RSS
 

Préparer un environnement à accès restreint à Internet

Vous pouvez déployer des clusters de gestion Tanzu Kubernetes Grid et des clusters de charge de travail dans des environnements qui ne sont pas connectés à Internet, tels que :

  • Environnements en proxy
  • Environnements isolés, sans connexion physique à Internet

Cette rubrique explique comment déployer des clusters de gestion dans des environnements à accès restreint à Internet sur vSphere ou AWS.

Vous n'avez pas besoin d'effectuer ces procédures si vous utilisez Tanzu Kubernetes Grid dans un environnement connecté qui peut extraire des images via une connexion Internet externe.

Conditions préalables générales

Avant de pouvoir déployer des clusters de gestion et des clusters de charge de travail dans un environnement à accès restreint à Internet, vous devez disposer des éléments suivants :

  • Une machine de démarrage Linux connectée à Internet qui :
    • N'est pas dans l'environnement à accès restreint à Internet ou peut accéder aux domaines répertoriés dans la section Liste autorisée du serveur proxy.
    • Dispose d'au moins 2 Go de RAM, 2 vCPU et 45 Go d'espace disque dur.
    • Dispose de la CLI Tanzu installée. Reportez-vous à la section Installer la CLI Tanzu et d'autres outils pour télécharger, décompresser et installer le fichier binaire de la CLI Tanzu sur votre système connecté à Internet.
  • Moyen pour les machines virtuelles de cluster d'accéder aux images dans le registre privé :
    • Environnements en proxy : serveur proxy de sortie qui permet aux machines virtuelles du cluster d'accéder au registre.
      • Lorsque vous déployez un cluster de gestion dans cet environnement en proxy, définissez les variables TKG_*_PROXY dans le fichier de configuration du cluster sur l'adresse du serveur proxy et définissez TKG_PROXY_CA_CERT sur l'autorité de certification du serveur proxy si son certificat est auto-signé. Reportez-vous à la section Configurer des proxys.
    • Environnements isolés : clé USB ou autre support permettant d'amener le registre privé derrière un élément isolé, une fois que le registre est rempli avec des images.
  • Une clé USB ou un autre périphérique de stockage hors ligne portable.

Conditions préalables et architecture de vSphere

Architecture de vSphere

Une installation Tanzu Kubernetes Grid avec accès restreint à Internet sur vSphere dispose de pare-feu et d'une communication entre les principaux composants, comme indiqué ici.

Diagramme : TKG isolé sur vSphere

Sur vSphere, outre les conditions préalables générales ci-dessus, vous devez :

  • Télécharger vers vSphere les fichiers OVA à partir desquels les machines virtuelles de nœud sont créées. Reportez-vous à la section Importer le modèle d'image de base dans vSphere dans Déployer des clusters de gestion pour vSphere.

    Une fois la machine virtuelle créée, si vous ne pouvez pas vous connecter avec le nom d'utilisateur/mot de passe par défaut, réinitialisez le mot de passe à l'aide de Gnu GRUB, comme décrit dans la section Réinitialisation d'un mot de passe racine perdu s'il s'agit de Photon OS.

  • Connectez-vous à la jumpbox en tant qu'utilisateur racine et activez le protocole SSH distant comme suit :

    1. Ouvrez le fichier /etc/ssh/sshd_config dans un éditeur : nano /etc/ssh/sshd_config
    2. Ajoutez une ligne dans la section Authentification du fichier qui indique PermitRootLogin yes. Si la ligne existe, supprimez le « # ».
    3. Enregistrez le fichier /etc/ssh/sshd_config mis à jour.
    4. Redémarrez le serveur SSH en utilisant service sshd restart.

  • Installez et configurez un registre de conteneur privé compatible Docker, tel que Harbor, Docker ou Artifactory comme suit. Ce registre s’exécute en dehors de Tanzu Kubernetes Grid et est distinct de tout registre déployé en tant que service partagé pour les clusters :

    • Installez le registre dans votre pare-feu.
    • Vous pouvez configurer le registre de conteneur avec des certificats SSL signés par une autorité de certification de confiance ou avec des certificats auto-signés.
    • Le registre ne doit pas implémenter l’authentification utilisateur. Par exemple, si vous utilisez un registre Harbor, le projet doit être public et non privé.
    • Pour installer Harbor :
      1. Téléchargez les fichiers binaires de la dernière version de Harbor.
      2. Suivez les instructions de la section Installation et configuration de Harbor dans la documentation de Harbor.

  • Configurez un sous-réseau hors ligne à utiliser comme environnement à accès restreint à Internet et associez-le à la jumpbox.

  • Configurez le serveur DHCP pour allouer des adresses IP privées à la nouvelle instance.

  • Créez un vSphere Distributed Switch sur un centre de données pour gérer la configuration de la mise en réseau de plusieurs hôtes à la fois à partir d'un emplacement centralisé.

