Découvrez comment configurer les paramètres de proxy HTTP sur les clusters de Superviseur et TKG, et quel est le workflow de configuration d'un proxy lorsque vous enregistrez les clusters de Superviseur et TKG dans Tanzu Mission Control.

Vous pouvez configurer un proxy sur le Superviseur via vSphere Client, l'API de gestion de cluster ou les commandes DCLI. Vous pouvez utiliser un proxy si vous devez gérer le trafic de conteneur ou l'extraction d'images à partir de réseaux externes au Superviseur. Pour les Superviseurs sur site que vous enregistrez en tant que clusters de gestion dans Tanzu Mission Control, vous utilisez un proxy HTTP pour l'extraction d'images et le trafic de conteneur.

Configuration des paramètres de proxy sur les Superviseurs vSphere 7.0 Update 3 et versions ultérieures récemment créés

Pour les Superviseurs récemment créés sur un environnement vSphere 7.0 Update 3 et versions ultérieures, les paramètres de proxy HTTP sont hérités de l'instance de vCenter Server. Que vous créiez les Superviseurs avant ou après avoir configuré les paramètres de proxy HTTP sur vCenter Server, les clusters en héritent.

Consultez la section Configurer les paramètres DNS, d'adresse IP et de proxy pour en savoir plus sur la configuration des paramètres de proxy HTTP sur le système vCenter Server.

Vous pouvez également remplacer la configuration de proxy HTTP héritée sur des Superviseurs individuels via vSphere Client, l'API de gestion de cluster ou la DCLI.

Comme l'héritage des paramètres de proxy vCenter Server est la configuration par défaut des Superviseurs vSphere 7.0.3 nouvellement créés, vous pouvez également utiliser l'API de gestion de cluster ou DCLI pour ne pas hériter des paramètres de proxy HTTP si les Superviseurs n'ont pas besoin d'un proxy, alors que vCenter Server en a toujours besoin.

Configuration des paramètres de proxy sur Superviseurs mis à niveau vers vSphere 7.0 Update 3 et versions ultérieures

Si vous avez mis à niveau vos Superviseurs vers vSphere 7.0 Update 3 et versions ultérieures, les paramètres de proxy HTTP de vCenter Server ne sont pas automatiquement hérités. Dans ce cas, vous configurez les paramètres de proxy des Superviseurs à l'aide de vSphere Client, de l'API vcenter/namespace-management/clusters ou de la ligne de commande DCLI.

Configuration du proxy HTTP pour les clusters TKG dans vSphere IaaS control plane

Utilisez l'une des méthodes suivantes pour configurer un proxy sur vos clusters Tanzu Kubernetes dans vSphere IaaS control plane :
Note : Si vous utilisez Tanzu Mission Control pour gérer vos clusters TKG, vous n'avez pas à configurer les paramètres de proxy via le fichier YAML du cluster dans vSphere IaaS control plane. Vous pouvez configurer les paramètres de proxy lorsque vous ajoutez les clusters TKG en tant que clusters de charge de travail à Tanzu Mission Control.

Configurer le paramètre de proxy HTTP sur le Superviseur à l'aide de vSphere Client

Découvrez comment configurer les paramètres de proxy HTTP sur le Superviseur via vSphere Client. Vous pouvez remplacer les paramètres de proxy hérités de l'instance de vCenter Server sur des Superviseurs individuels ou choisir de ne pas utiliser de paramètres de proxy.

Conditions préalables

  • Vérifiez que vous disposez du privilège Modifier la configuration à l'échelle du cluster sur le cluster.

Procédure

  1. Dans vSphere Client, accédez à Gestion de la charge de travail.
  2. Sous Superviseurs, sélectionnez le Superviseur, puis cliquez sur Configurer.
  3. Sélectionnez Réseau, développez Configuration du proxy et cliquez sur Modifier.
  4. Sélectionnez Configurer les paramètres du proxy sur le superviseur et entrez les paramètres de proxy.
    Option Description
    Certificat TLS Bundle d'autorité de certification racine TLS du proxy qui est utilisé pour vérifier les certificats du proxy. Entrez le bundle en texte brut.
    Hôtes et adresses IP exclus du proxy Liste séparée par des virgules d'adresses IPv4, de noms de domaine complets ou de noms de domaine n'ayant pas besoin du serveur proxy et qui sont accessibles directement.
    Configuration HTTPS Paramètres HTTPS tels que l'URL, le port, le nom d'utilisateur et le mot de passe.
    Configuration HTTP Paramètres HTTP tels que l'URL, le port, le nom d'utilisateur et le mot de passe.
  5. Cliquez sur OK.

Résultats

Les paramètres de proxy que vous avez configurés sur ce Superviseur remplacent les paramètres hérités de l'instance de vCenter Server.

Utilisation de l'API de gestion de cluster ou de la DCLI pour configurer le proxy HTTP sur les Superviseurs

Vous pouvez configurer les paramètres de proxy du Superviseur via l'API vcenter/namespace-management/clusters ou la DCLI.

