Preparar un entorno entorno con acceso a Internet restringido

Puede implementar clústeres de carga de trabajo y clústeres de administración de Tanzu Kubernetes Grid y en entornos que no están conectados a Internet, como:

• Entornos con proxy
• Entornos aislados, sin conexión física a Internet

En este tema se explica cómo implementar clústeres de administración en entornos con acceso a Internet restringido en vSphere o AWS. No es necesario seguir estos procedimientos si utiliza Tanzu Kubernetes Grid en un entorno conectado que pueda extraer imágenes a través de una conexión externa a Internet.

Nota

Este documento proporciona pasos genéricos para implementar los clústeres de administración y carga de trabajo de Tanzu Kubernetes Grid en entornos aislados. Para implementar los clústeres de administración y carga de trabajo en una configuración específica y validada en entornos con espacio de aire, consulte VMware Tanzu Kubernetes Grid 2.3 Air-Gapped Reference Design and Deployment. El diseño de referencia de TKG v2.3 se aplica a TKG v2.3 y v2.4.

Para seguir este procedimiento, puede utilizar una sola máquina o máquinas diferentes como máquinas de arranque en los entornos en línea y sin conexión.

(Opcional) Descargar el archivo OVA de Harbor

Si desea instalar el registro de Harbor, descargue el archivo OVA de Harbor:

1. Vaya a VMware Customer Connect e inicie sesión con las credenciales de VMware Customer Connect.
2. Vaya a Descargas de productos de Tanzu Kubernetes Grid v2.3.1.
3. Desplácese hasta la sección etiquetada OVA de Harbor (Harbor OVA) y haga clic en Descargar ahora (Download Now).
4. (Opcional) Compruebe que los archivos descargados no se cambien del original. VMware proporciona un SHA-1, un SHA-256 y una suma de comprobación MD5 para cada descarga. Para obtener estas sumas de comprobación, haga clic en Leer más (Read More) en la entrada que desea descargar. Para obtener más información, consulte Usar hashes criptográficos.

Requisitos previos generales

Antes de poder implementar clústeres de administración y clústeres de carga de trabajo en un entorno con acceso a Internet restringido, debe contar con:

• Una máquina de arranque Linux conectada a Internet que:
  • No está dentro del entorno con acceso a Internet restringido o puede acceder a los dominios enumerados en Lista de permitidos del servidor proxy.
  • Tiene un mínimo de 2 GB de RAM, 2 vCPU y 45 GB de espacio en el disco duro.
  • Tiene la CLI de Tanzu instalada. Consulte Instalar la CLI de Tanzu y la CLI de Kubernetes para su uso con clústeres de administración independientes para descargar, desempaquetar e instalar el binario de la CLI de Tanzu en su sistema conectado a Internet.
• Una forma de que las máquinas virtuales del clúster accedan a imágenes en el registro privado:
  • Entornos con proxy (Proxied environments): Un servidor proxy de salida que permite que las máquinas virtuales del clúster accedan al registro.
    • Cuando implemente un clúster de administración en este entorno con proxy, establezca las variables TKG_*_PROXY en el archivo de configuración del clúster en la dirección del servidor proxy y establezca TKG_PROXY_CA_CERT en la CA del servidor proxy si su certificado está autofirmado. Consulte Configurar proxies.
  • Entornos con espacios de aire: Una unidad de memoria USB u otro medio para poner el registro privado detrás de un espacio de aire, después de que el registro se rellene con imágenes.
• Una unidad de memoria USB u otro dispositivo portátil de almacenamiento sin conexión.

Arquitectura y requisitos previos de vSphere

Este documento proporciona pasos genéricos para implementar los clústeres de carga de trabajo y administración de Tanzu Kubernetes Grid en redes vSphere en un entorno aislado. Para implementar los clústeres en una configuración específica y validada en redes de vSphere en un entorno aislado, consulte VMware Tanzu Kubernetes Grid on vSphere Air-Gapped Reference Design y Deploy Tanzu Kubernetes Grid on vSphere Networking in an Air-Gapped Environment en el documento VMware Tanzu Kubernetes Grid 2.3 Air-Gapped Reference Design and Deployment. El diseño de referencia de TKG v2.3 se aplica a TKG v2.3 y v2.4.

