Préparer le déploiement de clusters de gestion sur AWS

Cette rubrique explique comment préparer Amazon Web Services (AWS) pour l'exécution de Tanzu Kubernetes Grid.

Avant de pouvoir utiliser la CLI Tanzu ou l'interface du programme d'installation pour déployer un cluster de gestion, vous devez préparer la machine de démarrage sur laquelle vous exécutez la CLI Tanzu et configurer votre compte AWS (Amazon Web Services).

Si vous installez Tanzu Kubernetes Grid sur VMware Cloud on AWS, vous le faites sur un environnement vSphere. Reportez-vous aux sections Préparation de VMware Cloud on AWS dans Préparer le déploiement de clusters de gestion pour un environnement VMware Cloud pour préparer votre environnement et Préparer le déploiement de clusters de gestion pour vSphere pour déployer des clusters de gestion.

Important

Tanzu Kubernetes Grid v2.4.x est la dernière version de TKG qui prend en charge la création de clusters de gestion TKG autonomes sur AWS. La possibilité de créer des clusters de gestion TKG autonomes sur AWS sera supprimée dans Tanzu Kubernetes Grid version v2.5.

À partir de maintenant, VMware vous recommande d'utiliser Tanzu Mission Control pour créer des clusters AWS EKS natifs au lieu de créer des clusters de gestion TKG sur AWS. Pour plus d'informations sur la création de clusters AWS EKS natifs avec Tanzu Mission Control, reportez-vous à la section Gestion du cycle de vie des clusters AWS EKS de la documentation de Tanzu Mission Control.

Pour plus d'informations, reportez-vous à la section Obsolescence des clusters de gestion et de charge de travail TKG sur AWS et Azure des Notes de mise à jour de VMware Tanzu Kubernetes Grid v2.4.

Conditions générales

• La CLI Tanzu installée localement. Reportez-vous à la section Installer la CLI Tanzu et la CLI Kubernetes à utiliser avec des clusters de gestion autonomes.
• Vous disposez d'un compte AWS actif avec :
  • Clé d'accès et clé secrète d'accès. Pour plus d'informations sur les clés d'accès, reportez-vous à la section clés d'accès et de compte AWS dans la documentation d'AWS.
  • Autorisations décrites dans Autorisations AWS requises. Ces autorisations permettent à Tanzu Kubernetes Grid de créer et de gérer des clusters sur AWS.
• Un VPC dans la ou les zones de disponibilité dans lesquelles vous déployez un cluster de gestion. Par exemple, un VPC que vous avez créé manuellement ou à l'aide d'outils tels que AWS CloudFormation ou Terraform. Le VPC doit être configuré avec :
  • Deux sous-réseaux pour les clusters de développement ou six sous-réseaux pour les clusters de production.
  • Des passerelles NAT comme suit, sinon reportez-vous à la section VPC Amazon sans passerelles NAT :
    • Une passerelle NAT pour les clusters de développement ou trois passerelles NAT pour les clusters de production.
      • Le quota de passerelle NAT par défaut sur AWS est de 5 instances par zone de disponibilité et par compte. Lorsque vous déployez un cluster de gestion, tous les clusters de charge de travail partagent le VPC du cluster de gestion et sa ou ses passerelles NAT.
      • Reportez-vous aux sections Utilisation des ressources dans votre compte Amazon Web Services et Quotas Amazon VPC dans la documentation d'AWS.
    • Une passerelle Internet et les tables de routage correspondantes.
    • (Facultatif) Groupes de sécurité configurés avec des règles appropriées.
• Votre compte AWS dispose de quotas de ressources suffisants pour les adresses IP élastiques (EIP). Le quota EIP par défaut est de 5 adresses EIP par région et par compte.
• Le trafic est autorisé entre votre machine de démarrage locale et le port 6443 de toutes les machines virtuelles dans les clusters que vous créez. Le port 6443 est l'endroit où l'API Kubernetes est exposée par défaut. Pour modifier ce port pour un cluster de gestion ou de charge de travail, définissez la variable CLUSTER_API_SERVER_PORT lors du déploiement du cluster.

