Antes de registrar un clúster de Antrea Kubernetes en NSX, debe completar varias tareas de requisitos previos, como se describe en la documentación.

Puede registrar varios clústeres de Antrea Kubernetes en una sola implementación de NSX.

Si la versión de VMware Container Networking™ with Antrea™ en el clúster de Kubernetes es la 1.8.0 o una posterior, realice las tareas de la 1 a la 6 y la tarea 9. Puede omitir las tareas 7 y 8 descritas en esta documentación.

Si la versión de VMware Container Networking™ with Antrea™ en el clúster de Kubernetes es la 1.7.0 o una anterior, realice las tareas de la 1 a la 5 y de la 7 a la 9. La tarea 6 no es aplicable.

Tarea 1: Agregar licencias adecuadas en NSX

Perfil: administrador de NSX

Su entorno de NSX debe tener una licencia base, que autoriza al sistema a utilizar las funciones de red, y una licencia de seguridad, que autoriza al sistema a tener acceso completo a la función de firewall distribuido.

Para obtener información sobre las licencias base y de seguridad disponibles, consulte Tipos de licencia.

Tarea 2: Asegúrese de que los puertos necesarios estén abiertos para el adaptador de interoperabilidad de Antrea-NSX

El adaptador de interoperabilidad de Antrea-NSX se ejecuta como un pod en un clúster de Antrea Kubernetes, y este pod utiliza el modo de redes del host. El pod se puede programar para ejecutarse en cualquier nodo de Kubernetes. Por lo tanto, debe asegurarse de que los nodos de K8s puedan alcanzar las direcciones IP de NSX en los puertos que se mencionan en el portal VMware Ports and Protocols en https://ports.esp.vmware.com/home/NSX.

En este vínculo, introduzca Pod de interoperabilidad de Antrea en el cuadro de texto Buscar.

Tarea 3: Implementar clústeres de Antrea Kubernetes

Rol: administrador de plataforma de Kubernetes

Un clúster de Kubernetes con complemento de red de Antrea debe estar listo.

Por ejemplo, para integrar clústeres en una instancia de Tanzu Kubernetes Grid con NSX, asegúrese de que se completen las siguientes tareas:
  • Los clústeres de administración de Tanzu están implementados y los clústeres se encuentran en estado de ejecución.
  • Los clústeres de Kubernetes de Tanzu están implementados y los clústeres se encuentran en estado de ejecución.
  • La interfaz de línea de comandos (CLI) de Tanzu está instalada.

Para obtener información detallada sobre estas tareas, consulte la documentación de Tanzu Kubernetes Grid en https://docs.vmware.com/es/VMware-Tanzu-Kubernetes-Grid/index.html.

Cuando se implementa un clúster de administración, las redes con Antrea se habilitan automáticamente en el clúster de administración.

Nota: La CNI de Antrea en modo networkPolicyOnly también es compatible. Para obtener más información, consulte la documentación para Instalar VMware Container Networking con Antrea en modo networkPolicyOnly en la Guía de instalación de VMware Container Networking con Antrea.

Tarea 4: Determinar la versión de Antrea desde el clúster de Kubernetes

Rol: administrador de plataforma de Kubernetes

Antes de descargar el archivo de interoperabilidad de Antrea-NSX (antrea-interworking-versión.zip), que es el siguiente requisito previo de este tema, debe determinar la versión de código abierto de Antrea a partir del clúster de Kubernetes.

Importante: Cada versión de VMware Container Networking™ with Antrea™ se basa en una versión de código abierto de Antrea. Antrea: la versión de interoperabilidad de NSX es compatible con la versión de software de código abierto de Antrea de la misma versión de VMware Container Networking.

Para ver un ejemplo, consulte la siguiente tabla.

Esta tabla no incluye una lista completa de todas las versiones de VMware Container Networking y las versiones de interoperabilidad de Antrea-NSX. Puede consultar una lista completa en las notas de la versión de VMware Container Networking™ with Antrea™ en https://docs.vmware.com/es/VMware-Container-Networking-with-Antrea/index.html.

