Preparar un entorno entorno con acceso a Internet restringido

Puede implementar clústeres de carga de trabajo y clústeres de administración de Tanzu Kubernetes Grid y en entornos que no están conectados a Internet, como:

• Entornos con proxy
• Entornos aislados, sin conexión física a Internet

En este tema se explica cómo implementar clústeres de administración en entornos con acceso a Internet restringido en vSphere o AWS. No es necesario seguir estos procedimientos si utiliza Tanzu Kubernetes Grid en un entorno conectado que pueda extraer imágenes a través de una conexión externa a Internet.

Nota

Este documento proporciona pasos genéricos para implementar los clústeres de administración y carga de trabajo de Tanzu Kubernetes Grid en entornos aislados. Para implementar los clústeres de administración y carga de trabajo en una configuración específica y validada en entornos con espacio de aire, consulte la documentación de la arquitectura de referencia de VMware Tanzu. El diseño de referencia de TKG v2.1 se aplica a TKG v2.1 y v2.2.

Para seguir este procedimiento, puede utilizar una sola máquina o máquinas diferentes como máquinas de arranque en los entornos en línea y sin conexión.

(Opcional) Descargar el archivo OVA de Harbor

Si desea instalar el registro de Harbor, descargue el archivo OVA de Harbor:

1. Vaya a VMware Customer Connect e inicie sesión con las credenciales de VMware Customer Connect.
2. Visite la página de descargas de Tanzu Kubernetes Grid.
3. En la fila VMware Tanzu Kubernetes Grid, haga clic en Ir a descargas (Go to Downloads).
4. En el menú desplegable Seleccionar versión (Select Version), seleccione 2.2.0.
5. En Descargas de productos (Product Downloads), desplácese hasta la sección etiquetada Harbor OVA (OVA de Harbor) y haga clic en Descargar ahora (Download Now).
6. (Opcional) Compruebe que los archivos descargados no se cambien del original. VMware proporciona un SHA-1, un SHA-256 y una suma de comprobación MD5 para cada descarga. Para obtener estas sumas de comprobación, haga clic en Leer más (Read More) en la entrada que desea descargar. Para obtener más información, consulte Usar hashes criptográficos.

Requisitos previos generales

Antes de poder implementar clústeres de administración y clústeres de carga de trabajo en un entorno con acceso a Internet restringido, debe contar con:

• Una máquina de arranque Linux conectada a Internet que:
  • No está dentro del entorno con acceso a Internet restringido o puede acceder a los dominios enumerados en Lista de permitidos del servidor proxy.
  • Tiene un mínimo de 2 GB de RAM, 2 vCPU y 45 GB de espacio en el disco duro.
  • Tiene la CLI de Tanzu instalada. Consulte Instalar la CLI de Tanzu y otras herramientas para descargar, descomprimir e instalar el archivo binario de la CLI de Tanzu en su sistema conectado a Internet.
• Una forma de que las máquinas virtuales del clúster accedan a imágenes en el registro privado:
  • Entornos con proxy (Proxied environments): Un servidor proxy de salida que permite que las máquinas virtuales del clúster accedan al registro.
    • Cuando implemente un clúster de administración en este entorno con proxy, establezca las variables TKG_*_PROXY en el archivo de configuración del clúster en la dirección del servidor proxy y establezca TKG_PROXY_CA_CERT en la CA del servidor proxy si su certificado está autofirmado. Consulte Configurar proxies.
  • Entornos aislados: Una unidad de memoria USB u otro medio para poner el registro privado detrás de un airgap, después de que el registro se rellene con imágenes.
• Una unidad de memoria USB u otro dispositivo portátil de almacenamiento sin conexión.

Arquitectura y requisitos previos de vSphere

Este documento proporciona pasos genéricos para implementar los clústeres de carga de trabajo y administración de Tanzu Kubernetes Grid en redes vSphere en un entorno aislado. Para implementar los clústeres en una configuración específica y validada en Redes de vSphere en un entorno aislado, consulte VMware Tanzu Kubernetes Grid on vSphere Networking in an Air-Gapped Environment Reference Design y Deploy Tanzu Kubernetes Grid on vSphere Networking in an Air-Gapped Environment en el documento VMware Tanzu Kubernetes Grid 2.1 Air-Gapped Reference Design and Deployment. El diseño de referencia de TKG v2.1 se aplica a TKG v2.1 y v2.2.

Arquitectura de vSphere

Una instalación de Tanzu Kubernetes Grid con acceso a Internet restringido en vSphere tiene firewalls y comunicación entre los componentes principales, como se muestra aquí.

Nota

El siguiente diagrama describe el escenario en el que se utilizan diferentes máquinas de arranque en los entornos en línea y sin conexión.