• Le trafic est autorisé entre votre machine de démarrage locale et les référentiels d'images répertoriés dans le fichier de nomenclature (BOM) du cluster de gestion, sur le port 443, pour TCP.*

  • Le fichier de nomenclature se trouve sous ~/.config/tanzu/tkg/bom/ et son nom inclut la version de Tanzu Kubernetes Grid, par exemple tkg-bom-v2.4.0+vmware.1.yaml pour la version v2.4.0.
  • Exécutez une recherche DNS sur toutes les valeurs imageRepository, par exemple projects.registry.vmware.com/tkg, pour rechercher les CNAME auxquels autoriser l'accès.

• La CLI AWS installée localement.

• jq installé localement.

  Le guide de la CLI AWS utilise jq pour traiter JSON lors de la création de paires de clés SSH. Il est également utilisé pour préparer l'environnement ou les variables de configuration lorsque vous déployez Tanzu Kubernetes Grid à l'aide de la CLI.

• Pour résoudre un problème connu avec CAPA, définissez EXP_EXTERNAL_RESOURCE_GC=false dans votre environnement local ou dans le fichier de configuration de cluster de gestion.

*Ou reportez-vous à la section Préparer un environnement à accès restreint à Internet pour installer sans accès réseau externe.

Utilisation des ressources dans votre compte AWS

Pour chaque cluster que vous créez, Tanzu Kubernetes Grid utilise un ensemble de ressources dans votre compte AWS.

Ressource	Tanzu Kubernetes Grid utilise
VPC	1
Adresses IP élastiques	1 par zone de disponibilité* (AZ)
Sous-réseaux	2 par zone AZ pour les déploiements sur Internet, 1 par zone AZ pour les déploiements internes*
Groupes de sécurité EC2 (VPC)	4
Passerelles Internet	1
Passerelle NAT	1 par zone de disponibilité pour les déploiements par défaut*
Instances EC2 du plan de contrôle	1 par AZ*

*Les clusters de développement utilisent une zone de disponibilité et les clusters de production en utilisent 3.

AWS met en œuvre des limites ou des quotas par défaut sur ces ressources et vous permet de modifier les limites. Les limites par défaut sont généralement suffisantes pour vous permettre de commencer à créer et à utiliser des clusters, mais à mesure que vous augmentez le nombre de clusters ou de charges de travail, vous pouvez dépasser ces limites AWS, ce qui empêche Tanzu Kubernetes Grid de créer des clusters ou de déployer de nouvelles charges de travail.

VMware vous recommande d'évaluer régulièrement les limites que vous avez spécifiées dans votre compte AWS et de demander une augmentation du quota de services si nécessaire pour répondre aux besoins de votre entreprise.

Les quotas de service les plus pertinents sont les suivants :

Code de service	Nom du quota	Code du quota
vpc	Passerelles Internet par région	L-A4707A72
vpc	Passerelles NAT par zone de disponibilité	L-FE5A380F
vpc	VPC par région	L-F678F1CE
ec2	Exécution d'instances standard à la demande (A, C, D, H, I, M, R, T, Z)	L-1216C47A
ec2	Adresses IP élastiques EC2-VPC	L-0263D0A3
elasticloadbalancement	Équilibrages de charge classiques par région	L-E9E9831D

Vous pouvez partager des VPC plutôt que d'en créer, par exemple un cluster de charge de travail partageant un VPC avec son cluster de gestion.

Pour plus d'informations sur les tailles des instances de nœud de cluster, reportez-vous à la section Types d'instances Amazon EC2 dans la documentation d'AWS.

VPC Amazon sans passerelles NAT

Tanzu Kubernetes Grid peut être déployé sur des VPC sans passerelles NAT attachées si l'une des conditions suivantes est remplie :

• les sous-réseaux dans lesquels les clusters de charge de travail sont déployés disposent de tables de routage avec des routes 0.0.0.0/0 vers Internet, ou
• votre environnement de déploiement est restreint à Internet, comme décrit dans la section Préparer un environnement à accès restreint à Internet.