Versión de VMware Container Networking Basado en la versión de OSS de Antrea Compatible con la versión de interoperabilidad de Antrea-NSX

1.5.0

Consulte: Notas de la versión 1.5.0

1.7.1

0.7.*

1.4.0

Consulte: Notas de la versión 1.4.0

1.5.2

0.5.*

1.3.1

Consulte: Notas de la versión 1.3.1-1.2.3

1.2.3

0.2.*

Para determinar la versión de código abierto de Antrea del clúster de Kubernetes, siga estos pasos:
  1. Averigüe el nombre del pod de Controlador Antrea. Kubernetes genera este nombre con una cadena aleatoria, por lo que puede obtener el nombre del clúster de K8s.

    Por ejemplo:

    $ kubectl get pod -n kube-system -l component=antrea-controller
    NAME                                 READY   STATUS    RESTARTS   AGE
    antrea-controller-6b8cb7cd59-wcjvd   1/1     Running   0          13d

    En el resultado de este comando, el nombre del pod de Controlador Antrea es antrea-controller-6b8cb7cd59-wcjvd.

  2. Recupere la versión de código abierto de Antrea con el siguiente comando:
    $ kubectl exec -it antrea-controller-6b8cb7cd59-wcjvd -n kube-system -- antctl version
    antctlVersion: v1.7.1-cacafc0
    controllerVersion: v1.7.1-cacafc0

    En el resultado de este comando, 1.7.1 es la versión de código abierto de Antrea que quería determinar.

Tarea: 5: Descargar el archivo zip de interoperabilidad de Antrea-NSX

Rol: administrador de plataforma de Kubernetes

Complete los siguientes pasos para descargar el archivo antrea-interworking-version.zip:
  1. Abra la página Mis descargas del portal de soporte técnico de Broadcom.
  2. En la esquina superior derecha, haga clic en Menú para seleccionar la división de Broadcom. y, a continuación, seleccione VMware Cloud Foundation.

    La página Mis descargas solo muestra las SKU que está autorizado a descargar.

  3. Haga clic en VMware Antrea y, a continuación, en VMware Antrea Enterprise.
  4. Haga clic en la versión de VMware Container Networking with Antrea relevante. Se abrirá la pestaña Descargas principales.
  5. Busque el nombre de archivo VMware Container Networking with Antrea, NSX Interworking Adapter Image and Deployment Manifests en esta pestaña.
  6. Compruebe que la versión del archivo antrea-interworking-version.zip que se menciona más abajo sea compatible con la versión de software de código abierto de Antrea que determinó antes.

    Por ejemplo:


    La versión de software de código abierto de Antrea se muestra debajo del nombre de archivo.
  7. Seleccione la casilla Acepto los términos y condiciones de Broadcom.
  8. Haga clic en el icono de descarga.
Extraiga el archivo ZIP. Contiene los siguientes archivos.
Nombre de archivo Descripción
interworking.yaml Archivo de manifiesto de implementación de YAML para registrar un clúster de Antrea Kubernetes en NSX.
bootstrap-config.yaml Archivo YAML donde puede especificar los siguientes detalles para el registro: nombre del clúster de Antrea Kubernetes, direcciones IP de NSX Manager, el certificado TLS del clúster de Kubernetes y la clave privada del clúster de Kubernetes.
bin/antreansxctl Utilidad de línea de comandos de Antrea-NSX. Esta utilidad está disponible en el archivo antrea-interworking.zip de VMware Container Networking 1.7.0 o versiones posteriores.
deregisterjob.yaml Archivo de manifiesto YAML para cancelar el registro de un clúster de Antrea Kubernetes en NSX.
ns-label-webhook.yaml Definiciones de webhook para agregar etiquetas automáticamente a los espacios de nombres de Kubernetes recién creados. Este archivo YAML solo se utiliza con Kubernetes 1.20 y versiones anteriores.
interworking-version.tar Archivo comprimido para las imágenes de contenedor de Adaptador del plano de administración y Adaptador del plano de control central.

