Nouvelles fonctionnalités

Versions de Kubernetes prises en charge pour les clusters superviseurs

Nouvelles fonctionnalités :

Versions de Kubernetes prises en charge pour les clusters superviseurs

Problèmes résolus

Nouvelles fonctionnalités :

Nouvelles fonctionnalités :

Nouvelles fonctionnalités

Problèmes résolus :

Nouvelles fonctionnalités

Nouvelles fonctionnalités

Considérations sur la mise à niveau

Nouvelles fonctionnalités

Problèmes résolus

Nouvelles fonctionnalités

Nouvelles fonctionnalités

Nouvelles fonctionnalités

Nouvelles fonctionnalités

Nouvelles fonctionnalités

Considérations sur la mise à jour des clusters Tanzu Kubernetes

Problèmes résolus

Nouvelles fonctionnalités

Problèmes résolus

Nouvelles fonctionnalités

Problèmes résolus

Nouvelles fonctionnalités

Problèmes résolus

Nouvelles fonctionnalités

Problèmes résolus

Nouveautés du 30 juillet 2020

Nouveautés du 23 juin 2020

Nouveautés du 19 mai 2020

Informations de build pour la version initiale de vSphere with Kubernetes

Cluster superviseur

• <span style="color:#FF0000">NEW:</span> Lors de la suppression de plusieurs FCD et volumes de banques de données partagées comme vSAN, vous pouvez constater des modifications de performances

  Les modifications des performances peuvent être dues à un problème résolu. Tant qu'il n'était pas corrigé, le problème entraînait le maintien des FCD et des volumes périmés dans la banque de données après l'échec d'une opération de suppression de FCD.

  Solution : aucune. L'opération de suppression fonctionne comme d'habitude malgré la modification des performances.

• Lorsque vous déplacez un nœud ESXi déconnecté d'un cluster, mais qu'il reste sous le même centre de données, les espaces et les PVC exécutés sur le nœud restent à l'état Arrêt en cours

  Si un hôte ESXi est dans l'état Pas de réponse en raison d'un PSOD et que vous le sortez du cluster et le placez sous le même centre de données, les espaces et les PVC exécutés sur l'hôte sont bloqués à l'état Arrêt en cours. Le problème se produit même lorsqu'un nœud de secours est disponible dans le cluster.

  Il se produit généralement dans la situation suivante :

  1. Vous activez le service de partenaires sur le cluster superviseur et créez des instances du service.

  2. Un nœud ESXi sur lequel les instances de service s'exécutent subit un PSOD.

  3. Vous déconnectez l'hôte qui ne répond pas et le sortez du cluster sous le même centre de données.

     Lorsque l'hôte est placé en dehors du cluster, vous pouvez constater que les espaces et les PVC présents sur le nœud restent dans l'état Arrêt en cours.

  Solution : supprimez l'hôte de l'inventaire au lieu de le déplacer hors du cluster sous le même centre de données.

• La création d'un espace échoue parfois sur un cluster superviseur lorsque DRS est défini en mode manuel.

  Les fonctionnalités HA et DRS automatisé doivent être activées sur les clusters sur lesquels vous activez la gestion de la charge de travail. L'activation de la gestion de la charge de travail sur les clusters sur lesquels HA et DRS ne sont pas activés ou sur lequel DRS s'exécute en mode manuel peut entraîner un comportement incohérent et des échecs de création d'espaces.

  Solution : activez DRS sur le cluster et définissez-le sur Entièrement automatisé ou Partiellement automatisé. Assurez-vous également que HA est activé sur le cluster.

• La classe de stockage s'affiche lorsque vous exécutez kubectl get sc même après la suppression de la stratégie de stockage correspondante.

  Si vous exécutez kubectl get sc après la création d'une stratégie de stockage, ajoutez la stratégie à un espace de noms, puis supprimez la stratégie, la réponse de la commande répertorie toujours la classe de stockage correspondante.

  Solution : exécutez kubectl describe namespace pour voir les classes de stockage réellement associées à l'espace de noms.

• Toutes les classes de stockage sont retournées lorsque vous exécutez kubectl describe storage-class ou kubectl get storage-class sur un cluster superviseur au lieu de retourner uniquement celles de l'espace de noms de superviseur.

  Lorsque vous exécutez la commande kubectl describe storage-class ou kubectl get storage-class sur un cluster superviseur, la commande renvoie toutes les classes de stockage au lieu de retourner uniquement celles de l'espace de noms de superviseur.

  Solution : déduisez les noms de classe de stockage associés à l'espace de noms à partir du nom détaillé du quota.

• Le bouton de point de terminaison de partage de l'API Kubernetes ignore le nom de domaine complet, même s'il est configuré

  Même si le nom de domaine complet est configuré pour l'adresse IP du plan de contrôle Kubernetes pour l'espace de noms du cluster superviseur, le bouton Partager l'espace de noms fournit l'adresse IP au lieu du nom de domaine complet.

  Solution : partagez manuellement l'espace de noms du cluster superviseur avec le nom de domaine complet.

• Impossible d'accéder à l'équilibrage de charge via l'identifiant kubectl vSphere

  Vous ne pouvez pas accéder au serveur d'API via l'identifiant kubectl vSphere lors de l'utilisation d'un point de terminaison à équilibrage de charge.

  Solution : ce problème peut se produire de deux façons.

  1. Vérifiez si le serveur d'API est accessible via le plan de contrôle <curl -k https://vip:6443 (ou 443)>

     1. Si vous ne parvenez pas à accéder à l'équilibreur de charge à partir du serveur d'API, le serveur d'API n'est pas encore opérationnel.

     2. Solution : attendez quelques minutes que le serveur d'API devienne accessible.

  2. Vérifiez si l'état du nœud de la machine virtuelle Edge est actif.

     1. Connectez-vous à NSX Manager.

     2. Accédez à Système > Infrastructure > Nœuds > Nœuds de transport Edge. L'état du nœud doit être actif.

     3. Accédez à Mise en réseau > Équilibrages de charge > Serveurs virtuels. Recherchez les VIP qui se terminent par kube-apiserver-lb-svc-6443 et kube-apiserver-lb-svc-443. Si leur état n'est pas activé, utilisez la solution suivante.

     4. Solution : redémarrez la machine virtuelle Edge. La machine virtuelle Edge doit être reconfigurée après le redémarrage.

• Affichage d'erreurs de délai d'expiration pendant la configuration du cluster de vSphere with Tanzu

  Lors de la configuration du cluster, les messages d'erreur suivants peuvent s'afficher :

  Api request to param0 failed

  ou

  Config operation for param0 node VM timed out

  Solution : aucune. L'activation de vSphere with Tanzu peut prendre de 30 à 60 minutes. Si le message d'expiration param0 ou d'autres messages similaires s'affichent, il ne s'agit pas d'erreurs et vous pouvez les ignorer en toute sécurité.

• La désactivation et la réactivation immédiate d'un service de vSphere dans vSphere with Tanzu entraînent la perte de réactivité d'un espace de noms correspondant dans l'instance de vCenter Server.

  Lorsque le service vSphere est désactivé et immédiatement réactivé, l'espace de noms dans le cluster superviseur est supprimé et recréé. Toutefois, l'espace de noms correspondant dans l'instance de vCenter Server reste dans l'état « Terminaison ». Par conséquent, les quotas de ressources ne peuvent pas être attribués à l'espace de noms dans l'instance de vCenter Server et les ingénieurs DevOps ne peuvent pas créer de ressources telles que des espaces et des PVC sur l'espace de noms. En outre, le déploiement du plug-in d'interface utilisateur échoue, car l'espace de l'opérateur de service ne peut pas s'exécuter.

  Vous pouvez obtenir les journaux de la plate-forme d'application en exécutant la commande suivante sur le cluster superviseur : kubectl -n vmware-system-appplatform-operator-system logs vmware-system-appplatform-operator-mgr-0.

  Solution :

  avant de réactiver le service, attendez que l'espace de noms soit complètement supprimé de l'instance de vCenter Server.

  Si l'espace de noms est bloqué à l'état d'arrêt, procédez comme suit :

  1. Désactivez de nouveau le service.

  2. Redémarrez le service wcp dans l'instance de vCenter Server.

  3. Attendez que l'espace de noms soit supprimé. Cette étape peut prendre un certain temps.

  4. Réactivez le service.

• Échec de l'activation du registre de conteneur avec une erreur

  Lorsque l'utilisateur active le registre de conteneur à partir de l'interface utilisateur, l'activation échoue après 10 minutes avec une erreur de délai d'expiration.

  Solution : désactivez le registre de conteneur et essayez de l'activer de nouveau. Notez que l'erreur de délai d'expiration peut se produire à nouveau.

• L'activation d'un cluster après sa désactivation échoue avec une erreur.

  L'activation d'un cluster peu après la désactivation du cluster peut créer un conflit dans le processus de réinitialisation du mot de passe du compte de service. L'action d'activation échoue avec une erreur.

  Solution : redémarrez avec la commande vmon-cli --restart wcp.

• La suppression d'une balise d'image de conteneur dans un registre de conteneur intégré peut supprimer toutes les balises d'image qui partagent la même image de conteneur physique

  Plusieurs images avec des balises différentes peuvent être envoyées vers un projet dans un registre de conteneur intégré à partir de la même image de conteneur. Si l'une des images du projet est supprimée, toutes les autres images avec des balises différentes qui sont envoyées à partir de la même image seront supprimées.

  Solution : cette opération ne peut pas être annulée. Transférez de nouveau l'image vers le projet.

• L'échec de l'opération de purge sur un projet de registre entraîne l'état d'erreur du projet

  Lorsque vous effectuez une opération de purge sur un projet de registre, le projet s'affiche temporairement comme étant dans un état d'erreur. Vous ne pourrez ni envoyer ni extraire d'images de ce type de projet. À intervalles réguliers, le projet sera vérifié et tous les projets qui sont en état d'erreur seront supprimés et recréés. Dans ce cas, tous les membres du projet précédent seront rajoutés au projet recréé et tous les référentiels et images qui existaient précédemment dans le projet seront supprimés, ce qui terminera efficacement l'opération de purge.

  Solution : aucune.

• Échec de l'activation du registre de conteneur lorsque la capacité de stockage est inférieure à 2 000 mébioctets

  Il existe une exigence de capacité de stockage totale minimale pour le registre de conteneur, représentée par le champ « limite » dans VMODL. Cela est dû au fait que certains espaces Kubernetes doivent disposer d'un espace de stockage suffisant pour fonctionner correctement. Pour obtenir la fonctionnalité de registre de conteneur, il existe une capacité minimale de 5 gigaoctets. Notez que cette limite n'offre aucune garantie d'amélioration des performances ou d'augmentation du nombre ou de la taille des images pouvant être prises en charge.

  Solution : ce problème peut être évité en déployant le registre de conteneur avec une capacité totale supérieure. Le volume de stockage recommandé est d'au moins 5 gigaoctets.

• Si vous remplacez le certificat TLS de l'équilibrage de charge NSX pour le cluster Kubernetes, vous risquez de ne pas parvenir à vous connecter au registre Harbor intégré à partir d'un client Docker ou de l'interface utilisateur de Harbor

  Pour remplacer le certificat TLS de l'équilibrage de charge NSX pour le cluster Kubernetes, dans l'interface utilisateur de vSphere accédez à Configurer > Espaces de noms > Certificats > Équilibrage de charge NSX > Actions, puis cliquez sur Remplacer le certificat. Lorsque vous remplacez le certificat NSX, la connexion au registre Harbor intégré à partir d'un client Docker ou de l'interface utilisateur de Harbor peut échouer avec l'erreur unauthorized: authentication required ou Invalid user name or password.

