Puede implementar clústeres de carga de trabajo y clústeres de administración de Tanzu Kubernetes Grid y en entornos que no están conectados a Internet, como:
En este tema se explica cómo implementar clústeres de administración en entornos con acceso a Internet restringido en vSphere o AWS. No es necesario seguir estos procedimientos si utiliza Tanzu Kubernetes Grid en un entorno conectado que pueda extraer imágenes a través de una conexión externa a Internet.
NotaEste documento proporciona pasos genéricos para implementar los clústeres de administración y carga de trabajo de Tanzu Kubernetes Grid en entornos aislados. Para implementar los clústeres de administración y carga de trabajo en una configuración específica y validada en entornos con espacio de aire, consulte la documentación de la arquitectura de referencia de VMware Tanzu.
Para seguir este procedimiento, puede utilizar una sola máquina o máquinas diferentes como máquinas de arranque en los entornos en línea y sin conexión.
Si desea instalar el registro de Harbor, descargue el archivo OVA de Harbor:
Antes de poder implementar clústeres de administración y clústeres de carga de trabajo en un entorno con acceso a Internet restringido, debe contar con:
TKG_*_PROXY
en el archivo de configuración del clúster en la dirección del servidor proxy y establezca TKG_PROXY_CA_CERT
en la CA del servidor proxy si su certificado está autofirmado. Consulte Configurar proxies.Este documento proporciona pasos genéricos para implementar los clústeres de carga de trabajo y administración de Tanzu Kubernetes Grid en redes vSphere en un entorno aislado. Para implementar los clústeres en una configuración específica y validada en Redes de vSphere en un entorno aislado, consulte VMware Tanzu Kubernetes Grid on Sphere Networking Air-Gapped Reference Design y Deploy Tanzu Kubernetes Grid on vSphere Networking in an Air-Gapped Environment en el documento VMware Tanzu Kubernetes Grid 2.1 Air-Gapped Reference Design and Deployment.
Una instalación de Tanzu Kubernetes Grid con acceso a Internet restringido en vSphere tiene firewalls y comunicación entre los componentes principales, como se muestra aquí.
NotaEl siguiente diagrama describe el escenario en el que se utilizan diferentes máquinas de arranque en los entornos en línea y sin conexión.
En vSphere, además de los requisitos previos generales anteriores, debe:
Cargar a vSphere los archivos OVA desde los que se crean las máquinas virtuales del nodo. Consulte Importar la plantilla de imagen base en vSphere en Implementar clústeres de administración para vSphere.
Después de crear la máquina virtual, si no puede iniciar sesión con el nombre de usuario o la contraseña predeterminados, restablezca la contraseña mediante GNU GRUB, como se describe en Establecer una contraseña raíz perdida si es Photon OS.
Inicie sesión en la jumpbox (máquina virtual segura y aislada) como raíz y habilite SSH remoto de la siguiente manera:
PermitRootLogin yes
. En este caso, la línea existe, elimine "#".service sshd restart
Instale y configure un registro de contenedor privado compatible con Docker, como Harbor, Docker o Artifactory, como se indica a continuación. Este registro se ejecuta fuera de Tanzu Kubernetes Grid y es independiente de cualquier registro implementado como servicio compartido para clústeres:
Configure una subred sin conexión para utilizarla como entorno con acceso a Internet restringido y asóciela con la jumpbox.
Configure el servidor de DHCP para asignar direcciones IP privadas a la nueva instancia.
Cree un conmutador distribuido de vSphere en un centro de datos para controlar la configuración de redes de varios hosts al mismo tiempo desde un punto central.
Este documento proporciona pasos genéricos para implementar los clústeres de carga de trabajo y administración de Tanzu Kubernetes Grid en AWS en un entorno aislado. Para implementar los clústeres en una configuración específica y validada en AWS en un entorno aislado, consulte VMware Tanzu Kubernetes Grid en AWS Air-Gapped Reference Design y Deploy Tanzu Kubernetes Grid on AWS in an Air-Gapped Environment en el documento VMware Tanzu Kubernetes Grid 2.1 Air-Gapped Reference Design and Deployment.
Una instalación de Tanzu Kubernetes Grid con proxy en Amazon Web Services (AWS) tiene firewalls y comunicación entre los componentes principales, como se muestra aquí. Los grupos de seguridad (SG) se crean automáticamente entre el plano de control y los dominios de carga de trabajo, y entre los componentes de carga de trabajo y los componentes del plano de control.
Para una instalación con proxy en AWS, además de los requisitos previos generales anteriores, también necesita:
Después de crear la VPC sin conexión, debe agregar en ella los siguientes endpoints (el endpoint de VPC habilita conexiones privadas entre la VPC y los servicios de AWS compatibles):
sts
ssm
ec2
ec2messages
elasticloadbalancing
secretsmanager
ssmmessages
Para agregar los endpoints de servicio a su VPC:
Para preparar un entorno restringido por Internet para implementar Tanzu Kubernetes Grid, puede elegir una de las siguientes opciones:
Una única máquina de arranque para los entornos en línea y sin conexión.
Diferentes máquinas de arranque para los entornos en línea y sin conexión.
Según la opción que seleccione, siga los pasos descritos en la siguiente tabla:
Siga este paso solo si no instaló el complemento isolated-cluster
ejecutando el comando tanzu plugin sync
en la máquina conectada.
Instale el complemento isolated-cluster
:
tanzu plugin sync
ImportanteAntes de realizar este paso, asegúrese de que la partición de disco en la que descarga las imágenes tenga 45 GB de espacio disponible.