Arquitectura de vSphere

Una instalación de Tanzu Kubernetes Grid con acceso a Internet restringido en vSphere tiene firewalls y comunicación entre los componentes principales, como se muestra aquí.

Nota

El siguiente diagrama describe el escenario en el que se utilizan diferentes máquinas de arranque en los entornos en línea y sin conexión.

En vSphere, además de los requisitos previos generales anteriores, debe:

• Cargar a vSphere los archivos OVA desde los que se crean las máquinas virtuales del nodo. Consulte Importar la plantilla de imagen base en vSphere en Implementar clústeres de administración para vSphere.

  Después de crear la máquina virtual, si no puede iniciar sesión con el nombre de usuario o la contraseña predeterminados, restablezca la contraseña mediante GNU GRUB, como se describe en Establecer una contraseña raíz perdida si es Photon OS.

• Inicie sesión en la jumpbox (máquina virtual segura y aislada) como raíz y habilite SSH remoto de la siguiente manera:

  1. Abra el archivo /etc/ssh/sshd_config en un editor. nano /etc/ssh/sshd_config
  2. Agregue una línea en la sección Autenticación del archivo que indica PermitRootLogin yes. En este caso, la línea existe, elimine "#".
  3. Guarde el archivo /etc/ssh/sshd_config actualizado.
  4. Reinicie el servidor SSH mediante service sshd restart

• Instale y configure un registro de contenedor privado compatible con Docker, como Harbor, Docker o Artifactory, como se indica a continuación. Este registro se ejecuta fuera de Tanzu Kubernetes Grid y es independiente de cualquier registro implementado como servicio compartido para clústeres:

  • Instale el registro en el firewall.
  • Puede configurar el registro de contenedor con certificados SSL firmados por una CA de confianza o con certificados autofirmados.
  • El registro no debe implementar la autenticación de usuario. Por ejemplo, si utiliza un registro de Harbor, el proyecto debe ser público y no privado.
  • Para instalar Harbor en vSphere:
    • Descargar el archivo OVA de Harbor.
    • Implementar un registro de Harbor sin conexión en vSphere.

• Configure una subred sin conexión para utilizarla como entorno con acceso a Internet restringido y asóciela con la jumpbox.

• Configure el servidor de DHCP para asignar direcciones IP privadas a la nueva instancia.

• Cree un conmutador distribuido de vSphere en un centro de datos para controlar la configuración de redes de varios hosts al mismo tiempo desde un punto central.

  • Para obtener más información, consulte Crear un vSphere Distributed Switch.

Arquitectura y requisitos previos de AWS

Este documento proporciona pasos genéricos para implementar los clústeres de carga de trabajo y administración de Tanzu Kubernetes Grid en AWS en un entorno aislado. Para implementar los clústeres en una configuración específica y validada en AWS en un entorno aislado, consulte VMware Tanzu Kubernetes Grid en AWS Air-Gapped Reference Design y Deploy Tanzu Kubernetes Grid on AWS in an Air-Gapped Environment en el documento VMware Tanzu Kubernetes Grid 2.3 Air-Gapped Reference Design and Deployment. El diseño de referencia de TKG v2.3 se aplica a TKG v2.3 y v2.4.

Arquitectura de AWS

Una instalación de Tanzu Kubernetes Grid con proxy en Amazon Web Services (AWS) tiene firewalls y comunicación entre los componentes principales, como se muestra aquí. Los grupos de seguridad (SG) se crean automáticamente entre el plano de control y los dominios de carga de trabajo, y entre los componentes de carga de trabajo y los componentes del plano de control.