Tanzu Kubernetes Grid ne vérifie pas l'existence de routes spécifiques dans les tables de routage. Par conséquent, la connectivité Internet via des passerelles NAT VPC, des instances de EC2 ou des dispositifs, des passerelles Internet, des passerelles de transit ou DirectConnect est prise en charge.

Exemples de dimensionnement de cluster de gestion

Le tableau ci-dessous décrit des exemples de dimensionnement pour les clusters de gestion sur AWS. Utilisez ces données comme guide pour vous assurer que votre cluster de gestion est dimensionné afin de gérer le nombre de clusters de charge de travail que vous prévoyez de déployer. La colonne Taille de machine virtuelle du cluster de charge de travail répertorie les tailles de machines virtuelles utilisées pour les exemples dans la colonne Peut gérer….

Plan de cluster de gestion	Taille de la VM du cluster de gestion	Peut gérer…	Taille de la VM du cluster de charge de travail
3 nœuds de plan de contrôle et 3 nœuds worker	Nœuds de plan de contrôle : m4.large (CPU : 2 ; mémoire : 8 Go) Nœuds Worker m4.large (CPU : 2 ; mémoire : 8 Go)	Exemples : 5 clusters de charge de travail, chacun déployé avec 3 plans de contrôle et 200 nœuds worker ; ou 10 clusters de charge de travail, chacun déployé avec 3 plans de contrôle et 50 nœuds worker	Nœuds de plan de contrôle : c4.large (CPU : 2 ; mémoire : 3,75 Go) Nœuds Worker c4.large (CPU : 2 ; mémoire : 3,75 Go)
3 nœuds de plan de contrôle et 3 nœuds worker	Nœuds de plan de contrôle : m4.large (CPU : 2 ; mémoire : 8 Go) Nœuds Worker m4.large (CPU : 2 ; mémoire : 8 Go)	Exemple : Un cluster de charge de travail, déployé avec 3 plans de contrôle et 500 nœuds worker	Nœuds de plan de contrôle : c5.4xlarge (CPU : 16 ; mémoire : 32 Go) Nœuds Worker c5.xlarge (CPU : 4 ; mémoire : 8 Go)
3 nœuds de plan de contrôle et 3 nœuds worker	Nœuds de plan de contrôle : m4.xlarge (CPU : 4 ; mémoire : 16 Go) Nœuds Worker m4.xlarge (CPU : 4 ; mémoire : 16 Go)	Exemple : 200 clusters de charge de travail, chacun déployé avec 3 plans de contrôle et 5 nœuds worker	Nœuds de plan de contrôle : c4.large (CPU : 2 ; mémoire : 3,75 Go) Nœuds Worker c4.large (CPU : 2 ; mémoire : 3,75 Go)

Autorisations AWS requises

Les sections suivantes répertorient les autorisations dont Tanzu Kubernetes Grid a besoin pour déployer et gérer des clusters sur AWS :

• Autorisations définies par Tanzu Kubernetes Grid : Tanzu Kubernetes Grid définit automatiquement ces autorisations lorsque vous exécutez la commande tanzu mc permissions aws set ou cochez la case Automatiser la création de la pile AWS CloudFormation (Automate creation of AWS CloudFormation Stack) dans l'interface du programme d'installation.
  • L'alias de la CLI Tanzu mc est court pour management-cluster.
• Autorisations que vous avez définies : Vous ajoutez ces autorisations manuellement.

Autorisations définies par Tanzu Kubernetes Grid

Pour permettre à Tanzu Kubernetes Grid de déployer des clusters sur AWS, vous devez créer une pile CloudFormation, tkg-cloud-vmware-com, dans votre compte AWS. Cette pile CloudFormation définit les ressources et les autorisations de gestion des identités et des accès (IAM) dont Tanzu Kubernetes Grid a besoin pour déployer et gérer des clusters sur AWS.

Pour créer la pile, après avoir terminé les étapes de cette rubrique, exécutez la commande tanzu mc permissions aws set avant de déployer le cluster ou cochez la case Création automatique de la pile AWS CloudFormation (Automate creation of AWS CloudFormation Stack) dans l'interface du programme d'installation, comme décrit dans la section Créer des ressources IAM de Déployer des clusters de gestion à partir d'un fichier de configuration ou Déployer des clusters de gestion avec l'interface du programme d'installation. Vous ne devez effectuer cette opération qu'une seule fois par compte AWS, que vous prévoyiez ou non d'utiliser une ou plusieurs régions AWS pour votre environnement Tanzu Kubernetes Grid.