  Solution : redémarrez l'espace de l'agent du registre dans l'espace de noms vmware-system-registry :

  1. Exécutez la commande kubectl get pod -n vmware-system-registry.

  2. Supprimez la sortie de l'espace en exécutant la commande kubectl delete pod vmware-registry-controller-manager-xxxxxx -n vmware-system-registry .

  3. Patientez jusqu'au redémarrage de l'espace.

• Les espaces déployés avec DNSDefault utiliseront les paramètres clusterDNS

  Tout espace vSphere déployé dans des clusters superviseur qui utilisent DNSDefault recommencera à utiliser les paramètres clusterDNS configurés pour le cluster

  Solution : aucune.

• Tous les hôtes d'un cluster peuvent être mis à jour simultanément lors de la mise à niveau d'un cluster superviseur

  Dans certains cas, tous les hôtes d'un cluster seront mis à jour en parallèle lors du processus de mise à niveau du cluster superviseur. Cela entraînera une interruption de service pour tous les espaces s'exécutant sur ce cluster.

  Solution : lors de la mise à niveau du cluster superviseur, ne redémarrez pas wcpsvc ou ne supprimez/n'ajoutez pas d'hôtes.

• La mise à niveau du cluster superviseur peut être bloquée indéfiniment si VMCA est utilisé comme autorité de certification intermédiaire

  La mise à niveau du cluster superviseur peut être bloquée indéfiniment à l'état « configuration » si VMCA est actuellement utilisé comme autorité de certification intermédiaire.

  Solution : basculez vers une autorité de certification non intermédiaire pour VMCA et supprimez toutes les machines virtuelles de plan de contrôle bloquées à l'état « configuration ».

• Le déploiement de l'espace vSphere échoue si une stratégie de stockage pour laquelle le chiffrement est activé est attribuée à des disques éphémères d'espace.

  Si une stratégie de stockage pour laquelle le chiffrement est activé est utilisée pour des disques éphémères d'espace, la création de l'espace vSphere échoue avec l'erreur « Échec d'AttachVolume.Attach pour le volume ».

  Solution : Utilisez une stratégie de stockage sans chiffrement pour les disques éphémères d'espace.

• La mise à niveau du cluster superviseur se bloque à 50 % lors de l'affichage de « La mise à niveau d'un cluster d'espaces de noms est à l'étape hôte »

  Le problème se produit lorsqu'un espace vSphere se bloque à l'état TERMINAISON pendant la mise à niveau du nœud du plan de contrôle Kubernetes. Le contrôleur du nœud du plan de contrôle tente de mettre à niveau le processus Spherelet et, pendant cette phase, des espaces vSphere sont évincés ou éliminés sur ce nœud du plan de contrôle pour annuler l'enregistrement du nœud dans le plan de contrôle Kubernetes. Par conséquent, la mise à niveau du cluster superviseur se bloque à une version antérieure jusqu'à ce que les espaces vSphere en état TERMINAISON soient supprimés de l'inventaire.

  Solution :

  1. Connectez-vous à l'hôte ESXi sur lequel l'espace vSphere est bloqué à l'état TERMINAISON.

  2. Supprimez les espaces vSphere TERMINAISON à l'aide des commandes suivantes :

  # vim-cmd vmsvc/getallvms

  # vim-cmd vmsvc/destroy

  Après cette étape, les espaces vSphere s'affichent à l'état inactif dans vSphere Client.

  3. Supprimez les espaces vSphere inactifs en ajoutant d'abord un utilisateur au groupe ServiceProviderUsers.

  a.) Connectez-vous à vSphere Client, sélectionnez Administration -> Utilisateurs et groupes -> Créer un utilisateur, puis cliquez sur Groupes.

  b.) Recherchez ServiceProviderUsers ou le groupe Administrateurs et ajoutez un utilisateur au groupe.

  4. Connectez-vous à vSphere Client avec l'utilisateur qui vient d'être créé et supprimez les espaces vSphere inactifs.

  5. Dans kubectl, utilisez la commande suivante :

  kubectl patch pod -p -n '{"metadata":{"finalizers":null}}'

• L'interface utilisateur de gestion de la charge de travail renvoie l'erreur de licence suivante : Aucun des hôtes connectés à cette instance de vCenter ne dispose d'une licence pour la gestion de la charge de travail

  Après avoir correctement activé la gestion de la charge de travail sur un cluster vSphere, l'erreur de licence suivante peut se produire après le redémarrage de l'instance de vCenter Server ou la mise à niveau d'hôtes ESXI sur lesquels la gestion de la charge de travail est activée : Aucun des hôtes connectés à cette instance de vCenter ne dispose d'une licence pour la gestion de la charge de travail. Il s'agit d'une erreur d'interface utilisateur esthétique. Votre licence doit toujours être valide et les charges de travail doivent toujours être en cours d'exécution.

  Solution : effacez le cache du navigateur pour vSphere Client.

• Les environnements vSphere volumineux peuvent nécessiter une synchronisation prolongée sur un cloud avec le contrôleur VMware NSX Advanced Load Balancer

  Les environnements vSphere avec des inventaires qui contiennent plus de 2 000 hôtes ESXi et 45 000 machines virtuelles peuvent nécessiter jusqu'à 2 heures pour se synchroniser sur un cloud à l'aide d'un contrôleur NSX Advanced Load Balancer.

  Solution : aucune

• Le registre de conteneur privé du cluster superviseur peut devenir défectueux après la modification du certificat racine VMware Certificate Authority (VMCA) sur un système vCenter Server 7.0 Update 2

  Après avoir modifié le certificat racine de l'autorité de certification VMware (VMCA) sur un système vCenter Server 7.0 Update 2, le registre de conteneur privé du cluster superviseur peut devenir défectueux et les opérations de registre peuvent cesser de fonctionner comme prévu. Le message d'état de santé suivant du registre du conteneur s'affiche sur l'interface utilisateur de configuration du cluster :

  Harbor registry harbor-1560339792 on cluster domain-c8 is unhealthy. Reason: failed to get harbor health: Get https://30.0.248.2/api/health: x509: certificate signed by unknown authority

  Solution :

  Redémarrez manuellement l'espace de l'agent de registre dans l'espace de noms vmware-system-registry sur le cluster vSphere Kubernetes :

  1. Exécutez la commande kubectl get pod -n vmware-system-registry pour obtenir un espace d'agent de registre.

  2. Supprimez la sortie de l'espace en exécutant la commande kubectl delete pod vmware-registry-controller-manager-xxxxxx -n vmware-system-registry.

  3. Patientez jusqu'au redémarrage de l'espace.

  4. Actualisez le registre d'images sur l'interface utilisateur de la configuration du cluster et l'état de santé devrait rapidement s'afficher comme étant en cours d'exécution.

• Les projets des espaces de noms récemment créés sur le cluster superviseur ne sont pas automatiquement créés sur le registre de conteneur privé

  Les projets peuvent ne pas être créés automatiquement sur le registre de conteneur privé pour les espaces de noms nouvellement créés sur un cluster superviseur. L'état du registre du conteneur est toujours affiché comme étant sain, mais aucun projet n'est affiché dans le registre du conteneur du cluster lorsqu'un nouvel espace de noms est créé. Vous ne pouvez pas transférer ou extraire des images vers les projets des nouveaux espaces de noms sur le registre du conteneur.

  Solution :

  1. exécutez la commande kubectl get pod -n vmware-system-registry pour obtenir l'espace de l'agent de registre.

  2. Supprimez la sortie de l'espace en exécutant la commande kubectl delete pod vmware-registry-controller-manager-xxxxxx -n vmware-system-registry.

  3. Patientez jusqu'au redémarrage de l'espace.

  4. Connectez-vous au registre de conteneur privé pour vérifier que les projets sont créés pour les espaces de noms sur le cluster.

• Vous pouvez observer l'erreur ErrImgPull lors de la création d'espaces avec 10 réplicas

  Ce problème peut survenir lorsque vous tentez d'utiliser un déploiement avec 10 espaces de réplica dans un fichier YAML. Lorsque vous tentez de créer des espaces avec ce fichier YAML à l'aide du registre de conteneur privé, sur 10 réplicas, au moins 7 peuvent réussir et 3 peuvent échouer avec l'erreur « ErrImgPull ».

  Solution : utilisez un maximum de 5 ensembles de réplicas.

• Le contrôleur NSX Advanced Load Balancer n'est pas pris en charge lorsque le système vCenter Server est déployé avec un port personnalisé

  Vous ne pouvez pas enregistrer le système vCenter Server dans le contrôleur NSX Advanced Load Balancer, car il n'existe aucune option pour fournir un port vCenter Server personnalisé dans l'interface utilisateur du contrôleur NSX Advanced Load Balanced lors de l'enregistrement.

  Le contrôleur NSX Advanced Load Balancer fonctionne uniquement lorsque le système vCenter Server est déployé avec les ports par défaut 80 et 443.

• Lorsque vous effectuez un repointage de domaine sur l'instance de vCenter Server qui contient déjà des clusters superviseurs en cours d'exécution, les clusters superviseurs passeront à l'état Configuration

  Le repointage de domaine n'est pas pris en charge sur les instances de vCenter Server qui disposent de clusters superviseurs. Lorsque vous tentez d'effectuer le repointage de domaine, les clusters superviseurs existants passent à l'état Configuration, et les machines virtuelles de plan de contrôle et du cluster Tanzu Kubernetes n'apparaissent plus dans l'inventaire sous la vue Hôtes et clusters.

  Solution : aucune.

• L'attribution de balises et d'attributs personnalisés ne fonctionne pas pour les VM créées à l'aide de Kubernetes dans un cluster superviseur

  Lorsque vous tentez d'attribuer des balises ou des attributs personnalisés à une VM créée dans un cluster superviseur via le client UI vSphere ou à l'aide de vAPI, l'opération échoue avec le message « Une erreur s'est produite lors de l'attachement de balises ».

  Solution : aucune.

• Les développeurs autorisés à accéder aux espaces de noms en libre-service ne peuvent pas accéder aux ressources à l'échelle du cluster telles que les classes de stockage

  Lorsque les développeurs tentent de lister les classes de stockage à l'échelle du cluster à l'aide de la commande kubectl

  kubectl get storageclass -n test-ns or kubectl get storageclass

  Ils rencontrent l'erreur suivante.

  Error from server (Forbidden): storageclasses.storage.k8s.io is forbidden: User "<sso:DEVUSER@DOMAIN>" cannot list resource "storageclasses" in API group "storage.k8s.io" at the cluster scope

  Solution : Ce comportement est attendu, car les développeurs n'ont accès qu'aux classes de stockage attribuées au modèle d'espace de noms auquel ils ont accès. Cela est déterminé préalablement par l'administrateur vSphere.

  La commande ci-dessous permet de lister les classes de stockage associées à l'espace de noms.

  kubectl get resourcequota <NAMESPACE>-storagequota -n <NAMESPACE>

• L'utilisation de « kubectl apply -f » pour accéder à un espace de noms en libre-service échoue

  La tentative de création d'un espace de noms à l'aide d'un manifeste avec kubectl apply -f échoue avec l'erreur

  Error from server (Forbidden): namespaces is forbidden: User "sso:[email protected]"cannot list resource "namespaces"inAPI group ""at the cluster scope

  Solution : les développeurs peuvent plutôt utiliser la commande kubectl create -f pour créer un espace de noms.

