Conditions préalables à l'enregistrement d'un cluster de conteneurs Antrea dans NSX

Déployer des clusters de conteneurs Antrea

Persona : administrateur de plate-forme Kubernetes

Un cluster Kubernetes avec plug-in réseau Antrea doit être actif et prêt.

Par exemple, pour intégrer des clusters dans une instance de Tanzu Kubernetes Grid à NSX, assurez-vous que les tâches suivantes sont terminées :

Les clusters de gestion Tanzu sont déployés et les clusters sont en cours d'exécution.
Les clusters Kubernetes Tanzu sont déployés et les clusters sont en état d'exécution.
L'interface de ligne de commande (CLI) Tanzu est installée.

Pour obtenir des informations détaillées sur ces tâches, reportez-vous à la documentation Tanzu Kubernetes Grid sur https://docs.vmware.com/fr/VMware-Tanzu-Kubernetes-Grid/index.html.

Lorsque vous déployez un cluster de gestion, la mise en réseau avec Antrea est automatiquement activée dans le cluster de gestion.

Note : L'interface CNI Antrea en mode networkPolicyOnly est également prise en charge. Pour en savoir plus, reportez-vous à la documentation Installation de VMware Container Networking avec Antrea en mode networkPolicyOnly du Guide d'installation de VMware Container Networking avec Antrea.

Ajouter une licence appropriée dans NSX

Persona : administrateur NSX

Assurez-vous que votre environnement NSX dispose de l'une des licences suivantes :

NSX Data Center Avancé
NSX Data Center Enterprise Plus
Antrea Enterprise Standalone

Pour ajouter une licence :

Dans NSX Manager, accédez à Système > Licences > Ajouter des licences.
Entrez une clé de licence.

Créer un certificat de sécurité auto-signé

Persona : administrateur NSX

Un certificat de sécurité auto-signé est requis pour créer un compte d'utilisateur d'identité de principal dans NSX, comme expliqué plus loin dans cette rubrique.

À l'aide des commandes OpenSSL, créez un certificat de sécurité auto-signé pour chaque cluster de conteneurs Antrea que vous souhaitez enregistrer dans NSX.

Par exemple, supposons que vous souhaitez créer un certificat OpenSSL auto-signé d'une longueur de 2 048 bits pour un cluster de conteneurs Antrea appelé cluster-ventes. Les commandes OpenSSL suivantes génèrent un fichier de clé privée, un fichier de demande de signature de certificat et un fichier de certificat auto-signé pour ce cluster.

openssl genrsa -out cluster-sales-private.key 2048
openssl req -new -key cluster-sales-private.key -out cluster-sales.csr -subj "/C=US/ST=CA/L=Palo Alto/O=VMware/OU=Antrea Cluster/CN=cluster-sales"
openssl x509 -req -days 3650 -sha256 -in cluster-sales.csr -signkey cluster-sales-private.key -out cluster-sales.crt

Note : Dans la commande openssl req que vous utilisez pour créer le fichier .csr, assurez-vous que le nom commun (CN) est différent pour chaque cluster de conteneurs Antrea.

Créer un utilisateur d'identité de principal

Persona : administrateur NSX

L'Adaptateur de plan de gestion et l'Adaptateur de plan de contrôle central utilisent le compte d'utilisateur d'identité de principal (PI) pour s'authentifier auprès d'un NSX Manager et s'identifier comme identité de principal. L'utilisateur d'identité de principal possède les ressources d'inventaire signalées par les adaptateurs. NSX empêche les autres utilisateurs de remplacer accidentellement les ressources d'inventaire.

Chaque cluster de conteneurs Antrea nécessite un utilisateur PI différent. Le nom du cluster Kubernetes doit être unique dans NSX. Le nom commun du certificat et le nom d'utilisateur PI doivent être identiques au nom du cluster. NSX ne prend pas en charge le partage de certificat et l'utilisateur PI entre les clusters.

Créez un utilisateur d'identité de principal dans NSX avec le certificat auto-signé que vous avez créé à l'étape précédente. Attribuez à cet utilisateur d'identité de principal un rôle Administrateur d'entreprise. L'utilisateur d'identité de principal est unique à un cluster de conteneurs Antrea.