Conditions préalables et architecture d'AWS

Architecture d'AWS

Une installation Tanzu Kubernetes Grid en proxy sur Amazon Web Services (AWS) dispose de pare-feu et d'une communication entre les principaux composants, comme indiqué ici. Les groupes de sécurité (SG) sont créés automatiquement entre le plan de contrôle et les domaines de charge de travail, et entre les composants de charge de travail et les composants du plan de contrôle.

Diagramme : TKG isolé sur AWS

Pour une installation en proxy sur AWS, outre les conditions préalables générales ci-dessus, vous avez également besoin des éléments suivants :

  • Un VPC AWS sans passerelle Internet (« VPC hors ligne ») configuré comme décrit ci-dessous.
    • Votre machine de démarrage connectée à Internet doit pouvoir accéder aux adresses IP dans ce VPC hors ligne. Pour plus d'informations, reportez-vous à la section Appairage VPC.
  • Un registre de conteneur privé compatible Docker, tel que Harbor, Docker ou Artifactory installé et configuré comme suit. Ce registre s’exécute en dehors de Tanzu Kubernetes Grid et est distinct de tout registre déployé en tant que service partagé pour les clusters :
    • Installez le registre dans votre pare-feu.
    • Vous pouvez configurer le registre de conteneur avec des certificats SSL signés par une autorité de certification de confiance ou avec des certificats auto-signés.
    • Le registre ne doit pas implémenter l’authentification utilisateur. Par exemple, si vous utilisez un registre Harbor, le projet doit être public et non privé.
    • Pour installer Harbor :
      1. Téléchargez les fichiers binaires de la dernière version de Harbor.
      2. Suivez les instructions de la section Installation et configuration de Harbor dans la documentation de Harbor.
  • Une machine virtuelle de démarrage Linux s'exécutant dans votre VPC hors ligne, provisionnée de la même manière que la machine connectée à Internet ci-dessus.
    • La machine virtuelle de démarrage hors ligne doit pouvoir accéder directement aux machines virtuelles de cluster créées par Tanzu Kubernetes Grid, sans proxy.

Après avoir créé le VPC hors ligne, vous devez y ajouter les points de terminaison suivants (le point de terminaison VPC active les connexions privées entre votre VPC et les services AWS pris en charge) :

  • Points de terminaison de service :
    • sts
    • ssm
    • ec2
    • ec2messages
    • elasticloadbalancing
    • secretsmanager
    • ssmmessages

Pour ajouter les points de terminaison de service à votre VPC :

  1. Dans la console AWS, accédez à Tableau de bord VPC (VPC Dashboard) > Points de terminaison (Endpoints).
  2. Pour chacun des services ci-dessus
    1. Cliquez sur Créer un point de terminaison (Create Endpoint).
    2. Recherchez le service et sélectionnez-le sous Nom de service (Service Name).
    3. Sélectionnez votre VPC et ses Sous-réseaux (Subnets).
    4. Activer le nom DNS (Enable DNS Name) pour le point de terminaison.
    5. Sélectionnez un Groupe de sécurité (Security group) qui permet aux machines virtuelles du VPC d'accéder au point de terminaison.
    6. Sélectionnez Stratégie (Policy) > Accès complet (Full Access).
    7. Cliquez sur Créer un point de terminaison (Create Endpoint).

Étape 1 : Installer le plug-in de cluster isolé sur la machine en ligne

Suivez cette étape uniquement si vous n'avez pas installé le plug-in isolated-cluster en exécutant la commande tanzu plugin sync sur la machine en ligne.

  1. Connectez-vous à la machine de démarrage Linux connectée à Internet.

  2. Installez le plug-in isolated-cluster :

    tanzu plugin sync

Étape 2 : Télécharger les images sur la machine en ligne

Important : avant d'effectuer cette étape, assurez-vous que la partition de disque sur laquelle vous téléchargez les images dispose de 45 Go d'espace disponible.

Téléchargez le bundle d’images sur votre machine de démarrage Linux connectée à Internet :

tanzu isolated-cluster download-bundle --source-repo <SOURCE-REGISTRY> --tkg-version <TKG-VERSION> --ca-certificate <SECURITY-CERTIFICATE>

Où :

  • SOURCE-REGISTRY est l'adresse IP ou le nom d'hôte du registre dans lequel sont stockées les images.
  • TKG-VERSION est la version de Tanzu Kubernetes Grid que vous souhaitez déployer dans l'environnement en proxy ou isolé.

  • SECURITY-CERTIFICATE est le certificat de sécurité du registre dans lequel sont stockées les images. Pour contourner la validation du certificat de sécurité, utilisez --insecure plutôt que --ca-certificate. Les deux chaînes sont facultatives. Si vous ne spécifiez aucune valeur, le système valide le certificat de sécurité du serveur par défaut.

    Vous en trouverez un exemple ci-dessous :

    tanzu isolated-cluster download-bundle --source-repo projects.registry.vmware.com/tkg --tkg-version v2.1.0

Le bundle d'images sous forme de fichiers TAR, ainsi que le fichier publish-images-fromtar.yaml, sont téléchargés sur la machine en ligne. Le fichier YAML définit le mappage entre les images et les fichiers TAR.