Descargue el paquete de imágenes en la máquina de arranque Linux conectada a Internet:
tanzu isolated-cluster download-bundle --source-repo <SOURCE-REGISTRY> --tkg-version <TKG-VERSION> --ca-certificate <SECURITY-CERTIFICATE>
Donde:
SOURCE-REGISTRY
es la dirección IP o el nombre de host del registro donde se almacenan las imágenes.TKG-VERSION
es la versión de Tanzu Kubernetes Grid que desea implementar en el entorno con proxy o aislado.SECURITY-CERTIFICATE
es el certificado de seguridad del registro en el que se almacenan las imágenes. Para omitir la validación del certificado de seguridad, utilice --insecure
, en lugar de --ca-certificate
. Ambas cadenas son opcionales. Si no especifica ningún valor, el sistema valida el certificado de seguridad predeterminado del servidor.
A continuación se muestra un ejemplo:
tanzu isolated-cluster download-bundle --source-repo projects.registry.vmware.com/tkg --tkg-version v2.1.1
El paquete de imágenes en forma de archivos TAR, junto con el archivo publish-images-fromtar.yaml
, se descarga en la máquina conectada. El archivo YAML define la asignación entre las imágenes y los archivos TAR.
Descargue la imagen de CLI de Tanzu para Linux (archivo ZIP) en la máquina conectada:
En Descargas de productos (Product Downloads), desplácese hasta la sección etiquetada VMware CLI de Tanzu 2.1 CLI y busque CLI de Tanzu de VMware para Linux (VMware CLI de Tanzu for Linux).
Haga clic en Descargar ahora (Download Now). El archivo ZIP tanzu-cli-bundle-linux-amd64.tar.gz
se descarga en la máquina local.
(Opcional) Compruebe que los archivos descargados no se cambien del original. VMware proporciona un SHA-1, un SHA-256 y una suma de comprobación MD5 para cada descarga. Para obtener estas sumas de comprobación, haga clic en Leer más (Read More) en la entrada que desea descargar. Para obtener más información, consulte Usar hashes criptográficos.
Copie los siguientes archivos en la máquina sin conexión, que es la máquina de arranque en el entorno con proxy o aislado, a través de una unidad USB u otro medio de almacenamiento:
tanzu-cli-bundle-linux-amd64.tar.gz
En la máquina de arranque sin conexión, descomprima los archivos TAR en el directorio tanzu
:
tar -xvf tanzu-cli-bundle-linux-amd64.tar.gz -C $HOME/tanzu
cd $HOME/tanzu/cli
sudo install core/v0.28.1/tanzu-core-linux_amd64 /usr/local/bin/tanzu
tar -xvf tanzu-framework-plugins-standalone-linux-amd64.tar.gz
Instale el complemento isolated-cluster
en la máquina de arranque sin conexión:
tanzu plugin install isolated-cluster --local standalone-plugins/
Inicie sesión en el registro privado de la máquina sin conexión a través de Docker:
docker login <URL>
Donde URL
es la dirección URL del repositorio privado en el que se almacenarán las imágenes en el entorno con proxy o aislado.
Cargue el paquete de imágenes en la máquina sin conexión:
tanzu isolated-cluster upload-bundle --source-directory <SOURCE-DIRECTORY> --destination-repo <DESTINATION-REGISTRY> --ca-certificate <SECURITY-CERTIFICATE>
Donde:
SOURCE-DIRECTORY
es la ruta de acceso a la ubicación en la que se almacenan los archivos TAR de imagen.DESTINATION-REGISTRY
es la ruta de acceso al registro privado en el que las imágenes se alojarán en el entorno aislado.SECURITY-CERTIFICATE
es el certificado de seguridad del registro privado en el que las imágenes se alojarán en el entorno con proxy o aislado. Para omitir la validación del certificado de seguridad, utilice --insecure
, en lugar de --ca-certificate
. Ambas cadenas son opcionales. Si no especifica ningún valor, el sistema valida el certificado de seguridad predeterminado del servidor.A continuación se muestra un ejemplo:
tanzu isolated-cluster upload-bundle --source-directory ./ --destination-repo hostname1 --ca-certificate /tmp/registryca.crt
Configure el registro al que movió las imágenes mediante las siguientes variables de referencia del archivo de configuración:
TKG_CUSTOM_IMAGE_REPOSITORY
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE
o TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY
.Para obtener más información sobre estas variables de configuración, consulte Configuración del registro de imágenes privado.
Nota: También puede utilizar el comando tanzu config set env.CONFIG-VARIABLE
para configurar el registro y conservar las variables de entorno cuando utilice CLI de Tanzu en el futuro. Para obtener más información, consulte anzu config set en la referencia de VMware CLI de Tanzu.
El entorno con acceso a Internet restringido ya está listo para implementar o actualizar los clústeres de administración de Tanzu Kubernetes Grid y empezar a implementar clústeres de carga de trabajo en vSphere o AWS.
Para implementar los clústeres de administración y carga de trabajo en una configuración específica y validada en entornos con espacio de aire, consulte la documentación de la arquitectura de referencia de VMware Tanzu.
Para implementar los clústeres de administración mediante un archivo de configuración, consulte Implementar clústeres de administración desde un archivo de configuración.
Si siguió este procedimiento como parte de una actualización, consulte Actualizar Tanzu Kubernetes Grid.
Si necesita implementar las versiones compatibles con FIPS de Tanzu Kubernetes Grid en entornos con acceso a Internet restringido, siga el procedimiento descrito en Versiones compatibles con FIPS.