Para una instalación con proxy en AWS, además de los requisitos previos generales anteriores, también necesita:

• Una VPC de AWS sin puerta de enlace de Internet ("VPC sin conexión") configurada como se describe a continuación.
  • La máquina de arranque conectada a Internet debe poder acceder a las direcciones IP dentro de esta VPC sin conexión. Para obtener más información, consulte Emparejamiento de VPC.
• Un registro de contenedor privado compatible con Docker, como Harbor, Docker o Artifactory, como se indica a continuación. Este registro se ejecuta fuera de Tanzu Kubernetes Grid y es independiente de cualquier registro implementado como servicio compartido para clústeres:
  • Instale el registro en el firewall.
  • Puede configurar el registro de contenedor con certificados SSL firmados por una CA de confianza o con certificados autofirmados.
  • El registro no debe implementar la autenticación de usuario. Por ejemplo, si utiliza un registro de Harbor, el proyecto debe ser público y no privado.
  • Para instalar Harbor:
    1. Descargar el archivo OVA de Harbor.
    2. Siga las instrucciones de Instalación y configuración de Harbor en la documentación de Harbor.
• Una máquina virtual de arranque Linux que se ejecuta dentro de la VPC sin conexión, aprovisionada de forma similar a la máquina conectada a Internet anterior.
  • La máquina virtual de arranque sin conexión debe poder acceder a las máquinas virtuales del clúster creadas por Tanzu Kubernetes Grid directamente, sin un proxy.

Después de crear la VPC sin conexión, debe agregar en ella los siguientes endpoints (el endpoint de VPC habilita conexiones privadas entre la VPC y los servicios de AWS compatibles):

• Endpoints de servicio:
  • sts
  • ssm
  • ec2
  • ec2messages
  • elasticloadbalancing
  • secretsmanager
  • ssmmessages

Para agregar los endpoints de servicio a su VPC:

1. En la consola de AWS, desplácese hasta Panel de control de VPC (VPC Dashboard) > Endpoints.
2. Para cada uno de los servicios anteriores
   1. Haga clic en Crear endpoint (Create Endpoint).
   2. Busque el servicio y selecciónelo en Nombre del servicio (Service Name).
   3. Seleccione su VPC y sus Subredes (Subnets).
   4. Habilite el nombre DNS (Enable DNS Name) para el endpoint.
   5. Seleccione un Grupo de seguridad (Security group) que permita que las máquinas virtuales de la VPC accedan al endpoint.
   6. Seleccione Directiva (Policy) > Acceso completo (Full Access).
   7. Haga clic en Crear endpoint (Create endpoint).

Preparar un entorno restringido por Internet

Para preparar un entorno restringido por Internet para implementar Tanzu Kubernetes Grid, puede elegir una de las siguientes opciones:

• Una única máquina de arranque para los entornos en línea y sin conexión.

• Diferentes máquinas de arranque para los entornos en línea y sin conexión.

Según la opción que seleccione, siga los pasos descritos en la siguiente tabla:

	Máquina de arranque único	Diferentes máquinas de arranque
Paso 1: Instale el complemento de clúster aislado en la máquina conectada	Sí	Sí
Paso 2: Descargue las imágenes TKG en la máquina conectada	Sí	Sí
Paso 3: Descargue la imagen binaria de la CLI de Tanzu para Linux en la máquina conectada	No	Sí
Paso 4: Descargar el paquete de complementos de CLI en la máquina conectada	No	Sí
Paso 5: Copie los archivos a la máquina sin conexión	No	Sí
Paso 6: Descomprima los archivos en la máquina sin conexión	No	Sí
Paso 7: Inicie sesión en el registro privado en la máquina sin conexión	Sí	Sí
Paso 8: Instale la CLI de Tanzu en la máquina sin conexión	No	Sí
Paso 9: Instale el paquete de complementos de CLI en la máquina sin conexión	Sí	Sí
Paso 10: Cargue las imágenes de TKG en el registro privado	Sí	Sí

Paso 1: Instale el complemento de clúster aislado en la máquina conectada

Para instalar el complemento isolated-cluster:

1. Instala elisolated-cluster complemento siguiendo el procedimiento descrito para instalar un solo complemento en Instalar complementos de la CLI de Tanzu en la documentación de la CLI de VMware Tanzu.