• La création d'espaces vSphere dans un espace de noms en libre-service échoue par intermittence

  Vous pouvez rencontrer l'erreur « impossible de créer des espaces de ressources » lors de la tentative de création d'un espace vSphere dans un espace de noms créé à l'aide du modèle d'espace de noms en libre-service.

  Solution : attendez quelques secondes après la création de l'espace de noms pour créer des espaces vSphere dans l'espace de noms.

• Les développeurs ne peuvent pas ajouter des étiquettes et des annotations aux espaces de noms créés à l'aide du modèle d'espace de noms en libre-service

  La tentative de spécification d'étiquettes et d'annotations dans le manifeste utilisé pour créer ou modifier un espace de noms à l'aide de la commande kubectl apply -f échouera avec l'erreur

  Error from server (Forbidden): User "sso:[email protected]"cannot patch resource "namespaces"inAPI group ""inthe namespace ""

  Solution : Ajoutez les étiquettes et les annotations requises au manifeste de l'espace de noms et utilisez plutôt kubectl create -f afin d'ajouter des étiquettes et des annotations.

• Vous ne pouvez pas utiliser le modèle d'espace de noms tant qu'une mise à niveau du cluster superviseur est en cours d'exécution

  Lorsque vous démarrez une mise à niveau du cluster superviseur, toutes les tâches liées au modèle d'espace de noms, telles que l'activation, la désactivation ou les mises à jour, restent dans une file d'attente jusqu'à la fin de la mise à niveau.

  Solution : attendez la fin de l'opération de mise à niveau avant d'utiliser des commandes pour manipuler le modèle d'espace de noms.

• Les tentatives d'attachement d'un volume persistant à un espace sur un cluster Tanzu Kubernetes échouent avec le message d'erreur « CNS : échec de l'attachement du disque, car le contrôleur SCSI est manquant »

  Lorsque vous tentez d'attacher un volume persistant à un espace sur un cluster Tanzu Kubernetes, vos tentatives échouent et l'espace reste dans un état d'attente. Le message d'erreur indique que le contrôleur SCSI est manquant même si un contrôleur PVSCSI est configuré pour la machine virtuelle du nœud worker.

  Ce problème peut se produire lorsque la machine virtuelle du nœud worker atteint sa limite de volume de blocs de 60 volumes. Toutefois, Kubernetes ignore les limites de volume vSphere et les planifications bloquent la création de volumes sur ce nœud.

  Solution : ajoutez un nœud worker au cluster. Supprimez l'espace pour planifier son déploiement sur le nouveau nœud worker.

• La suppression d'un espace avec état après une session vCenter Server inactive et les tentatives de réutilisation ou de suppression ultérieures de son volume dans le cluster Tanzu Kubernetes peuvent entraîner des pannes et un comportement imprévisible

  Lorsque vous supprimez un espace avec état après un jour ou deux d'inactivité, son volume semble être correctement détaché de la machine virtuelle de nœud du cluster Tanzu Kubernetes. Toutefois, lorsque vous tentez de créer un espace avec état avec ce volume ou de supprimer le volume, vos tentatives échouent, car le volume est toujours attaché à la machine virtuelle du nœud dans l'instance de vCenter Server.

  Solution : utilisez l'API CNS pour détacher le volume de la machine virtuelle du nœud afin de synchroniser l'état du volume dans le cluster Tanzu Kubernetes et l'instance de vCenter Server. Redémarrez également le contrôleur CSI dans le cluster superviseur pour renouveler la session inactive.

• La mise à niveau du cluster superviseur est bloquée ou ne se termine pas en raison de l'épuisement de la plage d'adresses IP sur le réseau de charge de travail principal du cluster superviseur (si vous utilisez Mise en réseau vSphere) ou les CIDR d'espace réseau du cluster NCP (si vous utilisez le plugin NSX-T Container).

  La mise à niveau du cluster superviseur est bloquée à l'état En attente avec le message : « La mise à niveau du cluster d'espaces de noms est en provision d'une nouvelle étape maître ».

  Les nouvelles machines virtuelles du plan de contrôle déployées lors de la mise à niveau du cluster ne reçoivent qu'une seule interface réseau. Les machines virtuelles du plan de contrôle doivent disposer de 2 interfaces réseau, l'une connectée au réseau de gestion et l'autre au réseau de charge de travail.

  Certains espaces système, tels que coredns, qui est censé être déployé sur la nouvelle machine virtuelle du plan de contrôle, peuvent être bloqués à l'état En attente.

  Solution : supprimez un petit nombre de charges de travail (VM, VM d'espace, clusters TKG) pour libérer suffisamment d'adresses IP afin de terminer le processus de mise à niveau. Au moins 3 adresses IP doivent être libérées.

• Mettez à jour les paires clé-valeur ou les informations d'identification de registre pour une configuration de service de superviseur

  Vous souhaiterez peut-être modifier les paires clé-valeur de registre de configuration d'un service de superviseur, car vous avez entré des informations d'identification de connexion incorrectes ou le mot de passe de registre peut avoir expiré.

  Solution :

  1. Créez une ressource secrète sur le cluster superviseur.

  kubectl -n vmware-system-supervisor-services create secret generic new-secret --from-literal=registryName= --from-literal=registryPasswd= --from-literal=registryUsername=

  2. Mettez à jour la référence de service pour la ressource de service de superviseur.

  # kubectl edit supervisorservice svc-minio -n vmware-system-supervisor-services

  3. Mettez à jour la session spec.config :

  spec:

  config:

  secretNamespace: vmware-system-supervisor-services

  secretRef: new-secret

• Les plug-ins d'interface utilisateur de Tanzu Kubernetes Grid Service et du service de superviseur ne fonctionnent pas

  Lorsque le système vCenter Server est signé par un certificat d'autorité de certification personnalisé et que le cluster superviseur est activé, le plug-in de l'interface utilisateur du service Tanzu Kubernetes et les plug-ins de l'interface utilisateur du service de superviseur déployés dans vSphere Client ne fonctionnent pas. Les plug-ins de l'interface utilisateur rencontrent des problèmes d'authentification SSL lorsqu'ils tentent de communiquer avec leurs serveurs principaux respectifs dans le cluster superviseur. Le plug-in de Tanzu Kubernetes Grid Service affiche l'erreur suivante :

  The Tanzu Kubernetes Grid Service failed to authenticate with kubernetes; see the browser console for more technical details

  Solution : ajoutez la racine d'approbation dans un fichier distinct (pas dans vmca.pem) dans /etc/ssl/certs et régénérez les hachages à l'aide de c_rehash. Vous devez effectuer cette opération sur les trois machines virtuelles du plan de contrôle.

  Notez qu'il n'est pas recommandé de modifier /etc/ssl/certs/vmca.pem, car le contenu de ce fichier sera remplacé par update-controller lors de chaque synchronisation du cluster.

  Tenez compte du fait que si l'une des machines virtuelles du plan de contrôle dans le cluster superviseur est redéployée (par exemple, après le redimensionnement des machines virtuelles du plan de contrôle ou en raison d'une opération de réparation), le certificat ajouté manuellement à /etc/ssl/certs sera perdu et la solution devra être réappliquée à cette machine virtuelle.

• Blocage du cluster superviseur dans l'état de configuration

  Après la configuration d'un cluster vSphere en tant que cluster superviseur, celui-ci se bloque à l'état de configuration. Vous ne pouvez pas créer d'espaces vSphere ni de clusters Tanzu Kubernetes.

  Solution : Redémarrez le service mcs à l'aide de la commande suivante :

  vmon-cli restart wcp

  Pour obtenir des instructions plus détaillées, reportez-vous à la documentation.

• La commande « kubectl get virtualmachineimages » ne renvoie aucun résultat, même lorsque la bibliothèque de contenu associée est remplie avec des images de machine virtuelle

  Si la bibliothèque de contenu utilisée par le service de machine virtuelle est activée avec une stratégie de sécurité, le service de machine virtuelle ne parvient pas à lire les images et les machines virtuelles ne peuvent pas être déployées à l'aide des images de cette bibliothèque de contenu.

  Solution : Dissociez la bibliothèque de contenu de la stratégie de sécurité de l'espace de noms de superviseur. Supprimez le paramètre « Stratégie de sécurité OVF par défaut » de la bibliothèque de contenu appropriée, puis associez de nouveau la bibliothèque de contenu à l'espace de noms.

• Les développeurs voient des propriétés POWERSTATE incorrectes pour les machines virtuelles avec vGPU et périphériques de relais qui sont gérées par le service de machine virtuelle lorsque leur hôte entre en mode de maintenance.

  Lorsqu'un hôte entre en mode de maintenance, les machines virtuelles disposant de vGPU et de périphériques de relais gérées par le service de VM sont automatiquement mises hors tension par DRS. Toutefois, la sortie de la commande kubectl get vm affiche l'état d'alimentation précédent et les machines virtuelles. Cela entraîne l'affichage de POWERSTATE=poweredOn même lorsque la machine virtuelle est hors tension sur vCenter.

  aucune.

• Sur un cluster superviseur avec NSX-T, les hôtes ESXi peuvent continuer à utiliser des VIB Spherelet auto-signés

  Si vous avez configuré ou mis à niveau votre cluster superviseur avec la version de Kubernetes disponible dans vCenter Server 7.0 Update 3 et que vous avez mis à niveau la version Kubernetes de votre cluster superviseur vers une version disponible dans vCenter Server 7.0 Update 3a, le ou les hôtes ESXi peuvent continuer à utiliser des VIB Spherelet auto-signés. Cela se produit, car la version du VIB Spherelet auto-signé installée sur vCenter Server 7.0 Update 3 et vCenter Server 7.0 Update 3a sont identiques. Ce problème ne s'applique pas à un cluster superviseur configuré avec la pile de mise en réseau vSphere.

  Solution 1 :

  Si le cluster vSphere n'est pas basé sur vSphere Lifecycle Manager, procédez comme suit pour installer les VIB Spherelet certifiés par VMware :

  1. Mettez un hôte ESXi en mode de maintenance et attendez qu'il soit marqué comme « Non prêt » par le cluster superviseur.

  2. Déplacez cet hôte en dehors du cluster pour le définir en tant qu'hôte autonome et attendez que la désinstallation des VIB Spherelet et NSX-T soit effectuée.

  3. Replacez l'hôte dans le cluster, quittez le mode de maintenance et attendez que les nouveaux VIB Spherelet et NSX-T soient configurés à nouveau.

  4. Répétez les étapes ci-dessus pour chaque hôte ESXi dans le cluster.

  Si le cluster superviseur est activé dans vSphere Lifecycle Manager, désactivez-le, puis reconfigurez-le.

  Solution 2 :

  Une fois l'instance de vCenter Server mise à niveau vers vCenter Server 7.0 Update 3a, désactivez le cluster superviseur et reconfigurez-le. Cela s'applique aux clusters activés dans vSphere Lifecycle Manager ainsi qu'aux clusters non-vLCM/VUM.

• Certains espaces vSphere affichent un état NodeAffinity après le redémarrage de l'hôte ou la mise à niveau du cluster superviseur

  Après avoir redémarré l'hôte ou mis à niveau le cluster superviseur, vous pouvez voir un état NodeAffinity pour certains espaces vSphere. Ce comportement est dû à un problème Kubernetes en amont dans lequel le planificateur Kubernetes crée des espaces redondants avec un état NodeAffinity dans le cluster après le redémarrage de kubelet. Le fonctionnement du cluster n'est pas affecté par ce problème. Pour plus d'informations sur le problème Kubernetes en amont, consultez la page https://github.com/kubernetes/kubernetes/issues/92067.