L'exécution de tanzu mc permissions aws set ou la sélection de Création automatique de la pile AWS CloudFormation (Automate creation of AWS CloudFormation Stack) crée les profils, rôles et stratégies IAM suivants. L'utilisateur dont vous fournissez les informations d'identification à Tanzu Kubernetes Grid lors de la création de la pile doit disposer d'autorisations d'administrateur pour créer ces ressources IAM dans votre compte AWS.

• Profiles (Profils) / AWS::IAM::InstanceProfile :

  • Plan de contrôle (Control Plane) – control-plane.tkg.cloud.vmware.com : utilisé par les instances EC2 exécutant des composants du plan de contrôle Kubernetes.
  • Nœuds (Nodes) – nodes.tkg.cloud.vmware.com : utilisé par toutes les instances EC2 de plan de contrôle dans les clusters Tanzu Kubernetes Grid.
  • Contrôleurs (Controllers) – controllers.tkg.cloud.vmware.com : peuvent être utilisés pour le démarrage de Tanzu Kubernetes Grid à partir d'une machine virtuelle jumpbox dans EC2 avec le profil d'instance attaché.

• Rôles (Roles) / AWS::IAM::Role : ils mappent 1:1 aux profils d'instance AWS IAM ci-dessus :

  • Plan de contrôle – control-plane.tkg.cloud.vmware.com
  • Nœuds (Nodes) : nodes.tkg.cloud.vmware.com
  • Contrôleurs (Controllers) : controllers.tkg.cloud.vmware.com

• Stratégies (Policies) / AWS::IAM::ManagedPolicy :

  • arn:aws:iam::YOUR-ACCOUNT-ID:policy/control-plane.tkg.cloud.vmware.com : attaché au rôle IAM Plan de contrôle (Control Plane) ci-dessus.
  • arn:aws:iam::YOUR-ACCOUNT-ID:policy/nodes.tkg.cloud.vmware.com : attaché aux rôles Plan de contrôle (Control Plane) et Nœuds (Nodes) ci-dessus.
  • arn:aws:iam::YOUR-ACCOUNT-ID:policy/controllers.tkg.cloud.vmware.com : attaché aux rôles Plan de contrôle (Control Plane) et Contrôleurs (Controllers) IAM ci-dessus.

Une fois que Tanzu Kubernetes Grid a créé la pile CloudFormation dans votre compte AWS, vous pouvez récupérer son modèle en accédant à CloudFormation > Piles (Stacks) dans la console AWS. Pour plus d'informations sur les piles CloudFormation, reportez-vous à la section Utilisation des piles dans la documentation d'AWS.

Plutôt que d'exécuter tanzu mc permissions aws set ou de sélectionner Création automatique de pile AWS CloudFormation (Automate creation of AWS CloudFormation Stack), vous pouvez récupérer le modèle que Tanzu Kubernetes Grid utilise pour créer les ressources IAM ci-dessus et créer la pile tkg-cloud-vmware-com directement dans le compte AWS. Pour récupérer le modèle, exécutez tanzu mc permissions aws generate-cloudformation-template.

Autorisations requises par Tanzu Mission Control

Les autorisations IAM ci-dessous sont requises uniquement si vous prévoyez d’enregistrer votre cluster de gestion dans Tanzu Mission Control. Ces autorisations sont ajoutées automatiquement au rôle IAM nodes.tkg.cloud.vmware.com lorsque vous exécutez la commande tanzu mc permissions aws set.