En vSphere, además de los requisitos previos generales anteriores, debe:

• Cargar a vSphere los archivos OVA desde los que se crean las máquinas virtuales del nodo. Consulte Importar la plantilla de imagen base en vSphere en Implementar clústeres de administración para vSphere.

  Después de crear la máquina virtual, si no puede iniciar sesión con el nombre de usuario o la contraseña predeterminados, restablezca la contraseña mediante GNU GRUB, como se describe en Establecer una contraseña raíz perdida si es Photon OS.

• Inicie sesión en la jumpbox (máquina virtual segura y aislada) como raíz y habilite SSH remoto de la siguiente manera:

  1. Abra el archivo /etc/ssh/sshd_config en un editor. nano /etc/ssh/sshd_config
  2. Agregue una línea en la sección Autenticación del archivo que indica PermitRootLogin yes. En este caso, la línea existe, elimine "#".
  3. Guarde el archivo /etc/ssh/sshd_config actualizado.
  4. Reinicie el servidor SSH mediante service sshd restart

• Instale y configure un registro de contenedor privado compatible con Docker, como Harbor, Docker o Artifactory, como se indica a continuación. Este registro se ejecuta fuera de Tanzu Kubernetes Grid y es independiente de cualquier registro implementado como servicio compartido para clústeres:

  • Instale el registro en el firewall.
  • Puede configurar el registro de contenedor con certificados SSL firmados por una CA de confianza o con certificados autofirmados.
  • El registro no debe implementar la autenticación de usuario. Por ejemplo, si utiliza un registro de Harbor, el proyecto debe ser público y no privado.
  • Para instalar Harbor en vSphere:
    • Descargar el archivo OVA de Harbor.
    • Implementar un registro de Harbor sin conexión en vSphere.

• Configure una subred sin conexión para utilizarla como entorno con acceso a Internet restringido y asóciela con la jumpbox.

• Configure el servidor de DHCP para asignar direcciones IP privadas a la nueva instancia.

• Cree un conmutador distribuido de vSphere en un centro de datos para controlar la configuración de redes de varios hosts al mismo tiempo desde un punto central.

  • Para obtener más información, consulte Crear un vSphere Distributed Switch.

Arquitectura y requisitos previos de AWS

Este documento proporciona pasos genéricos para implementar los clústeres de carga de trabajo y administración de Tanzu Kubernetes Grid en AWS en un entorno aislado. Para implementar los clústeres en una configuración específica y validada en AWS en un entorno aislado, consulte VMware Tanzu Kubernetes Grid en AWS Air-Gapped Reference Design y Deploy Tanzu Kubernetes Grid on AWS in an Air-Gapped Environment en el documento VMware Tanzu Kubernetes Grid 2.1 Air-Gapped Reference Design and Deployment. El diseño de referencia de TKG v2.1 se aplica a TKG v2.1 y v2.2.

Arquitectura de AWS

Una instalación de Tanzu Kubernetes Grid con proxy en Amazon Web Services (AWS) tiene firewalls y comunicación entre los componentes principales, como se muestra aquí. Los grupos de seguridad (SG) se crean automáticamente entre el plano de control y los dominios de carga de trabajo, y entre los componentes de carga de trabajo y los componentes del plano de control.

Para una instalación con proxy en AWS, además de los requisitos previos generales anteriores, también necesita:

• Una VPC de AWS sin puerta de enlace de Internet ("VPC sin conexión") configurada como se describe a continuación.
  • La máquina de arranque conectada a Internet debe poder acceder a las direcciones IP dentro de esta VPC sin conexión. Para obtener más información, consulte Emparejamiento de VPC.
• Un registro de contenedor privado compatible con Docker, como Harbor, Docker o Artifactory, como se indica a continuación. Este registro se ejecuta fuera de Tanzu Kubernetes Grid y es independiente de cualquier registro implementado como servicio compartido para clústeres:
  • Instale el registro en el firewall.
  • Puede configurar el registro de contenedor con certificados SSL firmados por una CA de confianza o con certificados autofirmados.
  • El registro no debe implementar la autenticación de usuario. Por ejemplo, si utiliza un registro de Harbor, el proyecto debe ser público y no privado.
  • Para instalar Harbor:
    1. Descargar el archivo OVA de Harbor.
    2. Siga las instrucciones de Instalación y configuración de Harbor en la documentación de Harbor.
• Una máquina virtual de arranque Linux que se ejecuta dentro de la VPC sin conexión, aprovisionada de forma similar a la máquina conectada a Internet anterior.
  • La máquina virtual de arranque sin conexión debe poder acceder a las máquinas virtuales del clúster creadas por Tanzu Kubernetes Grid directamente, sin un proxy.