2. Asegúrese de que el número de versión del complemento isolated-cluster sea compatible con el número de versión de la CLI de Tanzu principal:

   1. Ejecute tanzu plugin list para ver el número de versión de los complementos de la CLI de Tanzu.

   2. Consulte las versiones de TKG, complemento de la CLI de Tanzu y el repositorio del paquete de Tanzu Standard en Acerca de Tanzu Kubernetes Grid para confirmar que su versión del complemento isolated-cluster es compatible con TKG v2.3.

      • La versión de CLI de Tanzu principal que se muestra al ejecutar tanzu version debe coincidir con la versión de la CLI de Tanzu para TKG v2.3, como se indica en Instantánea del producto en las notas de la versión de TKG.

   3. Si la versión del complemento isolated-cluster no coincide con la versión de TKG, actualice TKG como se describe en Actualizar Tanzu Kubernetes Grid.

Paso 2: Descargue las imágenes TKG en la máquina conectada

Importante

Antes de realizar este paso, asegúrese de que la partición de disco en la que descarga las imágenes tenga 45 GB de espacio disponible.

Descargue el paquete de imágenes en la máquina de arranque Linux conectada a Internet:

tanzu isolated-cluster download-bundle --source-repo <SOURCE-REGISTRY> --tkg-version <TKG-VERSION> --ca-certificate <SECURITY-CERTIFICATE>

Donde:

• SOURCE-REGISTRY es la dirección IP o el nombre de host del registro donde se almacenan las imágenes.
• TKG-VERSION es la versión de Tanzu Kubernetes Grid que desea implementar en el entorno con proxy o aislado.

• SECURITY-CERTIFICATE es el certificado de seguridad del registro en el que se almacenan las imágenes. Para omitir la validación del certificado de seguridad, utilice --insecure, en lugar de --ca-certificate. Ambas cadenas son opcionales. Si no especifica ningún valor, el sistema valida el certificado de seguridad predeterminado del servidor.

  A continuación se muestra un ejemplo:

  tanzu isolated-cluster download-bundle --source-repo projects.registry.vmware.com/tkg --tkg-version v2.3.1
  
  

El paquete de imágenes en forma de archivos TAR, junto con el archivo publish-images-fromtar.yaml, se descarga en la máquina conectada. El archivo YAML define la asignación entre las imágenes y los archivos TAR.

Paso 3: Descargue la imagen binaria de la CLI de Tanzu para Linux en la máquina conectada

Descargue la imagen de la CLI de Tanzu para Linux (archivo ZIP) en la máquina conectada:

1. Vaya a la página la CLI de VMware Tanzu en VMware Customer Connect.
2. En Descargas de productos (Product Downloads), busque CLI de VMware Tanzu para Linux (VMware Tanzu CLI for Linux) y haga clic en Descargar ahora (Download Now). El archivo ZIP tanzu-cli-linux-amd64.tar.gz se descarga en la máquina local.

Paso 4: Descargar el paquete de complementos de CLI en la máquina conectada

Descargue el paquete de complementos de CLI en la máquina en línea:

En la CLI de Tanzu, ejecute el siguiente comando para descargar el paquete de complementos de la CLI:

tanzu plugin download-bundle --group vmware-tkg/default --to-tar /tmp/plugin-bundle.tar.gz

Paso 5: Copie los archivos a la máquina sin conexión

Copie los siguientes archivos en la máquina sin conexión, que es la máquina de arranque en el entorno con proxy o aislado, a través de una unidad USB u otro medio de almacenamiento:

• Archivos TAR de imagen
• Archivos YAML
• El archivo ZIP tanzu-cli-bundle-linux-amd64.tar.gz
• Paquete de complementos de CLI

Paso 6: Descomprima los archivos en la máquina sin conexión

En la máquina de arranque sin conexión, descomprima el archivo ZIP de la imagen CLI de Tanzu en el directorio tanzu:

tar -xvf tanzu-cli-bundle-linux-amd64.tar.gz -C $HOME/tanzu

Paso 7: Inicie sesión en el registro privado en la máquina sin conexión

Inicie sesión en el registro privado de la máquina sin conexión a través de Docker:

docker login <URL>

Donde URL es la dirección URL del repositorio privado en el que se almacenarán las imágenes en el entorno con proxy o aislado.