{
  "Action": [
    "servicequotas:ListServiceQuotas",
    "ec2:DescribeKeyPairs",
    "ec2:DescribeInstanceTypeOfferings",
    "ec2:DescribeInstanceTypes",
    "ec2:DescribeAvailabiilityZones",
    "ec2:DescribeRegions",
    "ec2:DescribeSubnets",
    "ec2:DescribeRouteTables",
    "ec2:DescribeVpcs",
    "ec2:DescribeNatGateways",
    "ec2:DescribeAddresses",
    "elasticloadbalancing:DescribeLoadBalancers"
  ],
  "Resource": [
    "*"
  ],
  "Effect": "Allow"
}

Vous pouvez désactiver ces autorisations en définissant DISABLE_TMC_CLOUD_PERMISSIONS sur true avant d'exécuter tanzu mc permissions aws set. Pour plus d'informations, reportez-vous à la section Enregistrer votre cluster de gestion dans Tanzu Mission Control.

Autorisations que vous avez définies

Vous devez définir manuellement les autorisations suivantes, une fois par compte AWS.

Interface du programme d'installation

Si vous prévoyez de déployer le cluster de gestion à partir de l'interface du programme d'installation, l'utilisateur dont vous fournissez les informations d'identification à Tanzu Kubernetes Grid lors du déploiement du cluster doit disposer des autorisations "ec2:DescribeInstanceTypeOfferings" et "ec2:DescribeInstanceTypes". Si votre utilisateur ne dispose pas actuellement de ces autorisations, vous pouvez créer une stratégie personnalisée qui inclut les autorisations et l'attacher à votre utilisateur.

Configurer les informations d’identification du compte AWS

Pour permettre à Tanzu Kubernetes Grid de créer et de gérer des machines virtuelles sur Amazon EC2, celui-ci doit disposer d'un compte AWS avec les éléments suivants :

• Informations d’identification pour le compte AWS
• Une paire de clés SSH enregistrée avec le compte pour chaque région AWS dans laquelle vous prévoyez de déployer des clusters de gestion

Vous devez définir les informations d'identification de votre compte pour créer une paire de clés SSH pour la région dans laquelle vous prévoyez de déployer des clusters Tanzu Kubernetes Grid.

Vous disposez de plusieurs options pour configurer les informations d’identification du compte AWS utilisées pour accéder à EC2. Les sous-sections ci-dessous expliquent les différentes options.

VMware recommande l'option Profils d'informations d'identification, gérée à l'aide de la commande aws configure. Ces profils sont enregistrés dans un fichier de configuration partagé local, généralement dans ~/.aws/config.

Dans l'ordre de priorité décroissant, les options de configuration des informations d'identification possibles (lorsque plusieurs sont utilisées) sont les suivantes :

1. Variables de fichier de configuration du cluster de charge de travail (uniquement pour la création de clusters de charge de travail). Reportez-vous à la section Fichier de configuration du cluster ci-dessous.

2. Variables d’environnement local statique. Reportez-vous à la section Variables d'environnement local, ci-dessous.

3. (Recommandé) Profils d'informations d'identification, qui sont mis à jour lorsque vous exécutez aws configure. Ces fichiers sont enregistrés dans un fichier situé dans ~/.aws/config sous Linux ou macOS ou dans C:\Users\USERNAME\.aws\config sous Windows, ou il peut être nommé credentials. Reportez-vous à la section Profils d'informations d'identification, ci-dessous.

4. Informations d’identification du profil d’instance. Vous pouvez associer un rôle IAM à chacune de vos instances de Amazon Elastic Compute Cloud (Amazon EC2). Les informations d'identification temporaires de ce rôle sont ensuite disponibles pour le code s'exécutant dans l'instance. Les informations d’identification sont fournies via le service de métadonnées Amazon EC2. Pour plus d'informations, reportez-vous aux sections Rôles IAM pour AWS du Guide de l'utilisateur Amazon EC2 pour les instances Linux et Utilisation des profils d'instance dans le Guide de l'utilisateur IAM.

Variables d’environnement local

L’une des options de configuration des informations d’identification AWS consiste à définir des variables d’environnement local sur votre machine de démarrage. Pour utiliser des variables d’environnement local, définissez les variables d’environnement suivantes pour votre compte AWS :

• export AWS_ACCESS_KEY_ID=aws_access_key, où aws_access_key est votre clé d'accès AWS.

• export AWS_SECRET_ACCESS_KEY=aws_access_key_secret, où aws_access_key_secret est votre secret de clé d'accès AWS.