Después de crear la VPC sin conexión, debe agregar en ella los siguientes endpoints (el endpoint de VPC habilita conexiones privadas entre la VPC y los servicios de AWS compatibles):

• Endpoints de servicio:
  • sts
  • ssm
  • ec2
  • ec2messages
  • elasticloadbalancing
  • secretsmanager
  • ssmmessages

Para agregar los endpoints de servicio a su VPC:

1. En la consola de AWS, desplácese hasta Panel de control de VPC (VPC Dashboard) > Endpoints.
2. Para cada uno de los servicios anteriores
   1. Haga clic en Crear endpoint (Create Endpoint).
   2. Busque el servicio y selecciónelo en Nombre del servicio (Service Name).
   3. Seleccione su VPC y sus Subredes (Subnets).
   4. Habilite el nombre DNS (Enable DNS Name) para el endpoint.
   5. Seleccione un Grupo de seguridad (Security group) que permita que las máquinas virtuales de la VPC accedan al endpoint.
   6. Seleccione Directiva (Policy) > Acceso completo (Full Access).
   7. Haga clic en Crear endpoint (Create endpoint).

Preparar un entorno restringido por Internet

Para preparar un entorno restringido por Internet para implementar Tanzu Kubernetes Grid, puede elegir una de las siguientes opciones:

• Una única máquina de arranque para los entornos en línea y sin conexión.

• Diferentes máquinas de arranque para los entornos en línea y sin conexión.

Según la opción que seleccione, siga los pasos descritos en la siguiente tabla:

	Máquina de arranque único	Diferentes máquinas de arranque
Paso 1: Instale el complemento de clúster aislado en la máquina conectada	Sí	Sí
Paso 2: Descargue las imágenes en la máquina conectada	Sí	Sí
Paso 3: Descargue la imagen de la CLI de Tanzu para Linux en la máquina conectada	No	Sí
Paso 4: Copie los archivos a la máquina sin conexión	No	Sí
Paso 5: Descomprima los archivos en la máquina sin conexión	No	Sí
Paso 6: Instale el complemento de clúster aislado en la máquina sin conexión	No	Sí
Paso 7: Inicie sesión en el registro privado en la máquina sin conexión	Sí	Sí
Paso 8: Cargue las imágenes en el registro privado	Sí	Sí

Paso 1: Instale el complemento de clúster aislado en la máquina conectada

Siga este paso solo si no instaló el complemento isolated-cluster ejecutando el comando tanzu plugin sync en la máquina conectada.

1. Inicie sesión en la máquina de arranque Linux conectada a Internet.

2. Instale el complemento isolated-cluster:

   tanzu plugin sync
   

Paso 2: Descargue las imágenes en la máquina conectada

Importante

Antes de realizar este paso, asegúrese de que la partición de disco en la que descarga las imágenes tenga 45 GB de espacio disponible.

Descargue el paquete de imágenes en la máquina de arranque Linux conectada a Internet:

tanzu isolated-cluster download-bundle --source-repo <SOURCE-REGISTRY> --tkg-version <TKG-VERSION> --ca-certificate <SECURITY-CERTIFICATE>

Donde:

• SOURCE-REGISTRY es la dirección IP o el nombre de host del registro donde se almacenan las imágenes.
• TKG-VERSION es la versión de Tanzu Kubernetes Grid que desea implementar en el entorno con proxy o aislado.

• SECURITY-CERTIFICATE es el certificado de seguridad del registro en el que se almacenan las imágenes. Para omitir la validación del certificado de seguridad, utilice --insecure, en lugar de --ca-certificate. Ambas cadenas son opcionales. Si no especifica ningún valor, el sistema valida el certificado de seguridad predeterminado del servidor.

  A continuación se muestra un ejemplo:

  tanzu isolated-cluster download-bundle --source-repo projects.registry.vmware.com/tkg --tkg-version v2.2.0
  
  

El paquete de imágenes en forma de archivos TAR, junto con el archivo publish-images-fromtar.yaml, se descarga en la máquina conectada. El archivo YAML define la asignación entre las imágenes y los archivos TAR.

Paso 3: Descargue la imagen de la CLI de Tanzu para Linux en la máquina conectada

Descargue la imagen de CLI de Tanzu para Linux (archivo ZIP) en la máquina conectada:

1. En la máquina conectada, vaya a VMware Customer Connect e inicie sesión con las credenciales de VMware Customer Connect.
2. Visite la página de descargas de Tanzu Kubernetes Grid.
3. En la fila VMware Tanzu Kubernetes Grid, haga clic en Ir a descargas (Go to Downloads).
4. En el menú desplegable Seleccionar versión (Select Version), seleccione 2.2.0.

