Vous pouvez déployer des clusters de gestion Tanzu Kubernetes Grid et des clusters de charge de travail dans des environnements qui ne sont pas connectés à Internet, tels que :
Cette rubrique explique comment déployer des clusters de gestion dans des environnements à accès restreint à Internet sur vSphere ou AWS. Vous n'avez pas besoin de suivre ces procédures si vous utilisez Tanzu Kubernetes Grid dans un environnement connecté qui peut extraire des images via une connexion Internet externe.
RemarqueCe document fournit des étapes génériques pour déployer les clusters de gestion et de charge de travail Tanzu Kubernetes Grid dans des environnements isolés. Pour déployer les clusters de gestion et de charge de travail dans une configuration spécifique et validée dans des environnements isolés, reportez-vous à la documentation de l'architecture de référence de VMware Tanzu.
Pour suivre cette procédure, vous pouvez utiliser une seule machine ou des machines différentes comme machines de démarrage dans les environnements en ligne et hors ligne.
Si vous souhaitez installer le registre Harbor, téléchargez le fichier OVA Harbor :
Avant de pouvoir déployer des clusters de gestion et des clusters de charge de travail dans un environnement à accès restreint à Internet, vous devez disposer des éléments suivants :
TKG_*_PROXY
dans le fichier de configuration du cluster sur l'adresse du serveur proxy et définissez TKG_PROXY_CA_CERT
sur l'autorité de certification du serveur proxy si son certificat est auto-signé. Reportez-vous à la section Configurer des proxys.Ce document fournit des étapes génériques pour déployer les clusters de gestion et de charge de travail Tanzu Kubernetes Grid sur la mise en réseau vSphere dans un environnement isolé. Pour déployer les clusters dans une configuration spécifique et validée sur la mise en réseau vSphere dans un environnement isolé, reportez-vous aux sections Conception de référence d'un environnement isolé de VMware Tanzu Kubernetes Grid sur la mise en réseau vSphere et Déployer Tanzu Kubernetes Grid sur la mise en réseau vSphere dans un environnement isolé du document Conception et déploiement de référence d'un environnement isolé VMware Tanzu Kubernetes Grid 2.1.
Une installation Tanzu Kubernetes Grid avec accès restreint à Internet sur vSphere dispose de pare-feu et d'une communication entre les principaux composants, comme indiqué ici.
RemarqueLe diagramme suivant décrit le scénario dans lequel différentes machines de démarrage sont utilisées dans les environnements en ligne et hors ligne.
Sur vSphere, outre les conditions préalables générales ci-dessus, vous devez :
Télécharger vers vSphere les fichiers OVA à partir desquels les machines virtuelles de nœud sont créées. Reportez-vous à la section Importer le modèle d'image de base dans vSphere dans Déployer des clusters de gestion pour vSphere.
Une fois la machine virtuelle créée, si vous ne pouvez pas vous connecter avec le nom d'utilisateur/mot de passe par défaut, réinitialisez le mot de passe à l'aide de Gnu GRUB, comme décrit dans la section Réinitialisation d'un mot de passe racine perdu s'il s'agit de Photon OS.
Connectez-vous à la jumpbox en tant qu'utilisateur racine et activez le protocole SSH distant comme suit :
PermitRootLogin yes
. Si la ligne existe, supprimez le « # ».service sshd restart
.Installez et configurez un registre de conteneur privé compatible Docker, tel que Harbor, Docker ou Artifactory comme suit. Ce registre s’exécute en dehors de Tanzu Kubernetes Grid et est distinct de tout registre déployé en tant que service partagé pour les clusters :
Configurez un sous-réseau hors ligne à utiliser comme environnement à accès restreint à Internet et associez-le à la jumpbox.
Configurez le serveur DHCP pour allouer des adresses IP privées à la nouvelle instance.
Créez un vSphere Distributed Switch sur un centre de données pour gérer la configuration de la mise en réseau de plusieurs hôtes à la fois à partir d'un emplacement centralisé.
Ce document fournit des étapes génériques pour déployer les clusters de gestion et de charge de travail Tanzu Kubernetes Grid sur AWS dans un environnement isolé. Pour déployer les clusters dans une configuration spécifique et validée sur AWS dans un environnement isolé, reportez-vous aux sections Conception de référence d'un environnement isolé de VMware Tanzu Kubernetes Grid sur AWS et Déployer Tanzu Kubernetes Grid sur AWS dans un environnement isolé du document Conception et déploiement de référence d'un environnement isolé VMware Tanzu Kubernetes Grid 2.1.