• export AWS_SESSION_TOKEN=aws_session_token, où aws_session_token correspond au jeton de session AWS accordé à votre compte. Vous devez uniquement spécifier cette variable si vous devez utiliser une clé d'accès temporaire. Pour plus d'informations sur l'utilisation des clés d'accès temporaires, reportez-vous à la section Compréhension et obtention de vos informations d'identification AWS.

• export AWS_REGION=aws_region, où aws_region correspond à la région AWS dans laquelle vous prévoyez de déployer le cluster. Par exemple, us-west-2.

  Pour obtenir la liste complète des régions AWS, reportez-vous à la section Points de terminaison de service AWS. Outre les régions AWS standard, vous pouvez également spécifier les régions us-gov-east et us-gov-west dans AWS GovCloud.

Tanzu Kubernetes Grid prend en charge les variables d'environnement de la CLI AWS suivantes :

• AWS_ACCESS_KEY_ID
• AWS_SECRET_ACCESS_KEY
• AWS_SESSION_TOKEN
• AWS_SHARED_CREDENTIALS_FILE
• AWS_CONFIG_FILE
• AWS_REGION
• AWS_PROFILE

Vous trouverez plus d'informations à ce sujet dans le Guide de l'utilisateur de la CLI AWS.

Profils d'informations d'identification

La méthode recommandée pour utiliser Tanzu Kubernetes Grid consiste à utiliser la commande aws configure pour stocker les informations d'identification AWS dans un fichier local d'informations d'identification ou de configuration. Un fichier de configuration AWS peut prendre en charge divers mécanismes d'authentification, allant des informations d'identification statiques à l'authentification unique (SSO) via des aides externes aux informations d'identification.

Un fichier d'informations d'identification AWS peut servir plusieurs comptes, y compris un profil par défaut et des profils nommés supplémentaires. Les fichiers et les profils d'informations d'identification sont appliqués après les variables d'environnement local, selon la priorité des informations d'identification fournie ci-dessus.

Pour configurer les fichiers d'informations d'identification et les profils de votre compte AWS sur la machine de démarrage, vous pouvez utiliser la commande de CLI aws configure.

Pour personnaliser les fichiers d'informations d'identification AWS et les profils à utiliser, vous pouvez définir les variables d'environnement suivantes :

• export AWS_PROFILE=profile_name où profile_name est le nom du profil qui contient la clé d'accès AWS que vous souhaitez utiliser. Si vous ne spécifiez pas de valeur pour cette variable, le nom du profil default est utilisé. Pour plus d'informations sur l'utilisation de profils nommés, reportez-vous à la section Profils nommés dans la documentation d'AWS.

• export AWS_SHARED_CREDENTIAL_FILE=path_to_credentials_file où path_to_credentials_file correspond à l'emplacement et au nom du fichier d'informations d'identification qui contient vos informations de clé d'accès AWS. Si vous ne définissez pas cette variable d'environnement, l'emplacement et le nom de fichier par défaut sont $HOME/.aws/credentials.

• export AWS_CONFIG=path_to_config_file où path_to_config_file correspond à l'emplacement et au nom du fichier de configuration qui contient la configuration du profil. Si vous ne définissez pas cette variable d'environnement, l'emplacement et le nom de fichier par défaut sont $HOME/.aws/config. L'utilisation de ce fichier vous intéressera si vous spécifiez des sources d'informations d'identification explicites ou si vous utilisez des processus d'informations d'identification externes.

Remarque

Tous les profils nommés que vous créez dans vos informations d'identification AWS ou vos fichiers de configuration s'affichent en tant qu'options sélectionnables dans le menu déroulant Profil d'informations d'identification AWS dans l'interface utilisateur du programme d'installation de Tanzu Kubernetes Grid pour AWS.

Pour plus d'informations sur l'utilisation des informations d'identification AWS et la chaîne de fournisseurs d'informations d'identification AWS par défaut, reportez-vous à la section Pratiques de gestion des clés d'accès AWS de la documentation d'AWS.