Étape 3 : Télécharger l'image de la CLI Tanzu pour Linux sur la machine en ligne

  1. Sur la machine en ligne, accédez à https://customerconnect.vmware.com et connectez-vous avec vos informations d'identification de VMware Customer Connect.

  2. Visitez la page de téléchargements de Tanzu Kubernetes Grid

  3. Dans la ligne VMware Tanzu Kubernetes Grid, cliquez sur Accéder aux téléchargements (Go to Downloads).

  4. Dans le menu déroulant Sélectionner la version (Select Version), sélectionnez 2.1.

  5. Sous Téléchargements de produits (Product Downloads), faites défiler la liste jusqu'à la section intitulée CLI VMware Tanzu 2.1 (VMware Tanzu CLI 2.1 CLI) et recherchez CLI VMware Tanzu pour Linux (VMware Tanzu CLI for Linux).

  6. Cliquez sur Télécharger maintenant. Le fichier ZIP tanzu-cli-bundle-linux-amd64.tar.gz est téléchargé sur la machine locale.
  7. (Facultatif) Vérifiez que vos fichiers téléchargés ne sont pas modifiés par rapport à l'original. VMware fournit une somme de contrôle SHA-1, SHA-256 et MD5 pour chaque téléchargement. Pour obtenir ces sommes de contrôle, cliquez sur En savoir plus (Read More) sous l'entrée que vous souhaitez télécharger. Pour plus d'informations, reportez-vous à la page Utilisation des algorithmes de hachage cryptographiques.

Étape 4 : Copier les fichiers sur la machine hors ligne

Copiez les fichiers suivants sur la machine hors ligne, qui est la machine de démarrage dans l'environnement en proxy ou isolé, via une clé USB ou un autre support de stockage :

  • Fichiers TAR d'image
  • Fichiers YAML
  • Fichier ZIP tanzu-cli-bundle-linux-amd64.tar.gz

Étape 5 : Installer la CLI Tanzu sur la machine hors ligne

Installez la CLI Tanzu sur la machine de démarrage hors ligne dans l'environnement en proxy ou isolé, en utilisant le fichier de bundle de la CLI Tanzu. Pour plus d'informations, reportez-vous à la section Installer la CLI Tanzu et d'autres outils.

Étape 6 : Décompresser les fichiers sur la machine hors ligne

Sur la machine de démarrage hors ligne, exécutez les commandes suivantes pour décompresser le fichier TAR dans le répertoire tanzu :

tar -xvf tanzu-cli-bundle-linux-amd64.tar.gz -C $HOME/tanzu
cd $HOME/tanzu/cli
tar -xvf tanzu-framework-plugins-standalone-linux-amd64.tar.gz

Étape 7 : Installer le plug-in de cluster isolé sur la machine hors ligne

Installez le plug-in isolated-cluster sur la machine de démarrage hors ligne :

tanzu plugin install isolated-cluster --local standalone-plugins/

Étape 8 : Se connecter au registre privé sur la machine hors ligne

Connectez-vous au registre privé sur la machine hors ligne via Docker :

docker login <URL>

URL correspond à l'URL du référentiel privé de stockage des images dans l'environnement en proxy ou isolé.

Étape 9 : Télécharger les images sur la machine hors ligne

Téléchargez le bundle d'images sur la machine hors ligne :

tanzu isolated-cluster upload-bundle --source-directory <SOURCE-DIRECTORY> --destination-repo <DESTINATION-REGISTRY> --ca-certificate <SECURITY-CERTIFICATE>

Où :

  • SOURCE-DIRECTORY est le chemin d'accès à l'emplacement de stockage des fichiers TAR d'image.
  • DESTINATION-REGISTRY est le chemin d'accès au registre privé d'hébergement des images dans l'environnement isolé.
  • SECURITY-CERTIFICATE est le certificat de sécurité du registre privé d'hébergement des images dans l'environnement en proxy ou isolé. Pour contourner la validation du certificat de sécurité, utilisez --insecure plutôt que --ca-certificate. Les deux chaînes sont facultatives. Si vous ne spécifiez aucune valeur, le système valide le certificat de sécurité du serveur par défaut.

Vous en trouverez un exemple ci-dessous :

tanzu isolated-cluster upload-bundle --source-directory ./ --destination-repo hostname1 --ca-certificate /tmp/registryca.crt

Tâches suivantes

Configurez le registre, vers l'emplacement où vous avez déplacé les images, à l'aide des variables de référence du fichier de configuration suivantes :

  • TKG_CUSTOM_IMAGE_REPOSITORY
  • TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE ou TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY.

Pour plus d'informations, reportez-vous à la section Configuration du référentiel d'images privé.

Votre environnement restreint à Internet est maintenant prêt pour vous permettre de déployer ou de mettre à niveau les clusters de gestion Tanzu Kubernetes Grid et de commencer à déployer des clusters de charge de travail sur vSphere ou AWS.

check-circle-line exclamation-circle-line close-line
Scroll to top icon