Une installation Tanzu Kubernetes Grid en proxy sur Amazon Web Services (AWS) dispose de pare-feu et d'une communication entre les principaux composants, comme indiqué ici. Les groupes de sécurité (SG) sont créés automatiquement entre le plan de contrôle et les domaines de charge de travail, et entre les composants de charge de travail et les composants du plan de contrôle.
Pour une installation en proxy sur AWS, outre les conditions préalables générales ci-dessus, vous avez également besoin des éléments suivants :
Après avoir créé le VPC hors ligne, vous devez y ajouter les points de terminaison suivants (le point de terminaison VPC active les connexions privées entre votre VPC et les services AWS pris en charge) :
sts
ssm
ec2
ec2messages
elasticloadbalancing
secretsmanager
ssmmessages
Pour ajouter les points de terminaison de service à votre VPC :
Pour préparer un environnement à accès restreint à Internet pour le déploiement de Tanzu Kubernetes Grid, vous pouvez choisir l'une des options suivantes :
Une machine de démarrage unique pour les environnements en ligne et hors ligne.
Différentes machines de démarrage pour les environnements en ligne et hors ligne.
En fonction de l'option que vous sélectionnez, suivez les étapes décrites dans le tableau suivant :
Machine de démarrage unique | Différentes machines de démarrage | |
---|---|---|
Étape 1 : Installer le plug-in de cluster isolé sur la machine en ligne | Oui |
Oui |
Étape 2 : Télécharger les images sur la machine en ligne | Oui |
Oui |
Étape 3 : Télécharger l'image de la CLI Tanzu pour Linux sur la machine en ligne | Non |
Oui |
Étape 4 : Copier les fichiers sur la machine hors ligne | Non |
Oui |
Étape 5 : Décompresser les fichiers sur la machine hors ligne | Non |
Oui |
Étape 6 : Installer le plug-in de cluster isolé sur la machine hors ligne | Non |
Oui |
Étape 7 : Se connecter au registre privé sur la machine hors ligne | Oui |
Oui |
Étape 8 : Télécharger les images dans le registre privé | Oui |
Oui |
Suivez cette étape uniquement si vous n'avez pas installé le plug-in isolated-cluster
en exécutant la commande tanzu plugin sync
sur la machine en ligne.
Installez le plug-in isolated-cluster
:
tanzu plugin sync
Importantavant d'effectuer cette étape, assurez-vous que la partition de disque sur laquelle vous téléchargez les images dispose de 45 Go d'espace disponible.
Téléchargez le bundle d’images sur votre machine de démarrage Linux connectée à Internet :
tanzu isolated-cluster download-bundle --source-repo <SOURCE-REGISTRY> --tkg-version <TKG-VERSION> --ca-certificate <SECURITY-CERTIFICATE>
Où :
SOURCE-REGISTRY
est l'adresse IP ou le nom d'hôte du registre dans lequel sont stockées les images.TKG-VERSION
est la version de Tanzu Kubernetes Grid que vous souhaitez déployer dans l'environnement en proxy ou isolé.SECURITY-CERTIFICATE
est le certificat de sécurité du registre dans lequel sont stockées les images. Pour contourner la validation du certificat de sécurité, utilisez --insecure
plutôt que --ca-certificate
. Les deux chaînes sont facultatives. Si vous ne spécifiez aucune valeur, le système valide le certificat de sécurité du serveur par défaut.
Vous en trouverez un exemple ci-dessous :
tanzu isolated-cluster download-bundle --source-repo projects.registry.vmware.com/tkg --tkg-version v2.1.1
Le bundle d'images sous forme de fichiers TAR, ainsi que le fichier publish-images-fromtar.yaml
, sont téléchargés sur la machine en ligne. Le fichier YAML définit le mappage entre les images et les fichiers TAR.
Téléchargez l'image de la CLI Tanzu pour Linux (fichier ZIP) sur la machine en ligne :
Sous Téléchargements de produits (Product Downloads), faites défiler la liste jusqu'à la section intitulée CLI VMware Tanzu 2.1 (VMware Tanzu CLI 2.1 CLI) et recherchez CLI VMware Tanzu pour Linux (VMware Tanzu CLI for Linux).