Fichier de configuration de cluster

Vous pouvez spécifier des informations d’identification AWS dans le fichier de configuration utilisé pour créer un cluster, en définissant les variables suivantes :

• AWS_ACCESS_KEY_ID (codé en base 64)
• AWS_SECRET_ACCESS_KEY (codé en base 64)
• AWS_SESSION_TOKEN (facultatif)

AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY doivent être transmis au format <encoded:(base64 encoded value)>. Par exemple, si votre ID de clé d'accès AWS est AKIAIOSFODNN7EXAMPLE, que la clé d'accès secrète est wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY et que le jeton de session est AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OP, cela doit être défini dans le fichier de configuration comme suit :

AWS_ACCESS_KEY_ID: <encoded:QUtJQUlPU0ZPRE5ON0VYQU1QTEU=>
AWS_SECRET_ACCESS_KEY: <encoded:d0phbHJYVXRuRkVNSS9LN01ERU5HL2JQeFJmaUNZRVhBTVBMRUtFWQ==>
AWS_SESSION_TOKEN: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

Les versions antérieures de Tanzu Kubernetes Grid enregistrent les informations d'identification dans un fichier de configuration de cluster. Tanzu Kubernetes Grid versions 1.4 et ultérieures n'enregistrent pas les informations d'identification pour AWS dans les fichiers de configuration par défaut.

Enregistrer une paire de clés EC2

Après avoir défini vos informations d'identification de compte AWS à l'aide de variables d'environnement local ou dans un fichier et un profil d'informations d'identification, vous devez générer une paire de clés EC2 pour votre compte AWS. Tanzu Kubernetes Grid transmet la partie clé publique de cette paire de clés à AWS afin de s’authentifier dans chaque région.

Remarque

AWS prend uniquement en charge les clés RSA. Le format des clés requises par AWS est différent de celui requis par vSphere. Vous ne pouvez pas utiliser la même paire de clés pour les déploiements vSphere et AWS.

Si vous ne disposez pas déjà d'une paire de clés EC2 pour le compte et la région que vous utilisez pour déployer le cluster de gestion, créez-en une en procédant comme suit :

1. Pour chaque région que vous prévoyez d'utiliser avec Tanzu Kubernetes Grid, créez une paire de clés nommée et extrayez un fichier .pem qui inclut le nom. Par exemple, la commande suivante utilise default et enregistre le fichier sous la forme default.pem.

   aws ec2 create-key-pair --key-name default --output json | jq .KeyMaterial -r > default.pem
   

   Pour créer une paire de clés pour une région qui n'est pas la valeur par défaut dans votre profil ou la définir localement comme AWS_DEFAULT_REGION, incluez l'option --region.

2. Connectez-vous à votre tableau de bord Amazon EC2 et accédez à Réseau (Network) > Paires de clés (Key Pairs) pour vérifier que la paire de clés créée est enregistrée dans votre compte.

Tâches suivantes

Pour les déploiements de production, il est vivement recommandé d'activer la gestion des identités pour vos clusters :

• Pour plus d'informations sur les étapes préparatoires à effectuer avant de déployer un cluster de gestion, reportez-vous à la section Obtenir les détails de votre fournisseur d'identité dans Configurer la gestion des identités.
• Pour obtenir des informations conceptuelles sur la gestion des identités et le contrôle d'accès dans Tanzu Kubernetes Grid, reportez-vous à la section À propos de la gestion des identités et des accès.

Si vous utilisez Tanzu Kubernetes Grid dans un environnement avec une connexion Internet externe, une fois que vous avez configuré la gestion des identités, vous êtes prêt à déployer des clusters de gestion sur AWS.

• Déployer des clusters de gestion à l'aide de l'interface du programme d'installation. Il s'agit de l'option préférée pour les premiers déploiements.
• Déployer des clusters de gestion à partir d'un fichier de configuration. Il s'agit de la méthode la plus compliquée qui permet une plus grande flexibilité de la configuration.
• Si vous souhaitez déployer des clusters sur vSphere et Azure, ainsi que sur AWS, reportez-vous aux sections Préparer le déploiement des clusters de gestion sur vSphere et Préparer le déploiement des clusters de gestion sur Microsoft Azure pour obtenir la configuration requise pour ces plate-formes.