Pour créer un utilisateur d'identité de principal :

Dans l'interface utilisateur de NSX Manager, cliquez sur l'onglet Système.
Sous Paramètres, accédez à Gestion des utilisateurs > Attribution de rôle utilisateur.
Cliquez sur Ajouter > Identité de principal disposant d'un rôle.
Entrez un nom pour l'utilisateur d'identité de principal. Par exemple, entrez cluster-sales.
Important : Assurez-vous de spécifier le même nom pour l'utilisateur d'identité de principal NSX, le certificat CN et l'argument clusterName dans le fichier bootstrap-config.yaml.
Pour plus d'informations sur le fichier de configuration de démarrage, reportez-vous au Modifier le fichier de configuration de démarrage.
Sélectionnez le rôle Administrateur d'entreprise.
Dans le champ ID de nœud, entrez un nom pour le cluster de conteneurs Antrea. Ce nom doit être unique dans tous les clusters de conteneurs que vous enregistrez dans NSX. Par exemple, entrez cluster-sales.
Dans la zone de texte Fichier PEM de certificat, collez le certificat auto-signé complet que vous avez créé précédemment. Assurez-vous que les lignes -----BEGIN CERTIFICATE---- et ------END CERTIFICATE----- sont également collées dans cette zone de texte.
Cliquez sur Enregistrer.
Dans le volet de navigation de gauche, sous Paramètres, cliquez sur Certificats. Vérifiez que le certificat auto-signé du cluster de conteneurs Antrea s'affiche.

Déterminer la version Antrea à partir du cluster Kubernetes

Persona : administrateur de plate-forme Kubernetes

Avant de télécharger le fichier d'interfonctionnement Antrea-NSX (antrea-interworking-version.zip), qui est la condition préalable suivante de cette rubrique, vous devez déterminer la version open source Antrea de votre cluster Kubernetes.

Important : Chaque version VMware Container Networking™ with Antrea™ est basée sur une version Antrea open source. La version d'interfonctionnement Antrea- NSX est compatible avec la version du logiciel open source Antrea de la même version VMware Container Networking.

Pour voir un exemple, reportez-vous au tableau suivant.

Version de VMware Container Networking	Basé sur la version OSS d'Antrea	Compatible avec la version d'interfonctionnement Antrea-NSX
v1.5.0 Reportez-vous aux Notes de mise à jour v1.5.0	v1.7.1	v0.7.*
v1.4.0 Reportez-vous aux Notes de mise à jour v1.4.0	v1.5.2	v0.5.*
v1.3.1 Reportez-vous aux Notes de mise à jour v1.3.1-1.2.3	v1.2.3	v0.2.*

Version de VMware Container Networking

Basé sur la version OSS d'Antrea

Compatible avec la version d'interfonctionnement Antrea-NSX

v1.5.0

Reportez-vous aux Notes de mise à jour v1.5.0

v1.7.1

v0.7.*

v1.4.0

Reportez-vous aux Notes de mise à jour v1.4.0

v1.5.2

v0.5.*

v1.3.1

Reportez-vous aux Notes de mise à jour v1.3.1-1.2.3

v1.2.3

v0.2.*

Pour déterminer la version open source Antrea de votre cluster Kubernetes, procédez comme suit :

Recherchez le nom de l'espace Contrôleur Antrea. Kubernetes génère ce nom avec une chaîne aléatoire, vous pouvez donc obtenir le nom du cluster K8s.
Par exemple :
```
$ kubectl get pod -n kube-system -l component=antrea-controller
NAME                                 READY   STATUS    RESTARTS   AGE
antrea-controller-6b8cb7cd59-wcjvd   1/1     Running   0          13d
```
Dans cette sortie de commande, le nom de l'espace Contrôleur Antrea est antrea-controller-6b8cb7cd59-wcjvd.
Récupérez la version open source de Antrea en exécutant la commande suivante :
```
$ kubectl exec -it antrea-controller-6b8cb7cd59-wcjvd -n kube-system -- antctl version
antctlVersion: v1.7.1-cacafc0
controllerVersion: v1.7.1-cacafc0
```
Dans cette sortie de commande, v1.7.1 est la version open source d'Antrea que vous souhaitez déterminer.