5. En Descargas de productos (Product Downloads), desplácese hasta la sección etiquetada VMware CLI de Tanzu 2.2 CLI y busque CLI de Tanzu de VMware para Linux (VMware CLI de Tanzu for Linux).

6. Haga clic en Descargar ahora (Download Now). El archivo ZIP tanzu-cli-bundle-linux-amd64.tar.gz se descarga en la máquina local.

7. (Opcional) Compruebe que los archivos descargados no se cambien del original. VMware proporciona un SHA-1, un SHA-256 y una suma de comprobación MD5 para cada descarga. Para obtener estas sumas de comprobación, haga clic en Leer más (Read More) en la entrada que desea descargar. Para obtener más información, consulte Usar hashes criptográficos.

Paso 4: Copie los archivos a la máquina sin conexión

Copie los siguientes archivos en la máquina sin conexión, que es la máquina de arranque en el entorno con proxy o aislado, a través de una unidad USB u otro medio de almacenamiento:

• Archivos TAR de imagen
• Archivos YAML
• El archivo ZIP tanzu-cli-bundle-linux-amd64.tar.gz

Paso 5: Descomprima los archivos en la máquina sin conexión

En la máquina de arranque sin conexión, descomprima los archivos TAR en el directorio tanzu:

tar -xvf tanzu-cli-bundle-linux-amd64.tar.gz -C $HOME/tanzu
cd $HOME/tanzu/cli
sudo install core/v0.29.0/tanzu-core-linux_amd64 /usr/local/bin/tanzu
tar -xvf tanzu-framework-plugins-standalone-linux-amd64.tar.gz

Paso 6: Instale el complemento de clúster aislado en la máquina sin conexión

Instale el complemento isolated-cluster en la máquina de arranque sin conexión:

tanzu plugin install isolated-cluster --local standalone-plugins/

Paso 7: Inicie sesión en el registro privado en la máquina sin conexión

Inicie sesión en el registro privado de la máquina sin conexión a través de Docker:

docker login <URL>

Donde URL es la dirección URL del repositorio privado en el que se almacenarán las imágenes en el entorno con proxy o aislado.

Paso 8: Cargar las imágenes en el registro privado

Cargue el paquete de imágenes en la máquina sin conexión:

tanzu isolated-cluster upload-bundle --source-directory <SOURCE-DIRECTORY> --destination-repo <DESTINATION-REGISTRY> --ca-certificate <SECURITY-CERTIFICATE>

Donde:

• SOURCE-DIRECTORY es la ruta de acceso a la ubicación en la que se almacenan los archivos TAR de imagen.
• DESTINATION-REGISTRY es la ruta de acceso al registro privado en el que las imágenes se alojarán en el entorno aislado.
• SECURITY-CERTIFICATE es el certificado de seguridad del registro privado en el que las imágenes se alojarán en el entorno con proxy o aislado. Para omitir la validación del certificado de seguridad, utilice --insecure, en lugar de --ca-certificate. Ambas cadenas son opcionales. Si no especifica ningún valor, el sistema valida el certificado de seguridad predeterminado del servidor.

A continuación se muestra un ejemplo:

tanzu isolated-cluster upload-bundle --source-directory ./ --destination-repo hostname1 --ca-certificate /tmp/registryca.crt

Qué hacer a continuación

Configure el registro al que movió las imágenes mediante las siguientes variables de referencia del archivo de configuración:

• TKG_CUSTOM_IMAGE_REPOSITORY
• TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE o TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY.

Para obtener más información sobre estas variables de configuración, consulte Configuración del registro de imágenes privado.

Nota: También puede utilizar el comando tanzu config set env.CONFIG-VARIABLE para configurar el registro y conservar las variables de entorno cuando utilice CLI de Tanzu en el futuro. Para obtener más información, consulte anzu config set en la referencia de VMware CLI de Tanzu.

El entorno con acceso a Internet restringido ya está listo para implementar o actualizar los clústeres de administración de Tanzu Kubernetes Grid y empezar a implementar clústeres de carga de trabajo en vSphere o AWS.

Para implementar los clústeres de administración y carga de trabajo en una configuración específica y validada en entornos con espacio de aire, consulte la documentación de la arquitectura de referencia de VMware Tanzu. El diseño de referencia de TKG v2.1 se aplica a TKG v2.1 y v2.2.

Para implementar los clústeres de administración mediante un archivo de configuración, consulte Implementar clústeres de administración desde un archivo de configuración.

Si siguió este procedimiento como parte de una actualización, consulte Actualizar Tanzu Kubernetes Grid.