  Solution : supprimez les espaces redondants avec l'état NodeAffinity.

• L'opérateur de service vDPp et les espaces d'instance activés sur vSphere with Tanzu passent à l'état En attente après la mise à niveau de votre environnement vers la version 7.0 Update 3e ou une version ultérieure

  Ce problème se produit si la version du service de partenaires installée sur le cluster superviseur ne prend pas en charge Kubernetes version 1.22. Après la mise à niveau de votre environnement vSphere with Tanzu vers la version 7.0 Update 3e ou une version ultérieure compatible avec la version 1.22, le service devient incompatible. Par conséquent, les espaces d'opérateur et d'instance passent à l'état En attente.

  Les tentatives de mise à niveau du service vers une version plus récente échouent.

  Solution : mettez à niveau le service vDPp vers une version compatible avec Kubernetes 1.22 avant de mettre à niveau vSphere with Tanzu vers la version 7.0 Update 3e.

• La mise à niveau automatique d'un cluster de Kubernetes 1.19.1 vers la version 1.20.8 ne progresse pas

  Dans de rares occasions, la mise à niveau automatique d'un cluster Kubernetes 1.19.1 vers la version 1.20.8 peut échouer avec l'erreur suivante :

  Tâche de mise à niveau introuvable. Relancez la mise à niveau.

  Solution : lancez manuellement la mise à niveau du cluster.

• Les opérations sur l'espace de noms de superviseur peuvent échouer s'il a été réutilisé après une courte période :

  Lorsqu'un espace de noms de superviseur est supprimé, puis recréé avec le même nom après une courte période, les opérations peuvent échoué en raison d'une entrée non valide dans le cache.

  Ce problème est résolu dans la dernière version.

• Le bundle de support de superviseur inclut le bundle de support VC

  Lors de la génération d'un bundle de support de superviseur, le bundle de support VC n'est pas inclus automatiquement.

  Ce problème est résolu dans la dernière version.

• Contenu de la liste de contrôle de support réseau non localisé

  Lors de l'activation de la gestion de la charge de travail, il est possible de télécharger une liste de contrôle du réseau. Son contenu n'est pas localisé.

  Ce problème est résolu dans la dernière version.

• Dans une configuration de cluster Tanzu Kubernetes mis à l'échelle, un problème OOM est observé sur les espaces système WCP capi-kubeadm-control-plane-controller-manager

  Ce problème est documenté dans l'article de la base de connaissances

  https://kb.vmware.com/s/article/88914

  Consultez l'article de la base de connaissances

• Blocage de la mise à niveau du cluster superviseur à l'étape de mise à niveau des composants en raison de l'échec de la mise à niveau de TKG ou de CAPW.

  Ce problème est documenté dans l'article de la base de connaissances

  https://kb.vmware.com/s/article/88854

• La stratégie de sécurité ne supprime pas les règles mises à jour.

  Si une CR de stratégie de sécurité qui contient les règles A et B est créée, puis mise à jour avec une stratégie modifiant les règles en B et C, la règle A est toujours appliquée.

  Solution : Supprimez la stratégie de sécurité et recréez-la avec les règles mises à jour.

• Les équilibrages de charge et les clusters Tanzu Kubernetes ne sont pas créés lorsqu'il existe deux groupes SE sur NSX Advanced Load Balancer.

  Si un deuxième groupe SE est ajouté à NSX Advanced Load Balancer avec ou sans SE, ou avec des services virtuels qui lui sont attribués, la création de clusters superviseurs ou de clusters Tanzu Kubernetes échoue et les clusters superviseurs existants ne peuvent pas être mis à niveau. La création du service virtuel sur le contrôleur NSX Advanced Load Balancer échoue avec l'erreur suivante :

  « La commande get() a renvoyé plusieurs ServiceEngineGroup, elle en a renvoyé 2 »

  Par conséquent, les nouveaux équilibrages de charge sont inutilisables et vous ne pouvez pas créer de nouveaux clusters de charge de travail.

  Pour plus d'informations, consultez l'article 90386 de la base de connaissances VMware.

  Solution : Seul le groupe SE « Default-Group » doit être utilisé pour la création de VirtualService ; supprimez tous les autres groupes SE de NSX Advanced Load Balancer, à l'exception du groupe par défaut, et recommencez l'opération.

• La stratégie de sécurité mise à jour n'est pas appliquée.

  Si une CR de stratégie de sécurité qui contient les règles A et B est créée, puis mise à jour avec une modification des règles en B et C, la règle A est toujours en vigueur et n'est pas supprimée.

  Solution : Créez et appliquez une nouvelle stratégie qui inclut les règles B et C, puis supprimez l'ancienne stratégie contenant les règles A et B.

• L'API de gestion de l'espace de noms peut parfois renvoyer une erreur HTTP 500, échec de l'autorisation d'une demande

  Une demande à la gestion de la charge de travail peut échouer par intermittence. L'API renvoie un code d'état 500 et aucune demande ne sera traitée. Vous trouverez un message de journal indiquant : « Une erreur inattendue s'est produite lors de l'autorisation ». Ce problème est intermittent, mais il est plus susceptible de se produire lorsque la gestion de la charge de travail subit une charge, par exemple lors de la configuration active d'un ou de plusieurs superviseurs.

  Solution : Réessayez l'opération que vous étiez en train de tenter lorsque l'erreur s'est produite.

• Par intermittence, le cluster superviseur peut rester dans l'état CONFIGURATION ou ERREUR.

  Lors de l'activation, de la mise à niveau ou du redéploiement d'un autre nœud d'un cluster superviseur, celui-ci peut rester dans l'état CONFIGURATION ou ERREUR et afficher le message d'erreur suivant :

  « Échec de la demande d'API à VMware vCenter Server (vpxd). Détails « ServerFaultCode : Une erreur système générale s'est produite : les codes d'erreur vix = (1, 0) » peuvent être bloqués. »

  Les journaux appropriés sont disponibles dans : /var/log/vmware/wcp/wcpsvc.log

  Supprimez l'instance de vSphere Agent Manager (EAM) correspondant à la machine virtuelle du plan de contrôle qui rencontre le problème pour forcer le redéploiement du nœud.

• Les PV restent dans l'état Terminé après la suppression réussie des PVC

  Après la suppression d'un PersistentVolumeClaim (PVC), le PersistentVolume (PV) correspondant peut rester dans un état Terminé dans le superviseur. En outre, vSphere Client peut afficher plusieurs tâches « deleteVolume » ayant échoué.

  1. Authentifiez-vous sur le superviseur :

  kubectl vsphere login --server=IP-ADDRESS --vsphere-username USERNAME

  2. Obtenez le nom du volume persistant à l'état Arrêt en cours :

  kubectl get pv

  3. Notez le handle de volume à partir du volume persistant :

  kubectl describe pv <pv-name>

  4. À l'aide du handle de volume de l'étape précédente, supprimez la ressource personnalisée CnsVolumeOperationRequest dans le superviseur :

  kubectl delete cnsvolumeoperationrequest delete-<volume-handle>

  Remarque : avant de supprimer un PV, assurez-vous qu'il n'est pas utilisé par d'autres ressources dans le cluster.

Mise en réseau

• Le déploiement d'une machine virtuelle NSX Edge échoue sur des réseaux lents.

  Il existe un délai d'expiration combiné de 60 minutes pour le déploiement de NSX Edge OVF et l'enregistrement de la machine virtuelle NSX Edge. Dans les réseaux plus lents ou les environnements avec un stockage plus lent, si le temps écoulé pour le déploiement et l'enregistrement du dispositif Edge dépasse ce délai d'expiration de 60 minutes, l'opération échouera.

  Solution : nettoyez les dispositifs Edge et redémarrez le déploiement.

• Les dispositifs Edge NSX ne sont pas mis à jour si les paramètres DNS, NTP ou Syslog de vCenter Server sont modifiés après la configuration du cluster.

  Les paramètres DNS, NTP et Syslog sont copiés de vCenter Server vers les machines virtuelles NSX Edge lors de la configuration du cluster. Si l'un de ces paramètres vCenter Server est modifié après la configuration, les dispositifs NSX Edge ne sont pas mis à jour.

  Solution : utilisez les API NSX Manager pour mettre à jour les paramètres DNS, NTP et Syslog de vos dispositifs NSX Edge.

• La configuration du réseau de gestion NSX Edge fournit uniquement la configuration du sous-réseau et de la passerelle sur une sélection de groupes de ports.

  Le menu déroulant de compatibilité du réseau de gestion NSX Edge affichera les informations de sous-réseau et de passerelle uniquement si les cartes VMKnic ESXi sont configurées sur l'hôte et qu'elles sont sauvegardées par un DVPG sur le VDS sélectionné. Si vous sélectionnez un port de groupes distribué sans carte VMKnic attachée, vous devez fournir un sous-réseau et une passerelle pour la configuration réseau.

  Solution : utilisez l'une des solutions suivantes :

  • Groupe de ports discret : où aucun VMK ne réside actuellement. Vous devez fournir les informations appropriées sur le sous-réseau et la passerelle pour ce groupe de ports.

  • Groupe de ports de gestion partagé : C'est là que réside le VMK de gestion des hôtes ESXi. Les informations sur le sous-réseau et la passerelle seront automatiquement récupérées.

• Impossible d'utiliser le VLAN 0 lors de la configuration du cluster

  Lorsque vous tentez d'utiliser le VLAN 0 pour les points de terminaison de tunnel de superposition ou la configuration de liaison montante, l'opération échoue avec le message suivant :

  Argument 'uplink_network vlan' is not a valid VLAN ID for an uplink network. Please use a VLAN ID between 1-4094

  Solution : activez manuellement la prise en charge de VLAN 0 en appliquant l'un des processus suivants :

  1. SSH dans votre instance de VC déployée (racine/vmware).

  2. Ouvrez /etc/vmware/wcp/nsxdsvc.yaml. Un contenu semblable à celui-ci s'affichera :

  logging: 
    level: debug
    maxsizemb: 10 

  a. pour activer la prise en charge de VLAN0 pour les réseaux de superposition de cluster NSX, ajoutez les lignes suivantes à /etc/vmware/wcp/nsxdsvc.yaml et enregistrez le fichier.

  experimental:
   supportedvlan: 
    hostoverlay: 
      min: 0 
      max: 4094 
    edgeoverlay: 
      min: 1 
      max: 4094 
    edgeuplink: 
      min: 1 
      max: 4094 

  b. Pour activer la prise en charge de VLAN0 pour les réseaux de superposition NSX Edge, ajoutez les lignes suivantes à /etc/vmware/wcp/nsxdsvc.yaml et enregistrez le fichier.

  experimental: 
   supportedvlan: 
    hostoverlay: 
      min: 1 
      max: 4094 
    edgeoverlay: 
      min: 0 
      max: 4094 
    edgeuplink: 
      min: 1 
      max: 4094 

  c. Pour activer la prise en charge de VLAN0 pour les réseaux de liaison montante NSX Edge, ajoutez les lignes suivantes à /etc/vmware/wcp/nsxdsvc.yaml et enregistrez le fichier.

  experimental: 
   supportedvlan: 
    hostoverlay: 
      min: 1 
      max: 4094 
    edgeoverlay: 
      min: 1 
      max: 4094 
    edgeuplink: 
      min: 0 
      max: 4094 

  3. Redémarrez le service de gestion de la charge de travail avec vmon-cli --restart wcp.

• vSphere with Tanzu et NSX-T ne peuvent pas être activés sur un cluster où l'image de vSphere Lifecycle Manager est activée.

  vSphere with Tanzu et NSX-T ne sont pas compatibles avec l'image de vSphere Lifecycle Manager. Ils sont uniquement compatibles avec les lignes de base de vSphere Lifecycle Manager. Lorsque l'image de vSphere Lifecycle Manager est activée sur un cluster, vous ne pouvez pas activer vSphere with Tanzu ou NSX-T sur ce cluster.