Téléchargez le fichier zip d'interfonctionnement Antrea-NSX

Persona : administrateur de plate-forme Kubernetes

Effectuez les étapes suivantes pour télécharger le fichier antrea-interworking-version.zip :

Dans un navigateur Web, ouvrez la page Tous les téléchargements sur le portail VMware Customer Connect et connectez-vous avec votre ID VMware.
Dans le menu déroulant Tous les produits, sélectionnez Mise en réseau et sécurité.
En regard de VMware Antrea, cliquez sur Télécharger le produit. La page Télécharger VMware Antrea s'ouvre.
En regard de la version VMware Container Networking avec Antrea qui vous correspond, cliquez sur Accéder à Téléchargements.
Recherchez Image d'adaptateur d'interfonctionnement NSX et bundle de manifeste sur la page. Cliquez sur En savoir plus et vérifiez que la version mentionnée dans le fichier antrea-interworking-version.zip est compatible avec la version du logiciel open source Antrea que vous avez déterminée précédemment.
Cliquez sur Télécharger maintenant.

Extrayez le fichier ZIP. Il contient les fichiers suivants.

Nom du fichier	Description
interworking.yaml	Fichier manifeste de déploiement YAML pour enregistrer un cluster de conteneurs Antrea sur NSX.
bootstrap-config.yaml	Fichier YAML dans lequel vous pouvez spécifier les détails suivants pour l'enregistrement : nom du cluster de conteneurs Antrea, adresses IP NSX Manager, certificat TLS du cluster de conteneurs et clé privée du cluster de conteneurs.
deregisterjob.yaml	Fichier manifeste YAML pour enregistrer un cluster de conteneurs Antrea sur NSX.
ns-label-webhook.yaml	Définitions de Webhook pour l'ajout automatique d'étiquettes aux espaces de noms Kubernetes récemment créés. Ce fichier YAML est utilisé uniquement lorsque la version de Kubernetes est ≤ 1.20.
interworking-`version`.tar	Fichier d'archive pour les images de conteneur de Adaptateur de plan de gestion et Adaptateur de plan de contrôle central.

Importer les images de conteneur dans le registre de conteneur

Persona : administrateur de plate-forme Kubernetes

Il existe deux approches pour effectuer cette tâche préalable.

Approche 1 (recommandé) : extraire des images de VMware Harbor Registry

VMware a hébergé les images de conteneur sur VMware Harbor Registry.

Les emplacements d'image sont les suivants :

projects.registry.vmware.com/antreainterworking/interworking-debian:version
projects.registry.vmware.com/antreainterworking/interworking-ubuntu:version
projects.registry.vmware.com/antreainterworking/interworking-photon:version

Pour plus d'informations sur la version, consultez les notes de mise à jour de VMware Container Networking with Antrea à l'adresse https://docs.vmware.com/fr/VMware-Container-Networking-with-Antrea/index.html.

Ouvrez les fichiers interworking.yaml et deregisterjob.yaml dans n'importe quel éditeur de texte de votre choix, puis remplacez toutes les URL d'image par l'un de ces emplacements d'image.

L'avantage de cette approche est que lorsque vous envoyez les fichiers .yaml au serveur d'API Kubernetes pour enregistrer le cluster de conteneurs, Kubernetes peut extraire automatiquement les images de conteneur de VMware Harbor Registry.

Approche 2 : copier manuellement des images sur des nœuds worker Kubernetes et des nœuds de plan de contrôle

Si votre infrastructure Kubernetes n'a pas de connectivité Internet ou si la connectivité est trop lente, utilisez cette approche manuelle.

Extrayez les images de conteneur du fichier interworking-version.tar et copiez-les sur les nœuds worker Kubernetes et le nœud de plan de contrôle de chaque cluster de conteneurs Antrea que vous souhaitez enregistrer dans NSX.

Par exemple, dans la CLI Tanzu, exécutez la commande suivante pour chaque adresse IP du nœud worker Kubernetes et l'adresse IP du nœud de plan de contrôle pour copier les fichiers .tar et .yaml :

scp -o StrictHostKeyChecking=no interworking* capv@{node-ip}:/home/capv

Importez les images vers le registre local, qui est géré par le moteur d'exécution du conteneur. Si votre organisation dispose d'un registre de conteneur privé, vous pouvez également importer les images de conteneur vers le registre de conteneur privé.

Par exemple, sur la CLI Tanzu, exécutez la commande suivante pour chaque adresse IP du nœud worker Kubernetes et l'adresse IP du nœud de plan de contrôle pour importer les images de conteneur dans le registre Kubernetes local :

ssh capv@{node-ip} sudo ctr -n=k8s.io i import interworking-{version-id}.tar