugin download-bundle --group vmware-tkg/default --to-tar /tmp/plugin-bundle.tar.gz
Kopieren Sie die folgenden Dateien über einen USB-Stick oder ein anderes Speichermedium auf die Offline-Maschine, bei der es sich um die Bootstrap-Maschine in der Proxy- oder Air Gap-Umgebung handelt:
tanzu-cli-bundle-linux-amd64.tar.gz
Entpacken Sie auf der Offline-Bootstrap-Maschine die ZIP-Datei des Tanzu CLI-Images in das Verzeichnis tanzu
:
tar -xvf tanzu-cli-bundle-linux-amd64.tar.gz -C $HOME/tanzu
Melden Sie sich über Docker bei der privaten Registrierung auf der Offline-Maschine an:
docker login <URL>
Dabei gilt: URL
ist die URL zum privaten Repository, in dem die Bilder in der Proxy- oder Air Gap-Umgebung gespeichert werden.
Installieren Sie die Tanzu CLI auf der Offline-Maschine:
sudo install tanzu-cli-linux_amd64 /usr/local/bin/tanzu
Installieren Sie das CLI-Plug-Ins-Paket auf der Offline-Maschine.
Wenn die private Registrierung in der Air-Gapped-Umgebung mit einem selbstsignierten CA-Zertifikat konfiguriert ist, fügen Sie Ihre Einstellungen für die Zertifikatsüberprüfung hinzu, indem Sie die Anweisungen unter Hinzufügen der Zertifikatskonfiguration für die benutzerdefinierte Registrierung befolgen.
Laden Sie das CLI-Plug-In-Paket in das private Repository in der Air-Gapped-Umgebung hoch:
tanzu plugin upload-bundle --tar /tmp/plugin-bundle.tar.gz --to-repo PRIVATE-REPO/tanzu_cli/plugins
Dabei gilt: PRIVATE-REPO
ist das private Repository, in dem die Images in der Proxy- oder Air-Gapped-Umgebung gespeichert werden. Beispiel: registry.example.com
.
Aktualisieren Sie die Tanzu CLI so, dass sie auf die neue Plug-In-Quelle verweist:
tanzu plugin source update default --url PRIVATE-REPO/tanzu_cli/plugins/plugin-inventory:latest
Stellen Sie sicher, dass die Plug-Ins erkennbar sind:
tanzu plugin search
tanzu plugin group search
Installieren Sie die CLI-Plug-Ins:
tanzu plugin install
Laden Sie das TKG-Image-Paket in die private Registrierung hoch:
tanzu isolated-cluster upload-bundle --source-directory <SOURCE-DIRECTORY> --destination-repo <DESTINATION-REGISTRY> --ca-certificate <SECURITY-CERTIFICATE>
Dabei gilt:
SOURCE-DIRECTORY
ist der Pfad zu dem Speicherort, an dem die TAR-Image-Dateien gespeichert werden.DESTINATION-REGISTRY
ist der Pfad zur privaten Registrierung, in der die Images in der Air Gap-Umgebung gehostet werden.SECURITY-CERTIFICATE
ist das Sicherheitszertifikat der privaten Registrierung, in der die Images in der Proxy- oder Air Gap-Umgebung gehostet werden. Um die Validierung des Sicherheitszertifikats zu umgehen, verwenden Sie --insecure
anstelle von --ca-certificate
. Beide Zeichenfolgen sind optional. Wenn Sie keinen Wert angeben, validiert das System das Standard-Serversicherheitszertifikat.Im Folgenden finden Sie ein Beispiel:
tanzu isolated-cluster upload-bundle --source-directory ./ --destination-repo hostname1 --ca-certificate /tmp/registryca.crt
Konfigurieren Sie die Registrierung, in die Sie die Images verschoben haben, indem Sie die folgenden Referenzvariablen der Konfigurationsdatei verwenden:
TKG_CUSTOM_IMAGE_REPOSITORY
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE
oder TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY
.Weitere Informationen zu diesen Konfigurationsvariablen finden Sie unter Konfiguration von privaten Image-Registrierungen.
HinweisSie können auch den Befehl
tanzu config set env.CONFIG-VARIABLE
verwenden, um die Registrierung zu konfigurieren und die Umgebungsvariablen beizubehalten, wenn Sie die Tanzu CLI in Zukunft verwenden. Weitere Informationen finden Sie unter tanzu config set in der Tanzu CLI-Befehlsreferenz.
Ihre Umgebung mit Internetbeschränkungen ist jetzt bereit für die Bereitstellung oder das Upgrade von Tanzu Kubernetes Grid-Verwaltungsclustern und für die Bereitstellung von Arbeitslastclustern auf vSphere oder AWS.
Informationen zum Bereitstellen der Verwaltungs- und Arbeitslastcluster in einer spezifischen und validierten Konfiguration in Air-Gapped-Umgebungen finden Sie unter Air-Gapped-Referenzdesign und ‑Bereitstellung in VMware Tanzu Kubernetes Grid 2.3. Das TKG v2.3-Referenzdesign gilt sowohl für TKG v2.3 als auch für v2.4.
Informationen zum Bereitstellen der Verwaltungscluster mithilfe einer Konfigurationsdatei finden Sie unter Bereitstellen von Verwaltungsclustern über eine Konfigurationsdatei.
Wenn Sie dieses Verfahren im Rahmen eines Upgrades durchgeführt haben, finden Sie weitere Informationen unter Upgrade von Tanzu Kubernetes Grid.