Paso 8: Instale la CLI de Tanzu en la máquina sin conexión

Instale la CLI de Tanzu en la máquina sin conexión:

sudo install tanzu-cli-linux_amd64 /usr/local/bin/tanzu

Paso 9: Instale el paquete de complementos de CLI en la máquina sin conexión

Instale el paquete de complementos de CLI en la máquina sin conexión.

1. Si el registro privado en el entorno aislado está configurado con un certificado de CA autofirmado, agregue sus preferencias de verificación de certificado siguiendo las instrucciones de Añadir configuración de certificado para el registro personalizado.

2. Cargue el paquete de complementos de CLI en el repositorio privado en el entorno aislado:

   tanzu plugin upload-bundle --tar /tmp/plugin-bundle.tar.gz --to-repo PRIVATE-REPO/tanzu_cli/plugins
   

   Donde PRIVATE-REPO es el repositorio privado en el que se almacenarán las imágenes en el entorno con proxy o aislado. Por ejemplo, registry.example.com.

3. Actualice la CLI de Tanzu para que apunte al nuevo origen del complemento:

   tanzu plugin source update default --url PRIVATE-REPO/tanzu_cli/plugins/plugin-inventory:latest
   

4. Compruebe que se pueden detectar los complementos:

   tanzu plugin search
   

   tanzu plugin group search 
   

5. Instale los complementos de la CLI:

   tanzu plugin install 
   

Paso 10: Cargue las imágenes de TKG en el registro privado

Cargue el paquete de imágenes de TKG en el registro privado:

tanzu isolated-cluster upload-bundle --source-directory <SOURCE-DIRECTORY> --destination-repo <DESTINATION-REGISTRY> --ca-certificate <SECURITY-CERTIFICATE>

Donde:

• SOURCE-DIRECTORY es la ruta de acceso a la ubicación en la que se almacenan los archivos TAR de imagen.
• DESTINATION-REGISTRY es la ruta de acceso al registro privado en el que las imágenes se alojarán en el entorno aislado.
• SECURITY-CERTIFICATE es el certificado de seguridad del registro privado en el que las imágenes se alojarán en el entorno con proxy o aislado. Para omitir la validación del certificado de seguridad, utilice --insecure, en lugar de --ca-certificate. Ambas cadenas son opcionales. Si no especifica ningún valor, el sistema valida el certificado de seguridad predeterminado del servidor.

A continuación se muestra un ejemplo:

tanzu isolated-cluster upload-bundle --source-directory ./ --destination-repo hostname1 --ca-certificate /tmp/registryca.crt

Qué hacer a continuación

Configure el registro al que movió las imágenes mediante las siguientes variables de referencia del archivo de configuración:

• TKG_CUSTOM_IMAGE_REPOSITORY
• TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE o TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY.

Para obtener más información sobre estas variables de configuración, consulte Configuración del registro de imágenes privado.

Nota

También puede utilizar el comando tanzu config set env.CONFIG-VARIABLE para configurar el registro y conservar las variables de entorno cuando utilice la CLI de Tanzu en el futuro. Para obtener más información, consulte Conjunto de configuración de Tanzu en la comando referencia de VMware CLI de Tanzu.

El entorno con acceso a Internet restringido ya está listo para implementar o actualizar los clústeres de administración de Tanzu Kubernetes Grid y empezar a implementar clústeres de carga de trabajo en vSphere o AWS.

Para implementar los clústeres de administración y carga de trabajo en una configuración específica y validada en entornos con espacio de aire, consulte VMware Tanzu Kubernetes Grid 2.3 Air-Gapped Reference Design and Deployment. El diseño de referencia de TKG v2.3 se aplica a TKG v2.3 y v2.4.

Para implementar los clústeres de administración mediante un archivo de configuración, consulte Implementar clústeres de administración desde un archivo de configuración.

Si siguió este procedimiento como parte de una actualización, consulte Actualizar Tanzu Kubernetes Grid.