  Solution : déplacer des hôtes vers un cluster sur lequel l'image de vSphere Lifecycle Manager est désactivée. Vous devez utiliser un cluster avec les lignes de base de vSphere Lifecycle Manager. Une fois les hôtes déplacés, vous pouvez activer NSX-T, puis vSphere with Tanzu sur ce nouveau cluster.

• Lorsque la mise en réseau de vSphere with Tanzu est configurée avec NSX-T, le paramètre « ExternalTrafficPolicy : local » n'est pas pris en charge

  Pour les services Kubernetes de type LoadBalancer, la configuration « ExternalTrafficPolicy : local » n'est pas prise en charge.

  Solution : aucune.

• Lorsque la mise en réseau de vSphere with Tanzu est configurée avec NSX-T, le nombre de services de type LoadBalancer qu'un cluster Tanzu Kubernetes peut prendre en charge est limité par la plage NodePort du cluster superviseur

  Chaque VirtualMachineService de type LoadBalancer est convertie en un service Kubernetes de type LoadBalancer et un point de terminaison Kubernetes. Le nombre maximal de services Kubernetes de type LoadBalancer pouvant être créés dans un cluster superviseur est de 2 767. Cela inclut ceux créés sur le cluster superviseur et ceux créés dans les clusters Tanzu Kubernetes.

  Solution : aucune.

• Le contrôleur NSX Advanced Load Balancer ne prend pas en charge la modification du PNID de l'instance de vCenter Server.

  Une fois que vous avez configuré le cluster superviseur avec NSX Advanced Load Balancer, vous ne pouvez pas modifier le PNID de l'instance de vCenter Server.

  Solution : si vous devez modifier le PNID de l'instance de vCenter Server, supprimez le contrôleur NSX Advanced Load Balancer, modifiez le PNID de l'instance de vCenter Server, puis redéployez et configurez le contrôleur NSX Advanced Load Balancer avec le nouveau PNID de l'instance de vCenter Server.

• Dans les environnements vSphere Distributed Switch (vDS), il est possible de configurer des clusters Tanzu Kubernetes avec des plages de CIDR réseau qui se chevauchent ou sont en conflit avec celles du cluster superviseur, ce qui peut empêcher les composants de communiquer.

  Dans les environnements vDS, aucune validation de réseau n'est effectuée lors de la conception, lorsque vous configurez les plages de CIDR pour le cluster superviseur ou lorsque vous configurez les plages de CIDR pour les clusters Tanzu Kubernetes. Par conséquent, deux problèmes peuvent survenir :

  1) Vous créez un cluster superviseur avec des plages de CIDR qui sont en conflit avec les plages de CIDR par défaut réservées aux clusters Tanzu Kubernetes.

  2) Vous créez un cluster Tanzu Kubernetes avec une plage de CIDR personnalisée qui chevauche la plage de CIDR utilisée pour les clusters superviseurs.

  Solution : Pour les environnements vDS, lorsque vous configurez un cluster superviseur, n'utilisez pas l'une des plages de CIDR par défaut utilisées pour les clusters Tanzu Kubernetes, notamment la plage 192.168.0.0/16, qui est réservée aux services, et la plage 10.96.0.0/12, qui est réservée aux espaces. Reportez-vous également à la section « Paramètres de configuration des clusters Tanzu Kubernetes » dans la documentation de vSphere with Tanzu.

  Pour les environnements vDS, lorsque vous créez un cluster Tanzu Kubernetes, n'utilisez pas la même plage de CIDR que celle utilisée pour le cluster superviseur.

• Échec de la création du réseau virtuel du cluster invité lors de l'attachement de plus de 18 étiquettes personnalisées

  Si l'utilisateur souhaite créer un cluster invité et des machines virtuelles sous un espace de noms, il peut ajouter un maximum de 18 étiquettes personnalisées pour l'espace de noms. Sinon, le réseau virtuel du cluster invité sous l'espace de noms ne peut pas être créé.

  Supprimez les étiquettes de l'espace de noms jusqu'à ce que leur nombre total soit inférieur ou égal à 18. Le mécanisme de nouvelle tentative NCP réessaiera de créer l'espace de noms, mais en fonction de l'intervalle, cela peut prendre jusqu'à 6 heures.

• Prise en charge de la zone de transport créée via l'API de stratégie pour WCP

  Si une zone de transport NSX a été créée via l'API de stratégie, l'activation du superviseur peut avoir échoué. La création d'une zone de transport NSX via l'API de stratégie est désormais prise en charge, tout en maintenant la compatibilité descendante avec la zone de transport NSX créée avec l'API MP.

  Ce problème est résolu dans la dernière version.

• Vous ne pouvez pas utiliser NSX Advanced Load Balancer avec un système vCenter Server en utilisant une topologie Embedded Linked Mode.

  Lorsque vous configurez le contrôleur NSX Advanced Load Balancer, vous pouvez le configurer sur plusieurs clouds. Toutefois, vous n'avez pas la possibilité de sélectionner plusieurs clouds lors de l'activation de vSphere with Tanzu, car seule l'option Cloud par défautest prise en charge. Par conséquent, vous ne pouvez pas utiliser NSX Advanced Load Balancer avec une version de vCenter Server utilisant une topologie Embedded Linked Mode.

  Configurez l'équilibrage de charge NSX pour chaque instance de vCenter Server.

Stockage

• <span style="color:#FF0000">NEW:</span> les tentatives d'exécution de l'opération Supprimer un disque sur une banque de données vSAN Direct échouent avec l'erreur VimFault - Impossible de terminer l'opération

  Vous pouvez observer cette erreur lorsque l'un des scénarios suivants se produit:

  • Dans le cadre de l'opération Supprimer un disque, tous les volumes persistants placés sur la banque de données vSAN Direct sont déplacés vers une autre banque de données vSAN Direct sur le même hôte ESXi. Le déplacement peut échouer si aucun espace n'est disponible sur les banques de données vSAN Direct cibles. Pour éviter ce problème, assurez-vous que les banques de données vSAN Direct cibles disposent d'un espace de stockage suffisant pour exécuter des applications.

  • L'opération Supprimer un disque peut également échouer lorsque les banques de données vSAN Direct sur l'hôte ESXi disposent d'un stockage suffisant. Cela peut se produire lorsque l'opération de déplacement du volume persistant sous-jacent générée par l'opération parente Supprimer un disque prend plus de 30 minutes en raison de la taille du volume. Dans ce cas, vous pouvez observer que la reconfiguration de l'espace vSphere sous-jacent reste en cours dans la vue Tâches.

    L'état En cours indique que même si l'opération Supprimer un disque expire et échoue, le déplacement du volume persistant sous-jacent effectué par la reconfiguration de l'espace vSphere n'est pas interrompu.

  Solution :

  une fois la tâche de reconfiguration de l'espace vSphere effectuée, exécutez à nouveau l'opération Supprimer un disque. L'opération Supprimer un disque s'exécute correctement.

• L'extension d'un PVC de cluster superviseur en mode hors ligne ou en ligne n'entraîne pas l'extension d'un PVC de cluster Tanzu Kubernetes correspondant

  Un espace qui utilise le PVC du cluster Tanzu Kubernetes ne peut pas utiliser la capacité étendue du PVC du cluster superviseur, car le système de fichiers n'a pas été redimensionné.

  Solution : Redimensionnez le PVC du cluster Tanzu Kubernetes à une taille égale ou supérieure à celle du PVC du cluster superviseur.

• Non concordance de taille du PVC TKG provisionné statiquement par rapport au volume sous-jacent

  Le provisionnement statique dans Kubernetes ne vérifie pas si les tailles de volume PV et de sauvegarde sont identiques. Si vous créez statiquement un PVC dans un cluster Tanzu Kubernetes et que la taille du PVC est inférieure à la taille du PVC de cluster superviseur sous-jacent correspondant, vous pouvez être en mesure d'utiliser plus d'espace que celui que vous demandez dans le PV. Si la taille du PVC que vous créez statiquement dans le cluster Tanzu Kubernetes est supérieure à la taille du PVC du cluster superviseur sous-jacent, vous risquez d'obtenir l'erreur No space left on device même avant d'avoir épuisé la taille demandée dans le PV du cluster Tanzu Kubernetes.

  Solution :

  1. Dans le PV du cluster Tanzu Kubernetes, modifiez persistentVolumeReclaimPolicy en Retain.

  2. Notez le volumeHandle du PV du cluster Tanzu Kubernetes, puis supprimez le PVC et le PV dans le cluster Tanzu Kubernetes.

  3. Recréez statiquement le PVC et le PV du cluster Tanzu Kubernetes à l'aide du volumeHandle et définissez le stockage sur la même taille que celle du PVC du cluster superviseur correspondant.

• Les tentatives de création d'un PVC à partir d'un espace de noms de superviseur ou d'un cluster TKG échouent si le provisionneur csi.vsphere.vmware.com externe perd son bail pour le choix du leader

  Lorsque vous tentez de créer un PVC à partir d'un espace de noms de superviseur ou d'un cluster TKG à l'aide de la commande kubectl, vos tentatives peuvent échouer. Le PVC reste dans l'état en attente. Si vous décrivez le PVC, le champ Événements affiche les informations suivantes dans une disposition en tableau :

  • Type : Normal

  • Motif : ExternalProvisioning

  • Âge : 56s (x121 over 30m)

  • De : persistentvolume-controller

  • Message : waiting for a volume to be created, either by external provisioner "csi.vsphere.vmware.com" or manually created by system administrator

  Solution :

  1. vérifiez que tous les conteneurs de l'espace vsphere-csi-controller à l'intérieur de l'espace de noms vmware-system-csi sont en cours d'exécution.

     kubectl describe pod vsphere-csi-controller-pod-name -n vmware-system-csi

  2. Vérifiez les journaux du provisionneur externe à l'aide de la commande suivante.

     kubectl logs vsphere-csi-controller-pod-name -n vmware-system-csi -c csi-provisioner

     L'entrée suivante indique que le conteneur de l'en-tête du provisionneur externe a perdu son choix de leader :

     I0817 14:02:59.582663 1 leaderelection.go:263] failed to renew lease vmware-system-csi/csi-vsphere-vmware-com: failed to tryAcquireOrRenew context deadline exceededF0817 14:02:59.685847 1 leader_election.go:169] stopped leading

  3. Supprimez cette instance de vsphere-csi-controller.

     kubectl delete pod vsphere-csi-controller-pod-name -n vmware-system-csi

  Kubernetes créera une nouvelle instance du contrôleur CSI et tous les sidecars seront réinitialisés.

• Toutes les opérations PVC, telles que créer, attacher, détacher ou supprimer un volume, échouent, car CSI ne peut pas se connecter au système vCenter Server

  En plus des échecs d'opération, les informations de santé du volume et le CR du pool de stockage ne peuvent pas être mis à jour dans le cluster superviseur. Les journaux CSI et Syncer affichent des erreurs sur l'impossibilité de se connecter au système vCenter Server.