Tarea 6: Ejecutar el comando antreansxctl bootstrap

Perfil: administrador de NSX

Si la versión de VMware Container Networking™ with Antrea™ en el clúster de Kubernetes es la 1.8.0 o una posterior, puede ejecutar el comando antreansxctl bootstrap para automatizar las siguientes tareas de requisitos previos en el proceso de registro:
  • Crear un certificado autofirmado
  • Crear un usuario de identidad principal (PI)
  • Crear la configuración de arranque (bootstrap-config.yaml)
    Nota: La plantilla bootstrap-config.yaml que está integrada en la utilidad de línea de comandos anansxctl es compatible con la versión de interoperabilidad actual. La utilidad de línea de comandos no depende del archivo bootstrap-config.yaml del archivo antrea-interworking.zip para ejecutarse.

Para ejecutar el comando antreansxctl bootstrap, utilice la utilidad de línea de comandos anansxctl. Puede encontrar esta utilidad en el archivo antrea-interworking.zip que descargó anteriormente.

La utilidad ansxctl es un ejecutable solo para Linux. Por tanto, necesitará una máquina Linux para ejecutar esta utilidad.

Para obtener información sobre el uso del comando antreansxctl bootstrap y sus diversas opciones de configuración, consulte el documentoLínea de comandos antreansxctl de la Guía de instalación de VMware Container Networking with Antrea.

Tarea 7: Crear un certificado de seguridad autofirmado

Perfil: administrador de NSX

Se requiere un certificado de seguridad autofirmado para crear una cuenta de usuario de identidad principal en NSX, que se explica más adelante en este tema.

Mediante los comandos OpenSSL, cree un certificado de seguridad autofirmado para cada clúster de Antrea Kubernetes que desee registrar en NSX.

Por ejemplo, supongamos que desea crear un certificado OpenSSL autofirmado de una longitud de 2048 bits para un clúster de Antrea Kubernetes llamado cluster-sales. Los siguientes comandos de OpenSSL generan un archivo de clave privada, un archivo de solicitud de firma de certificado y un archivo de certificado autofirmado para este clúster.

openssl genrsa -out cluster-sales-private.key 2048
openssl req -new -key cluster-sales-private.key -out cluster-sales.csr -subj "/C=US/ST=CA/L=Palo Alto/O=VMware/OU=Antrea Cluster/CN=cluster-sales"
openssl x509 -req -days 3650 -sha256 -in cluster-sales.csr -signkey cluster-sales-private.key -out cluster-sales.crt
Nota: En el comando openssl req que se utiliza para crear el archivo .csr, asegúrese de que el nombre común (CN) sea diferente para cada clúster de Antrea Kubernetes.

Tarea 8: Crear un usuario de identidad principal

Perfil: administrador de NSX

Adaptador del plano de administración y Adaptador del plano de control central utilizan la cuenta de usuario de identidad principal (PI) para autenticarse con NSX Manager e identificarse como identidad principal. El usuario de PI es propietario de los recursos de inventario notificados por los adaptadores. NSX evita que otros usuarios sobrescriban accidentalmente los recursos de inventario.

Cada clúster de Antrea Kubernetes requiere un usuario de PI diferente. El nombre del clúster debe ser único en NSX. El nombre común del certificado y el nombre de usuario de PI deben ser iguales que el nombre del clúster. NSX no admite el uso compartido de certificados y usuarios de PI entre clústeres.

Cree un usuario de identidad principal en NSX con el certificado autofirmado que creó en el paso anterior. Asigne a este usuario de identidad principal la función de Administrador de organización.

Para crear un usuario de identidad principal:
  1. En la interfaz de usuario de NSX Manager, haga clic en la pestaña Sistema.
  2. En Configuración, desplácese hasta Administración de usuarios > Asignación de función de usuario.
  3. Haga clic en Agregar > Identidad de entidad de seguridad con función.
  4. Introduzca un nombre para el usuario de la identidad principal. Por ejemplo, escriba cluster-sales.
    Importante: Asegúrese de especificar el mismo nombre para el usuario de identidad principal de NSX, el CN de certificado y el argumento clusterName en el archivo bootstrap-config.yaml.