L'API fournit trois options pour la configuration du proxy sur le Superviseur :

Paramètre de l'API

Superviseurs vSphere 7.0.3 et versions ultérieures récemment créés

Superviseurs mis à niveau vers vSphere 7.0.3 et versions ultérieures

VC_INHERITED Il s'agit du paramètre par défaut pour les nouveaux Superviseurs et vous n'avez pas besoin d'utiliser l'API pour configurer les paramètres de proxy des Superviseurs. Vous pouvez simplement configurer les paramètres de proxy sur vCenter Server via son interface de gestion. Utilisez ce paramètre pour transférer la configuration du proxy HTTP vers les Superviseurs mis à niveau vers vSphere 7.0.3 et versions ultérieures.
CLUSTER_CONFIGURED

Utilisez ce paramètre pour remplacer la configuration de proxy HTTP héritée de vCenter Server dans l'un des cas suivants :

  • Un Superviseur réside sur un sous-réseau différent celui de vCenter Server et un serveur proxy différent est requis.
  • Le serveur proxy utilise des bundles d'autorité de certification personnalisés.

Utilisez ce paramètre pour configurer le proxy HTTP sur des Superviseurs individuels mis à niveau vers vSphere 7.0.3 et versions ultérieures dans l'un des cas suivants :

  • Vous ne pouvez pas utiliser le proxy vCenter Server, car Superviseur réside sur un sous-réseau différent de celui de vCenter Server et un serveur proxy différent est requis.
  • Le serveur proxy utilise des bundles d'autorité de certification personnalisés.
NONE Utilisez ce paramètre lorsque Superviseur dispose d'une connectivité directe à Internet alors que vCenter Server nécessite un proxy. Les paramètres NONE empêchent les paramètres de proxy de vCenter Server d'être hérités par Superviseurs.

Pour définir un proxy HTTP sur un Superviseur ou modifier les paramètres existants, utilisez les commandes suivantes dans une session SSH avec vCenter Server :

vc_address=<IP address>
cluster_id=domain-c<number>
session_id=$(curl -ksX POST --user '<SSO user name>:<password>' https://$vc_address/api/session | xargs -t)
curl -k -X PATCH -H "vmware-api-session-id: $session_id" -H "Content-Type: application/json" -d '{ "cluster_proxy_config": { "proxy_settings_source": "CLUSTER_CONFIGURED", "http_proxy_config":"<proxy_url>" } }' https://$vc_address/api/vcenter/namespace-management/clusters/$cluster_id

Il vous suffit de transmettre domain_c<number> à partir de l'ID de cluster complet. Par exemple, prenez domain-c50 à partir de l'ID de cluster suivant : ClusterComputeResource:domain-c50:5bbb510f-759f-4e43-96bd-97fd703b4edb.

Lorsque vous utilisez les paramètres VC_INHERITED ou NONE, omettez "http_proxy_config:<proxy_url>" dans la commande.

Pour utiliser un bundle d'autorité de certification personnalisé, ajoutez "tlsRootCaBundle": "<TLS_certificate> à la commande en fournissant le certificat d'autorité de certification TSL en texte brut.

Pour les paramètres de proxy HTTPS, vous pouvez utiliser la commande suivante :
curl -k -X PATCH -H "vmware-api-session-id: $session_id" 
-H "Content-Type: application/json" -d '{ "cluster_proxy_config": 
{ "proxy_settings_source": "CLUSTER_CONFIGURED", "https_proxy_config":"<proxy_url>" } }' 
https://$vc_address/api/vcenter/namespace-management/clusters/$cluster_id

Utilisation de DCLI pour configurer les paramètres de proxy HTTP sur Superviseurs

Vous pouvez utiliser la commande DCLI suivante pour configurer les paramètres de proxy HTTP pour Superviseurs à l'aide du paramètre CLUSTER_CONFIGURED.

<dcli> namespacemanagement clusters update --cluster domain-c57 --cluster-proxy-config-http-proxy-config <proxy URL> --cluster-proxy-config-https-proxy-config <proxy URL> --cluster-proxy-config-proxy-settings-source CLUSTER_CONFIGURED

Configuration des paramètres de proxy HTTP sur les clusters de Superviseur et TKG pour Tanzu Mission Control

Pour configurer un proxy HTTP sur Superviseurs que vous souhaitez enregistrer en tant que clusters de gestion dans Tanzu Mission Control, procédez comme suit :

  1. Dans vSphere, configurez le proxy HTTP sur Superviseurs en héritant les paramètres de proxy HTTP de vCenter Server ou en configurant les paramètres de proxy sur des Superviseurs individuels via vSphere Client, les API des clusters de gestion d'espaces de noms ou la ligne de commande DCLI.
  2. Dans Tanzu Mission Control, créez un objet de configuration de proxy à l'aide des paramètres de proxy que vous avez configurés sur les Superviseurs dans vSphere IaaS control plane. Consultez la section Créer un objet de configuration de proxy pour un cluster Tanzu Kubernetes Grid Service.
  3. Dans Tanzu Mission Control, utilisez cet objet de configuration de proxy lorsque vous enregistrez les Superviseurs en tant que cluster de gestion. Consultez la section Enregistrer un cluster de gestion dans Tanzu Mission Control et Effectuer l'enregistrement d'un cluster superviseur.

Pour configurer un proxy HTTP pour les clusters TKG que vous provisionnez ou ajoutez en tant que clusters de charge de travail dans Tanzu Mission Control :

  1. Créez un objet de configuration de proxy avec les paramètres de proxy que vous souhaitez utiliser avec les clusters Tanzu Kubernetes. Consultez la section Créer un objet de configuration de proxy pour un cluster Tanzu Kubernetes Grid Service.
  2. Utilisez cet objet de configuration de proxy lorsque vous provisionnez ou ajoutez des clusters Tanzu Kubernetes en tant que clusters de charge de travail. Consultez les sections Provisionner un cluster et Ajouter un cluster de charge de travail dans la gestion de Tanzu Mission Control.