  CSI se connecte au système vCenter Server en tant qu'utilisateur de solution spécifique. Le mot de passe de cet utilisateur SSO est alterné par wcpsvc toutes les 24 heures et le nouveau mot de passe est transféré dans un secret que le pilote CSI lit pour se connecter au système vCenter Server. Si le nouveau mot de passe ne peut pas être transféré dans un secret, le mot de passe périmé est conservé dans le cluster superviseur et les opérations du pilote CSI échouent.

  Ce problème affecte la plate-forme de persistance des données vSAN et toutes les opérations de volume CSI.

  Solution :

  en général, le service WCP fournit le mot de passe mis à jour à CSI qui s'exécute dans le cluster Kubernetes. Parfois, la livraison du mot de passe échoue en raison d'un problème, par exemple, un problème de connectivité ou une erreur dans une partie antérieure du processus de synchronisation. Le CSI continue d'utiliser l'ancien mot de passe et finit par verrouiller le compte après un trop grand nombre d'échecs d'authentification.

  Assurez-vous que le cluster WCP est dans un état sain et en cours d'exécution. Aucune erreur ne doit être signalée pour ce cluster sur la page Gestion de la charge de travail. Une fois que les problèmes entraînant l'échec de la synchronisation ont été résolus, forcez l'actualisation du mot de passe pour déverrouiller le compte verrouillé.

  Pour forcer la réinitialisation du mot de passe :

  1. Arrêtez wcpsvc :

     vmon-cli -k wcp

  2. Modifiez l'heure de la rotation du dernier mot de passe sur une valeur inférieure, par exemple 1, en modifiant la troisième ligne dans /etc/vmware/wcp/.storageUser sur 1.

  3. Démarrez wcpsvc :

     vmon-cli -i wcp

  wcpsvc réinitialise le mot de passe, ce qui déverrouille le compte et fournit le nouveau mot de passe au cluster.

VMware Tanzu Kubernetes Grid Service for vSphere

• Un cluster Tanzu Kubernetes se bloque à l'état « Mise à jour » après la mise à niveau du cluster superviseur

  Lorsqu'un cluster superviseur est mis à niveau, il peut déclencher une mise à jour continue de tous les clusters Tanzu Kubernetes afin de propager les nouveaux paramètres de configuration. Au cours de ce processus, un cluster TKC précédemment en cours d'exécution peut se bloquer lors de la phase « mise à jour ». Un cluster Tanzu Kubernetes « en cours d'exécution » indique uniquement la disponibilité du plan de contrôle et il est possible que le plan de contrôle et les nœuds Worker requis n'aient pas été créés. Un tel cluster Tanzu Kubernetes peut faire échouer les contrôles de santé qui sont exécutés lors de la mise à jour continue initiée à la fin de la mise à niveau du cluster superviseur. Cela entraîne le blocage du cluster Tanzu Kubernetes dans la phase « mise à jour » et peut être confirmé en examinant les événements sur les ressources KubeadmControlPlane associées au cluster Tanzu Kubernetes. Les événements émis par la ressource seront semblables à celui ci-dessous :

  Warning ControlPlaneUnhealthy 2m15s (x1026 over 5h42m) kubeadm-control-plane-controller Waiting for control plane to pass control plane health check to continue reconciliation: machine's (gc-ns-1597045889305/tkg-cluster-3-control-plane-4bz9r) node (tkg-cluster-3-control-plane-4bz9r) was not checked

  Solution : aucune.

• Le cluster Tanzu Kubernetes continue d'accéder à la stratégie de stockage supprimée

  Lorsqu'un administrateur VI supprime une classe de stockage dans l'espace de noms vCenter Server, l'accès à cette classe de stockage n'est pas supprimé pour les clusters Tanzu Kubernetes qui l'utilisent déjà.

  Solution :

  1. en tant qu'administrateur VI, après la suppression d'une classe de stockage de l'espace de noms vCenter Server, créez une nouvelle stratégie de stockage avec le même nom.

  2. Ajoutez à nouveau la stratégie de stockage existante ou celle que vous venez de recréer à l'espace de noms de superviseur. Les instances de TanzuKubernetesCluster utilisant cette classe de stockage doivent désormais être entièrement opérationnelles.

  3. Pour chaque ressource de TanzuKubernetesCluster utilisant la classe de stockage que vous souhaitez supprimer, créez une nouvelle instance de TanzuKubernetesCluster à l'aide d'une classe de stockage différente et utilisez Velero pour migrer les charges de travail dans le nouveau cluster.

  4. Lorsque plus aucun TanzuKubernetesCluster ou PersistentVolume n'utilise la classe de stockage, celle-ci peut être supprimée en toute sécurité.

• Le certificat SSL du registre du conteneur intégré n'est pas copié sur les nœuds du cluster Tanzu Kubernetes

  Lorsque le registre du conteneur intégré est activé pour un cluster superviseur, le certificat SSL Harbor n'est pas inclus dans les nœuds du cluster Tanzu Kubernetes créés sur ce cluster superviseur, et vous ne pouvez pas vous connecter au registre à partir de ces nœuds.

  Solution : copiez et collez le certificat SSL depuis le plan de contrôle du cluster superviseur sur les nœuds worker du cluster Tanzu Kubernetes.

• Les images de machine virtuelle ne sont pas disponibles dans la bibliothèque de contenu.

  Lorsque plusieurs instances de vCenter Server sont configurées en mode Embedded Linked Mode, l'interface utilisateur permet à l'utilisateur de sélectionner une bibliothèque de contenu créée sur une instance différente de vCenter Server. Si vous sélectionnez une bibliothèque de ce type, les utilisateurs DevOps ne disposeront plus des images de machine virtuelle pour provisionner le cluster Tanzu Kubernetes. Dans ce cas, « kubectl Get virtualmachineimages » ne renvoie aucun résultat.

  Solution : lorsque vous associez une bibliothèque de contenu au cluster superviseur pour les images de machine virtuelle du cluster Tanzu Kubernetes, choisissez une bibliothèque créée dans la même instance de vCenter Server dans laquelle réside le cluster superviseur. Vous pouvez également créer une bibliothèque de contenu locale qui prend également en charge le provisionnement dans un emplacement isolé des clusters Tanzu Kubernetes.

• Vous ne pouvez pas provisionner de nouveaux clusters Tanzu Kubernetes ou monter en charge des clusters existants, car l'abonné de la bibliothèque de contenu ne peut pas se synchroniser avec l'éditeur.

  Lorsque vous configurez une bibliothèque de contenu avec abonnement pour les OVA de cluster Tanzu Kubernetes, un certificat SSL est généré et vous êtes invité à l'approuver manuellement en confirmant son empreinte numérique. Si le certificat SSL est modifié après la configuration initiale de la bibliothèque, le nouveau certificat doit être de nouveau approuvé en mettant à jour l'empreinte numérique.

  Modifiez les paramètres de la bibliothèque de contenu avec abonnement. Cela lancera une sonde de l'URL d'abonnement, même si aucune modification n'est demandée sur la bibliothèque. La sonde détecte que le certificat SSL n'est pas approuvé et vous invite à l'approuver.

• Tanzu Kubernetes version 1.16.8 est incompatible avec vCenter Server 7.0 Update 1.

  Tanzu Kubernetes version 1.16.8 est incompatible avec vCenter Server 7.0 Update 1. Vous devez mettre à jour les clusters Tanzu Kubernetes vers une version ultérieure avant d'effectuer une mise à jour des espaces de noms vSphere vers la version U1.

  Avant d'effectuer une mise à jour des espaces de noms vSphere vers vCenter Server 7.0 Update 1, mettez à jour chaque cluster Tanzu Kubernetes exécutant la version 1.16.8 vers une version ultérieure. Pour plus d'informations, reportez-vous à la Liste des versions de Tanzu Kubernetes dans la documentation.

• Après la mise à niveau du plan de contrôle de la charge de travail vers vCenter Server 7.0 Update 1, les nouvelles tailles de classe de machine virtuelle ne sont pas disponibles.

  Description : après la mise à niveau vers vSphere 7.0.1 et l'exécution d'une mise à jour des espaces de noms vSphere du cluster superviseur, l'exécution de la commande « kubectl get virtualmachineclasses » pour les clusters Tanzu Kubernetes ne répertorie pas les nouvelles tailles de classe de machine virtuelle (2x-large, 4x-large, 8x-large).

  Solution : aucune. Les nouvelles tailles de classe de machine virtuelle peuvent uniquement être utilisées avec une nouvelle installation du plan de contrôle de la charge de travail.

• Expiration du délai lorsque Tanzu Kubernetes version 1.17.11 vmware.1-tkg.1 tente de se connecter au serveur DNS du cluster avec le CNI Calico.

  Tanzu Kubernetes version 1.17.11+vmware.1-tkg.1 présente un problème de noyau Photon OS qui empêche l'image de fonctionner comme prévu avec le CNI Calico.

  Solution : pour Tanzu Kubernetes version 1.17.11, l'image identifiée sous la forme « v1.17.11+vmware.1-tkg.2.ad3d374.516 » résout le problème avec Calico. Pour exécuter Kubernetes 1.17.11, utilisez cette version au lieu de la version « v1.17.11+vmware.1-tkg.1.15f1e18.489 ». Vous pouvez également utiliser une autre version de Tanzu Kubernetes, telle que la version 1.18.5, 1.17.8 ou 1.16.14.

• Lorsque la mise en réseau de vSphere with Tanzu est configurée avec NSX-T Data Center, la mise à jour d'un service « ExternalTrafficPolicy: Local » vers « ExternalTrafficPolicy: Cluster » rendra l'adresse IP de l'équilibrage de charge de ce service inaccessible aux maîtres SV.

  Lorsqu'un service Kubernetes de type LoadBalancer est initialement créé dans des clusters de charge de travail avec ExternalTrafficPolicy: Local, puis mis à jour ultérieurement vers ExternalTrafficPolicy: Cluster, l'accès à l'adresse IP loadBalancer de ce service sur les machines virtuelles du cluster superviseur est abandonné.

  Solution : Supprimez le service et recréez-le avec ExternalTrafficPolicy: Cluster.

• Utilisation élevée du CPU sur les nœuds du plan de contrôle du cluster Tanzu Kubernetes

  Un problème connu existe dans le projet Kubernetes en amont au cours duquel kube-controller-manager entre parfois en boucle, ce qui entraîne une utilisation élevée du CPU et peut affecter la fonctionnalité des clusters Tanzu Kubernetes. Vous remarquerez peut-être que le processus kube-controller-manager consomme une quantité de CPU supérieure à la quantité prévue et produit des journaux répétés indiquant failed for updating Node.Spec.PodCIDRs.

  Solution : supprimez l'espace kube-controller-manager qui se trouve dans le nœud du plan de contrôle avec ce problème. L'espace sera recréé et le problème ne doit plus se reproduire.