Cliquez sur Télécharger maintenant. Le fichier ZIP tanzu-cli-bundle-linux-amd64.tar.gz
est téléchargé sur la machine locale.
(Facultatif) Vérifiez que vos fichiers téléchargés ne sont pas modifiés par rapport à l'original. VMware fournit une somme de contrôle SHA-1, SHA-256 et MD5 pour chaque téléchargement. Pour obtenir ces sommes de contrôle, cliquez sur En savoir plus (Read More) sous l'entrée que vous souhaitez télécharger. Pour plus d'informations, reportez-vous à la page Utilisation des algorithmes de hachage cryptographiques.
Copiez les fichiers suivants sur la machine hors ligne, qui est la machine de démarrage dans l'environnement en proxy ou isolé, via une clé USB ou un autre support de stockage :
tanzu-cli-bundle-linux-amd64.tar.gz
Sur la machine de démarrage hors ligne, décompressez les fichiers TAR dans le répertoire tanzu
:
tar -xvf tanzu-cli-bundle-linux-amd64.tar.gz -C $HOME/tanzu
cd $HOME/tanzu/cli
sudo install core/v0.28.1/tanzu-core-linux_amd64 /usr/local/bin/tanzu
tar -xvf tanzu-framework-plugins-standalone-linux-amd64.tar.gz
Installez le plug-in isolated-cluster
sur la machine de démarrage hors ligne :
tanzu plugin install isolated-cluster --local standalone-plugins/
Connectez-vous au registre privé sur la machine hors ligne via Docker :
docker login <URL>
Où URL
correspond à l'URL du référentiel privé de stockage des images dans l'environnement en proxy ou isolé.
Téléchargez le bundle d'images sur la machine hors ligne :
tanzu isolated-cluster upload-bundle --source-directory <SOURCE-DIRECTORY> --destination-repo <DESTINATION-REGISTRY> --ca-certificate <SECURITY-CERTIFICATE>
Où :
SOURCE-DIRECTORY
est le chemin d'accès à l'emplacement de stockage des fichiers TAR d'image.DESTINATION-REGISTRY
est le chemin d'accès au registre privé d'hébergement des images dans l'environnement isolé.SECURITY-CERTIFICATE
est le certificat de sécurité du registre privé d'hébergement des images dans l'environnement en proxy ou isolé. Pour contourner la validation du certificat de sécurité, utilisez --insecure
plutôt que --ca-certificate
. Les deux chaînes sont facultatives. Si vous ne spécifiez aucune valeur, le système valide le certificat de sécurité du serveur par défaut.Vous en trouverez un exemple ci-dessous :
tanzu isolated-cluster upload-bundle --source-directory ./ --destination-repo hostname1 --ca-certificate /tmp/registryca.crt
Configurez le registre, vers l'emplacement où vous avez déplacé les images, à l'aide des variables de référence du fichier de configuration suivantes :
TKG_CUSTOM_IMAGE_REPOSITORY
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE
ou TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY
.Pour plus d'informations sur ces variables de configuration, reportez-vous à la section Configuration du registre d'images privé.
Remarque : Vous pouvez également utiliser la commande tanzu config set env.CONFIG-VARIABLE
pour configurer le registre et conserver les variables d'environnement lorsque vous utiliserez la CLI Tanzu. Pour plus d'informations, reportez-vous à la section tanzu config set dans Référence de la CLI VMware Tanzu.
Votre environnement restreint à Internet est maintenant prêt pour vous permettre de déployer ou de mettre à niveau les clusters de gestion Tanzu Kubernetes Grid et de commencer à déployer des clusters de charge de travail sur vSphere ou AWS.
Pour déployer les clusters de gestion et de charge de travail dans une configuration spécifique et validée dans des environnements isolés, reportez-vous à la documentation de l'architecture de référence de VMware Tanzu.
Pour déployer les clusters de gestion à l'aide d'un fichier de configuration, reportez-vous à la section Déployer des clusters de gestion à partir d'un fichier de configuration.
Si vous avez suivi cette procédure dans le cadre d'une mise à niveau, reportez-vous à la section Mise à niveau de Tanzu Kubernetes Grid.
Si vous devez déployer les versions compatibles FIPS de Tanzu Kubernetes Grid dans des environnements à accès restreint à Internet, suivez la procédure décrite dans la section Versions compatibles FIPS.