    Consulte Edite el archivo de configuración de Bootstrap para obtener más información sobre el archivo de configuración de arranque.

  5. Seleccione la función de Administrador de organización.
  6. En el cuadro de texto Identificador de nodo, introduzca el nombre del clústeres de Antrea Kubernetes. Este nombre debe ser único en todos los clústeres de Kubernetes que se van a registrar en NSX. Por ejemplo, escriba cluster-sales.
  7. En el área de texto Certificado PEM, pegue el certificado autofirmado completo que creó anteriormente. Asegúrese de que las líneas -----BEGIN CERTIFICATE---- y ------END CERTIFICATE----- también se peguen en este cuadro de texto.
  8. Haga clic en Guardar.
  9. En el panel de navegación de la izquierda, en Configuración, haga clic en Certificados. Compruebe que se muestre el certificado autofirmado del clúster de Kubernetes de Antrea.

Tarea 9: Importar las imágenes de contenedor en el registro de contenedor

Rol: administrador de plataforma de Kubernetes

Existen dos enfoques para realizar esta tarea de requisito previo.

Enfoque 1 (recomendado): extraer imágenes de VMware Harbor Registry

VMware ha alojado las imágenes de contenedor en VMware Harbor Registry.

Las ubicaciones de imagen son las siguientes:
  • projects.registry.vmware.com/antreainterworking/interworking-debian:versión
  • projects.registry.vmware.com/antreainterworking/interworking-ubuntu:versión
  • projects.registry.vmware.com/antreainterworking/interworking-photon:versión

Para obtener información sobre la versión, consulte las notas de la versión de VMware Container Networking con Antrea en https://docs.vmware.com/es/VMware-Container-Networking-with-Antrea/index.html.

Abra los archivos interworking.yaml y deregisterjob.yaml en cualquier editor de texto de su elección, y reemplace todas las URL de imagen por cualquiera de estas ubicaciones de imagen.

La ventaja de este enfoque es que, cuando se envían los archivos .yaml al servidor de la API de Kubernetes para registrar el clúster, Kubernetes puede extraer las imágenes de contenedor automáticamente de VMware Harbor Registry.

Enfoque 2: copiar manualmente imágenes en nodos de trabajo de Kubernetes y nodos de plano de control

Si la infraestructura de Kubernetes no tiene conectividad a Internet o si la conectividad es demasiado lenta, utilice este enfoque manual.

Extraiga las imágenes de contenedor del archivo interworking-version.tar y cópielas en los nodos de trabajo de Kubernetes y en el nodo de plano de control de cada clúster de Antrea Kubernetes que desee registrar en NSX.

Por ejemplo, en la CLI de Tanzu, ejecute el siguiente comando para cada IP del nodo de trabajo de Kubernetes y la dirección IP del nodo del plano de control para copiar los archivos .tar y .yaml:
scp -o StrictHostKeyChecking=no interworking* capv@{node-ip}:/home/capv

Importe las imágenes en el registro de Kubernetes local, que se administra mediante el motor de tiempo de ejecución de contenedor. Como alternativa, si su organización tiene un registro de contenedor privado, puede importar las imágenes de contenedor en el registro de contenedor privado.

Por ejemplo, en la CLI de Tanzu, ejecute el siguiente comando para cada IP del nodo de trabajo de Kubernetes y la dirección IP del nodo del plano de control para importar las imágenes de contenedor al registro de Kubernetes local:

ssh capv@{node-ip} sudo ctr -n=k8s.io i import interworking-{version-id}.tar

Para que este método funcione en una instancia de vSphere con entorno Tanzu que tenga NAT configurado, debe ejecutar los comandos SCP y SSH en una máquina virtual de host de salto para conectarse a los nodos del clúster de Tanzu Kubernetes. Para obtener más información sobre cómo crear una máquina virtual de host de salto de Linux y configurar conexiones SSH con los nodos del clúster, consulte la documentación de vSphere with Tanzu en https://docs.vmware.com/es/VMware-vSphere/index.html.