プロキシ サーバの許可リスト
インターネットが制限されているが物理的にエアギャップされていない環境に Tanzu Kubernetes Grid (TKG) をインストールして実行するには、次の 2 つのオプションを使用できます。
- TKG のサブネットから、TKG コンポーネントのコンテナ イメージである TKG イメージのオンライン ソースへのアクセスを許可するように、プロキシ サーバとファイアウォールを構成する。
- すべての TKG イメージのオフライン コピーを作成する。
このトピックでは、上記の最初のオプションを使用する場合に、プロキシ サーバ(レイヤー 7)が Tanzu Kubernetes Grid を有効にするために許可する必要があるドメインを一覧表示します。また、オフラインでイメージをコピーして使用するための 2 番目のオプションの代替方法も一覧表示します。
Tanzu Kubernetes Grid で必要なポートおよびプロトコル ファイアウォール(レイヤー 4)ルールについては、「Tanzu Kubernetes Grid のファイアウォール ルール」を参照してください。
エアギャップされた環境またはインターネットが制限された環境に Tanzu Kubernetes Grid をインストールする方法については、「インターネットが制限された環境の準備」を参照してください。
許可するドメイン
プロキシ サーバの許可リストに次のドメインを追加して、Tanzu Kubernetes Grid をインストールし、ワークロード クラスタのプロビジョニングを有効にします。
| ドメイン | レジストリ | 目的 |
|---|---|---|
|
VMware プラグイン レジストリ、Tanzu Standard パッケージ リポジトリ | VMware プラグイン レジストリは、Tanzu CLI がクラスタの作成やアクセスの管理などの主要な機能を実行するために使用するイメージ、バイナリ、および構成ファイルをホストします。 Tanzu Standard パッケージ リポジトリは、Tanzu CLI がクラスタにインストールするパッケージ サービスのイメージを保存します。 |
|
VMware OCI イメージ レジストリ | Harbor を使用して、TKG が管理クラスタおよびワークロード クラスタをブートストラップするために使用するイメージをホストします。このレジストリ内のイメージは脆弱性についてスキャンされ、すべての環境で安全に操作できます。 |
環境固有およびインフラストラクチャ固有のレジストリ。次に例を示します。
|
||
許可リストへの登録の代替方法
上記のドメインを許可する代わりに、次のようにイメージをオフラインでコピーできます。
-
すべてのイメージ:「インターネットが制限された環境の準備」で説明されているイメージ コピー スクリプトを実行します。
-
VMware プラグイン レジストリのイメージ:インターネットに接続されたブートストラップ マシンから
tanzu plugin syncを実行し、その$HOME/.tkgフォルダをインターネットが制限されたマシンに転送します。 -
Docker Hub イメージ:ytt ツールを使用して、パッケージ ソース レジストリを独自のプライベート Docker レジストリまたは Helm Artifact Hub に変更します。