• Vous ne pouvez pas mettre à jour les clusters Tanzu Kubernetes créés avec K8s 1.16 vers la version 1.19

  Le fichier de configuration de Kubelet est généré lors de l'exécution de kubeadm init, puis répliqué lors des mises à niveau du cluster. Dans la version 1.16, kubeadm init génère un fichier config qui définit resolvConf sur /etc/resolv.conf qui est ensuite remplacé par un indicateur de ligne de commande --resolv-conf pointant vers /run/systemd/resolve/resolv.conf. Dans les versions 1.17 et 1.18, kubeadm continue de configurer Kubelet avec l'indicateur --resolv-conf approprié. Dans la version 1.19, kubeadm ne configure plus l'indicateur de ligne de commande et utilise plutôt le fichier de configuration Kubelet. En raison du processus de réplication lors des mises à niveau des clusters, un cluster 1.19 mis à niveau à partir de la version 1.16 inclura un fichier config dans lequel resolvConf vers /etc/resolv.conf au lieu de /run/systemd/resolve/resolv.conf.

  Solution : avant de mettre à niveau un cluster Tanzu Kubernetes vers la version 1.19, reconfigurez le fichier de configuration Kubelet pour qu'il pointe vers le fichier resolv.conf correct. Dupliquez manuellement le ConfigMap kubelet-config-1.18 vers kubelet-config-1.19 dans l'espace de noms kube-system, puis modifiez les données du nouveau ConfigMap's pour qu'elles pointent vers resolvConf sur /run/systemd/resolve/resolv.conf.

• Lorsque la mise en réseau du cluster superviseur est configurée avec NSX-T, après la mise à jour d'un service à partir de « ExternalTrafficPolicy: Local » vers « ExternalTrafficPolicy: Cluster », les demandes envoyées aux nœuds du plan de contrôle du cluster superviseur à l'adresse IP de l'équilibrage de charge de ce service échouent

  Lorsque vous créez un service sur un cluster Tanzu Kubernetes avec ExternalTrafficPolicy: Local et que vous mettez à jour ultérieurement le service vers ExternalTrafficPolicy: Cluster, kube-proxy crée une règle de table IP de manière incorrecte sur les nœuds du plan de contrôle du cluster superviseur pour bloquer le trafic destiné à l'adresse IP de l'équilibrage de charge du service. Par exemple, si ce service dispose de l'adresse IP 192.182.40.4 de l'équilibrage de charge, la règle de table IP suivante est créée sur l'un des nœuds du plan de contrôle :

  -A KUBE-SERVICES -d 192.182.40.4/32 -p tcp -m comment --comment "antrea-17-171/antrea-17-171-c1-2bfcfe5d9a0cdea4de6eb has no endpoints" -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable

  Par conséquent, l'accès à cette adresse IP est abandonné.

  Solution : supprimez le service et recréez-le avec ExternalTrafficPolicy: Cluster.

• Après avoir activé les paramètres de proxy HTTP et/ou d'approbation dans la spécification TkgServiceConfiguration, tous les clusters préexistants sans paramètres de proxy/d'approbation hériteront des paramètres de proxy/d'approbation globaux lors de leur mise à jour.

  Vous pouvez modifier la spécification TkgServiceConfiguration pour configurer le service TKG, notamment en spécifiant le CNI par défaut, le proxy HTTP et les certificats d'approbation. Toutes les modifications de configuration apportées à la spécification TkgServiceConfiguration s'appliquent globalement aux clusters Tanzu Kubernetes provisionnés ou mis à jour par ce service. Vous ne pouvez pas ignorer la configuration globale à l'aide de paramètres définis pour chaque cluster.

  Par exemple, si vous modifiez la spécification TkgServiceConfiguration et activez un proxy HTTP, tous les nouveaux clusters provisionnés par ce cluster héritent de ces paramètres de proxy. Tous les clusters préexistants sans serveur proxy héritent également de la configuration du proxy global lorsque le cluster est modifié ou mis à jour. Dans le cas d'un proxy HTTP/S qui prend en charge la configuration par cluster, vous pouvez mettre à jour la spécification de cluster avec un serveur proxy différent, mais vous ne pouvez pas supprimer le paramètre de proxy global. Si le proxy HTTP est globalement défini, vous devez l'utiliser ou le remplacer par un serveur proxy différent.

  Solution : remarquez que la spécification TkgServiceConfiguration s'applique globalement. Si vous ne souhaitez pas que tous les clusters utilisent un proxy HTTP, ne l'activez pas au niveau global. Activez-le au niveau du cluster.

• Dans les très grands déploiements de cluster superviseur avec de nombreux clusters et VM Tanzu Kubernetes, les espaces vmop-controller-manager peuvent échouer en raison d'une erreur outOfMemory, ce qui empêche de gérer le cycle de vie des clusters Tanzu Kubernetes

  Dans le cluster superviseur, l'espace vmop-controller-manager est responsable de la gestion du cycle de vie des VM qui constituent les clusters Tanzu Kubernetes. Lorsque le cluster contient un très grand nombre de VM (plus de 850 VM par cluster superviseur), l'espace vmop-controller-manager peut entrer dans une boucle OutOfMemory CrashLoopBackoff. Lorsque cela se produit, la gestion du cycle de vie des clusters Tanzu Kubernetes est interrompue jusqu'à ce que l'espace vmop-controller-manager fonctionne à nouveau.

  Réduisez le nombre total de nœuds worker de cluster Tanzu Kubernetes gérés dans un cluster superviseur en supprimant des clusters ou en réduisant leur taille.

• La mise à niveau d'une version antérieure à la version 6.5 de vSphere vers vSphere 7 with Tanzu peut renvoyer une erreur indiquant que le type PhotonOS n'est pas pris en charge.

  Après la mise à niveau réussie d'un environnement vSphere 6 vers vSphere 7 with Tanzu, la tentative de déploiement d'un cluster Tanzu Kubernetes entraîne un message d'erreur qui indique que PhotonOS n'est « pas pris en charge ». Spécifiquement :

  impossible de créer ou de mettre à jour la VirtualMachine : le Webhook d'admission « default.validating.virtualmachine.vmoperator.vmware.com » a refusé la demande : GuestOS non pris en charge pour osType vmwarePhoton64Guest sur l'image v1.19.7---vmware.1-tkg.1.fc82c41'

  Si vous avez mis à niveau vers vSphere 7 with Tanzu à partir d'une version de vSphere antérieure à vSphere 6.5 (telle que vSphere 6), vous devez vous assurer que le niveau de compatibilité par défaut des VM est défini sur au moins « ESXi 6.5 et versions ultérieures » pour que PhotonOS s'affiche comme un système d'exploitation invité pris en charge. Pour ce faire, sélectionnez le cluster vSphere sur lequel la gestion de la charge de travail est activée, cliquez avec le bouton droit et choisissez Modifier la compatibilité VM par défaut. Sélectionnez « ESXi 6.5 et versions ultérieures ».

• Après le provisionnement d'un cluster Tanzu Kubernetes à l'aide d'une machine virtuelle de petite taille, puis le déploiement d'une charge de travail sur ce cluster, le nœud worker passe à l'état NotReady et une boucle continue de tentatives de réapprovisionnement du nœud.

  Description : sur un petit ou très petit nœud worker pour un cluster, le processus /bin/opm peut consommer une partie excessive de la mémoire de la machine virtuelle, ce qui entraîne une erreur de mémoire insuffisante pour le nœud worker.

  Solution : évitez d'utiliser la classe de machine virtuelle petite ou très petite pour les nœuds worker, même pour le développement éphémère ou les clusters de test. Il est recommandé d'avoir une classe de machine virtuelle minimale pour un nœud worker dans n'importe quel environnement. Pour plus d'informations, reportez-vous aux Classes de machine virtuelle par défaut dans la documentation.

• La synchronisation des versions de Tanzu Kubernetes à partir d'une bibliothèque de contenu abonnée échoue avec le message d'erreur de demande HTTP suivant : « impossible d'authentifier le certificat SSL pour l'hôte wp-content.vmware.com. »

  Description : lorsque vous configurez une bibliothèque de contenu abonnée pour les fichiers OVA du cluster Tanzu Kubernetes, un certificat SSL est généré pour wp-content.vmware.com. Vous êtes invité à approuver manuellement le certificat en confirmant l'empreinte numérique du certificat. Si le certificat SSL est modifié après la configuration initiale de la bibliothèque, le nouveau certificat doit être de nouveau approuvé en mettant à jour l'empreinte numérique. Le certificat SSL actuel de la bibliothèque de contenu expire à la fin du mois de juin 2021. Les clients qui se sont abonnés à wp-content.vmware.com verront leur synchronisation de bibliothèque de contenu échouer et devront mettre à jour l'empreinte numérique en suivant les étapes de la solution. Pour plus d'informations, reportez-vous à l'article de la base de connaissances VMware https://kb.vmware.com/s/article/85268.

  Solution : Ouvrez une session sur vCenter Server au moyen de vSphere Client. Sélectionnez la bibliothèque de contenu abonnée et cliquez sur Modifier les paramètres. Cette action lancera une sonde de l'URL d'abonnement, même si aucune modification n'est demandée sur la bibliothèque. La sonde détecte que le certificat SSL n'est pas approuvé et vous invite à l'approuver. Dans le menu déroulant Actions qui s'affiche, sélectionnez Continuer et l'empreinte digitale est mise à jour. Vous pouvez maintenant procéder à la synchronisation du contenu de la bibliothèque.

• TKGS ne prend pas en charge la modification simultanée de la classe de VM et de la montée en puissance du nœud.

  Les clients peuvent rencontrer des échecs après l'application d'une mise à jour au cluster impliquant à la fois une modification VMClass et une évolutivité verticale des nœuds.

  Modifiez la configuration TKC pour modifier uniquement l'un des deux champs et réappliquez la modification.

• Symptôme : une mise à jour continue inattendue du cluster s'est produite après la mise à jour d'une étiquette ou d'un rejet dans la spécification du cluster.

  Description : lors de l'utilisation de l'API TKGS v1alpha2, la modification du paramètre spec.topology.nodePools[*].labels ou spec.topology.nodePools[*].taints d'un pool de nœuds déclenche une mise à jour continue de ce pool de nœuds.

  Solution : aucune.

• Symptôme : après une mise à jour du cluster, les rejets et étiquettes ajoutés manuellement à un pool de nœuds ne sont plus présents.

  Description : à l'aide de l'API TKGS v1alpha2, lors de la mise à jour d'un cluster, le système ne conserve pas les paramètres spec.topology.nodePools[*].taints et spec.topology.nodePools[*].labels ajoutés manuellement et présents avant la mise à jour.

  Solution : une fois la mise à jour terminée, rajoutez manuellement les champs d'étiquettes et de rejets.

• Symptôme : le cluster Tanzu Kubernetes est bloqué dans une phase de création, car l'une des machines virtuelles du plan de contrôle n'a pas obtenu d'adresse IP.

  Description : le cluster Tanzu Kubernetes est bloqué dans une phase de création, car l'une des machines virtuelles du plan de contrôle n'a pas obtenu d'adresse IP.

  Solution : utilisez Tanzu Kubernetes 1.20.7 ou version ultérieure pour éviter ce problème.

• Symptôme : lors de la création d'un cluster Tanzu Kubernetes, le processus est bloqué dans un état de mise à jour avec la raison « WaitingForNetworkAddress ».

  Description : les machines virtuelles du plan de contrôle et les nœuds worker sont sous tension, mais aucune adresse IP ne leur est attribuée. Cela peut être dû à un manque de mémoire de vmware-tools et à l'absence de redémarrage.

  Solution : ce problème spécifique est résolu dans Tanzu Kubernetes 1.20.7 et versions ultérieures. Vous pouvez également résoudre le problème en augmentant la mémoire de la machine virtuelle. La classe de machine virtuelle best-effort-xsmall fournit uniquement 2 Go de mémoire. Utilisez une classe de machine virtuelle disposant de davantage de mémoire pour déployer des clusters Tanzu Kubernetes.

• Symptôme : les espaces de noms vSphere en libre-service sont bloqués dans l'état « Suppression en cours ».

  Description : après la suppression d'un espace de noms vSphere, le processus est bloqué dans un état « Suppression en cours » pendant plusieurs heures sans progression.

  Solution : utilisez kubectl pour rechercher les objets Kubernetes restants qui n'ont pas encore été supprimés de l'espace de noms. S'il reste des objets liés à kubeadm-control-plane, redémarrez les espaces capi-kubeadm-control-plane-controller-manager. Cette action doit mettre à nouveau en file d'attente les objets à supprimer.

  REMARQUE : il s'agit d'une opération avancée. Contactez le support VMware avant d'effectuer cette opération.

• L'API TKC v1alpha2 ne bloque pas la création de TKC avec une instance de TKr incompatible

  À partir de la version 7.0.3 MP2, les instances de TKr antérieures à la version 1.18.x sont incompatibles, mais l'API TKC permet toujours la création d'instances de TKC avec une version antérieure à la version v1.18.x et ne bloque pas la création d'un objet TKC lorsqu'il est créé avec une instance de TKr incompatible. Ces instances de TKC ne seront jamais créés.

  Supprimez les instances de TKC qui ne sont pas en cours d'exécution et qui ont été créées avec des instances de TKr incompatibles, puis recréez-les avec une version compatible.

Plate-forme de persistance des données vSAN

• Un plug-in d'interface utilisateur vDPP n'est pas déployé dans vSphere Client et un message d'erreur indique que le téléchargement du plug-in a été tenté à partir d'un cluster superviseur qui n'existe plus

  Le problème peut se produire lorsque vous déployez un plug-in d'interface utilisateur vDPP sur un cluster, puis que vous supprimez ce cluster. Cependant, les entrées périmées liées à ce plug-in d'interface utilisateur vDPP restent dans le gestionnaire d'extensions vCenter. Si vous créez ultérieurement un cluster, vos tentatives d'installation de la même version du plug-in d'interface utilisateur vDPP sur ce cluster échouent, car vSphere Client utilise les entrées périmées pour télécharger le plug-in à partir de l'ancien cluster inexistant.

  Solution :

  1. accédez au gestionnaire d'extensions vCenter à l'aide de https://vc-ip/mob and et localisez l'extension du plug-in.

  2. Supprimez toutes les entrées ClientInfo et ServerInfo qui contiennent le nom de l'ancien cluster.

  3. Dans le tableau ClientInfo, sélectionnez l'instance de ClientInfo ayant le numéro de version le plus élevé et remplacez son type vsphere-client-remote-backup par vsphere-client-remote.

• Un espace vSphere dans un cluster superviseur reste à l'état d'attente sans l'annotation vm-uuid

  Parfois, un espace peut rester à l'état d'attente pendant un long moment. Cela se produit généralement lorsque vous utilisez une plate-forme de persistance des données vSAN (vDPP, vSAN Data Persistence platform) et peut être dû à une erreur interne ou à des actions de l'utilisateur.

  Lorsque vous utilisez la commande kubectl pour interroger l'instance de l'espace, l'annotation vmware-system-vm-uuid/vmware-system-vm-moid est introuvable dans les annotations de métadonnées.

  Solution : utilisez la commande kubectl delete pod pending_pod_name pour supprimer l'espace. Si l'espace fait partie d'un ensemble avec état, il est automatiquement recréé.

• Une instance d'un service vDPP ne parvient pas à se déployer lorsque les PVC locaux de l'hôte de ses deux espaces de réplica sont liés au même nœud de cluster

  Parfois, une instance d'un service de plate-forme de persistance des données vSAN, tel que MinIO ou Cloudian, peut entrer dans un état lorsque ses deux espaces de réplica disposent de leurs PVC locaux hôtes alloués sur le même nœud de cluster. Normalement, deux réplicas de la même instance ne peuvent disposer d'un stockage local d'hôte sur le même nœud de cluster. Si cela se produit, l'un des espaces de réplica peut rester dans un état d'attente pendant une durée indéfinie, ce qui entraîne des échecs de déploiement de l'instance.

  Les symptômes que vous observez pendant les pannes incluent tous les éléments suivants :

  • La santé de l'instance est jaune.

  • Au moins un espace de l'instance reste dans un état en attente pendant plus de 10 minutes.

  • L'espace en attente et l'un des espaces de réplica en cours d'exécution de la même instance ont leur PVC local hôte alloué sur le même nœud du cluster.

  Les scénarios d'échec pouvant entraîner ce problème sont les suivants :

  • Certains nœuds du cluster ne disposent pas de ressources de stockage suffisantes pour l'instance.

  • Le nombre de réplicas est supérieur au nombre de nœuds dans le cluster. Cela peut être dû au fait qu'un ou plusieurs nœuds sont temporairement indisponibles.

  Solution :

  1. Assurez-vous que votre cluster dispose de suffisamment de ressources de stockage et que le nombre de nœuds de cluster est supérieur au nombre de réplicas d'instance.

  2. Supprimez l'espace en attente et tous ses PVC locaux d'hôte.

  L'opérateur de service doit recréer les données de volume sur le nouveau nœud sur lequel l'espace est planifié. Cela peut prendre un certain temps, en fonction de la taille du volume et de la quantité de données valides sur celui-ci.

• Après qu'un nœud ESXi a quitté la maintenance en mode Assurer l'accessibilité, le rejet appliqué au nœud pendant la maintenance peut toujours persister sur le nœud

  Ce problème peut survenir lorsque vous utilisez la plate-forme de persistance des données vSAN (vDPP, vSAN Data Persistence Platform) pour créer des instances de services de partenaires. Après que le nœud ESXi a quitté la maintenance en mode Assurer l'accessibilité, vous pouvez toujours trouver le rejet persistant node.vmware.com/drain=planned-downtime:NoSchedule sur le nœud.

  En général, le problème se produit lors de ces actions :

  1. Un service de partenaires est activé sur le cluster superviseur et les instances du service sont créées.

  2. Un nœud ESXi est placé en maintenance en mode Assurer l'accessibilité.

  3. Le nœud passe sans problème en mode de maintenance, en mode Assurer l'accessibilité.

  4. Le rejet node.vmware.com/drain=planned-downtime:NoSchedule est appliqué sur le nœud.

  5. Le nœud quitte le mode de maintenance.

  Une fois que le nœud a quitté le mode de maintenance, utilisez la commande suivante pour vous assurer qu'il ne reste aucun rejet sur le nœud :

  kubectl describe node | grep Taints

  Solution :

  si le rejet node.vmware.com/drain=planned-downtime:NoSchedule est présent sur l'hôte, supprimez-le manuellement :

  kubectl taint nodes nodeNamekey=value:Effect-

  Remarque : n'oubliez pas d'inclure un trait d'union à la fin de la commande.

  Suivez cet exemple :

  kubectl taint nodes wdc-10-123-123-1.eng.vmware.com node.vmware.com/drain=planned-downtime:NoSchedule-

• Après une récupération APD, les espaces de service persistants qui s'exécutent sur la plate-forme de persistance des données vSAN peuvent rester dans un état d'attente avec des erreurs AttachVolume

  Après le protocole ADP et la récupération des hôtes ESXi, un espace de l'instance de service vDPP peut rester dans l'état d'attente. Si vous exécutez la commande kubectl -n instance_namespace describe pod name_of_pod_in_pending, vous pouvez voir les erreurs AttachVolume.

  Si l'espace reste dans l'état d'attente plus de 15 minutes, il est peu probable qu'il sorte de cet état.

  Solution : supprimez l'espace en attente à l'aide de la commande suivante : kubectl -n instance_namespace delete pod name_of_pod_in_pending. L'espace est recréé et doit passer à l'état d'exécution.

Service de VM

• <span style="color:#FF0000">NEW:</span> Les tentatives de déploiement d'un espace vSphere et d'une machine virtuelle de service de VM portant le même nom provoquent des erreurs et un comportement imprévisible

  Vous pouvez observer des échecs et des erreurs, ou d'autres comportements problématiques. Vous pouvez rencontrer ces problèmes lorsqu'un espace vSphere s'exécute dans un espace de noms et que vous tentez de déployer une machine virtuelle de service de VM avec le même nom dans le même espace de noms, ou inversement.

  Solution : n'utilisez pas les mêmes noms pour les espaces et les machines virtuelles vSphere dans le même espace de noms.

• Un ensemble limité d'images de VM est disponible pour l'utilisation avec le service de VM

  Lors d'une tentative d'utilisation d'une image de VM qui n'est pas compatible avec le service de VM, le message suivant s'affiche lors de la création de la VM

  Error from server (GuestOS not supported for osType on image or VMImage is not compatible with v1alpha1 or is not a TKG Image): error when creating : admission webhook "default.validating.virtualmachine.vmoperator.vmware.com" denied the request: GuestOS not supported for osType on image or VMImage is not compatible with v1alpha1 or is not a TKG Image

  Solution : utilisez uniquement les images de VM provenant de VMware Marketplace qui ont été validées pour fonctionner avec le service de VM.

• Les images de machine virtuelle dont les noms ne sont pas conformes à DNS ne peuvent pas être utilisées

  Si le nom d'une image OVF dans une bibliothèque de contenu n'est pas conforme au nom de sous-domaine DNS, le service de VM ne créera pas d'image VirtualMachineImage à partir de l'image OVF. Par conséquent, kubectl get vmimage ne listera pas les images dans un espace de noms et les développeurs ne pourront pas utiliser cette image.

  Solution : Utilisez des noms conformes aux noms de sous-domaine DNS pour les images OVF.

• Les images OVF en double n'apparaissent pas en tant qu'images VirtualMachineImages dupliquées

  Les images OVF avec le même nom dans différentes bibliothèques de contenu ne s'affichent pas comme des images VirtualMachineImages différentes

  Solution : Utilisez des noms uniques pour les images OVF dans les bibliothèques de contenu configurées avec le service de VM.

• Les VM créées par le service de VM n'autorisent pas l'accès au Web ou à la console distante

  Les machines virtuelles créées par le service VM n'autorisent pas l'accès à la console distante. Par conséquent, les administrateurs ne peuvent pas se connecter à la machine virtuelle à l'aide des options Lancer la console Web et Lancer Remote Console de vSphere Web Client.

  Solution : les administrateurs peuvent accéder à la console de la VM en se connectant à l'hôte ESXi sur lequel se trouve la VM.

• Les machines virtuelles avec vGPU et périphériques de relais qui sont gérées par le service de VM sont mises hors tension lorsque l'hôte ESXi passe en mode de maintenance

  Le service de VM permet aux ingénieurs DevOps de créer des machines virtuelles attachées à des vGPU ou à des périphériques de relais. Normalement, lorsqu'un hôte ESXi passe en mode de maintenance, DRS génère une recommandation pour de telles machines virtuelles qui s'exécutent sur l'hôte. Un administrateur vSphere peut ensuite accepter la recommandation de déclencher vMotion.

  Cependant, les machines virtuelles avec vGPU et périphériques de relais qui sont gérées par le service de VM sont automatiquement mises hors tension. Cela peut affecter temporairement les charges de travail s'exécutant dans ces machines virtuelles. Les machines virtuelles sont automatiquement mises sous tension dès que l'hôte sort du mode de maintenance.

  Solution : aucune.