This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

構成ファイル変数リファレンス

このリファレンスには、Tanzu CLI にクラスタ構成オプションを提供するために指定できる、すべての変数が一覧表示されています。

これらの変数を YAML 構成ファイルに設定するには、コロン (:) と変数の値の間にスペースを残します。例:

CLUSTER_NAME: my-cluster

構成ファイル内の行の順序は関係ありません。オプションはここにアルファベット順に表示されます。また、「構成値の優先順位」セクションも参照してください。

すべてのターゲット プラットフォームの共通変数

このセクションでは、すべてのターゲット プラットフォームに共通する変数を一覧表示します。これらの変数は、管理クラスタ、ワークロード クラスタ、またはその両方に適用できます。詳細については、「管理クラスタ構成ファイルの作成」の「基本的な管理クラスタの作成情報の構成」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
APISERVER_EVENT_RATE_LIMIT_CONF_BASE64 クラスベースのクラスタのみ。EventRateLimit アドミッション コントローラを有効にして構成し、Kubernetes API サーバへのトラフィックを中程度にします。このプロパティを設定するには、Kubernetes ドキュメントの説明に従って EventRateLimit 構成ファイル config.yaml を作成し、base64 -w 0 config.yaml を実行して文字列値に変換します。
CAPBK_BOOTSTRAP_TOKEN_TTL オプション。デフォルトは 15m(15 分)です。クラスタの初期化操作中に kubeadm によって使用されるブートストラップ トークンの TTL 値です。
CLUSTER_API_SERVER_PORT オプション。デフォルトは 6443 です。NSX Advanced Load Balancer (vSphere) を有効にすると、この変数は無視されます。NSX Advanced Load Balancer を使用する展開のデフォルトの Kubernetes API サーバ ポートをオーバーライドするには、VSPHERE_CONTROL_PLANE_ENDPOINT_PORT を設定します。
CLUSTER_CIDR オプション。デフォルトは 100.96.0.0/11 です。ポッドに使用する CIDR 範囲。デフォルトの値は、デフォルトの範囲が使用できない場合にのみ変更してください。
CLUSTER_NAME この名前は、RFC 952 で概説され、RFC 1123 で修正された DNS ホスト名の要件に準拠する必要があり、42 文字以下である必要があります。
ワークロード クラスタの場合、この設定は、tanzu cluster create に渡される CLUSTER_NAME 引数によってオーバーライドされます。
管理クラスタの場合、CLUSTER_NAME を指定しないと、一意の名前が生成されます。
CLUSTER_PLAN 必須devprod、または新しいプラン nginx で例示されているカスタム プランに設定します。
dev プランは、単一の制御プレーン ノードを持つクラスタを展開します。prod プランは、3 台の制御プレーン ノードを持つ高可用性クラスタを展開します。
CNI オプション。デフォルトは antrea です。コンテナ ネットワーク インターフェイスです。管理クラスタのデフォルト値はオーバーライドしないでください。ワークロード クラスタの場合は、CNIantreacalico、または none に設定できます。calico オプションは、Windows ではサポートされていません。詳細については、「デフォルトでない CNI を使用したクラスタの展開」を参照してください。Antrea 構成をカスタマイズする場合は、「Antrea CNI 構成」を参照してください。
CONTROLPLANE_CERTIFICATE_ROTATION_ENABLED オプション。デフォルトは false です。制御プレーン ノードの仮想マシン証明書を期限切れになる前に自動更新する場合は、true に設定します。詳細については、「制御プレーン ノード証明書の自動更新」を参照してください。
CONTROLPLANE_CERTIFICATE_ROTATION_DAYS_BEFORE オプション。デフォルトは 90 です。CONTROLPLANE_CERTIFICATE_ROTATION_ENABLEDtrue の場合は、証明書の有効期限が切れるまでの日数を設定して、クラスタ ノードの証明書を自動的に更新します。詳細については、「制御プレーン ノード証明書の自動更新」を参照してください。
ENABLE_AUDIT_LOGGING オプション。デフォルトは false です。Kubernetes API サーバの監査ログです。監査ログを有効にするには、true に設定します。Tanzu Kubernetes Grid は、これらのログを /var/log/kubernetes/audit.log に書き込みます。詳細については、「監査ログの記録」を参照してください。
Kubernetes 監査を有効にすると、ログの量が非常に多くなる可能性があります。この量を処理するために、VMware では Fluent Bit などのログ フォワーダを使用することをお勧めします。
ENABLE_AUTOSCALER オプション。デフォルトは false です。true に設定する場合は、「クラスタ オートスケーラ」の表にある追加の変数を設定する必要があります。
ENABLE_CEIP_PARTICIPATION オプション。デフォルトは true です。false に設定すると、VMware カスタマー エクスペリエンス向上プログラムからオプトアウトします。また、管理クラスタの展開後にプログラムをオプトインまたはオプトアウトすることもできます。詳細については、「CEIP への参加の管理」の「VMware CEIP のオプトインまたはオプトアウト」、および「カスタマ エクスペリエンス改善プログラム (CEIP)」を参照してください。
ENABLE_DEFAULT_STORAGE_CLASS オプション。デフォルトは true です。ストレージ クラスの詳細については、「動的ストレージ」を参照してください。
ENABLE_MHC など オプション。MHC 変数の完全なセットとその仕組みについては、「マシンの健全性チェック」を参照してください。
vSphere with Tanzu によって作成されたワークロード クラスタの場合は、ENABLE_MHCfalse に設定します。
IDENTITY_MANAGEMENT_TYPE オプション。デフォルトは none です。

管理クラスタの場合:oidc または ldap を、ID プロバイダ(OIDC および LDAP)の表に記載されているように、必要な追加の OIDC または LDAP 設定とともに設定して、有効にします。
ID 管理を無効にするには、省略するか、none を設定します。本番環境では ID 管理を有効にすることを強くお勧めします。
ワークロード クラスタの構成ファイルでは、OIDC または LDAP 設定を構成する必要はありません。

INFRASTRUCTURE_PROVIDER 必須vsphereawsazure、または tkg-service-vsphere に設定します。
NAMESPACE オプション。デフォルトは default で、ワークロード クラスタを default という名前の名前空間に展開します。
SERVICE_CIDR オプション。デフォルトは 100.64.0.0/13 です。Kubernetes サービスに使用する CIDR 範囲。この値は、デフォルトの範囲が使用できない場合にのみ変更してください。

ID プロバイダ - OIDC

IDENTITY_MANAGEMENT_TYPE: oidc を設定する場合は、OIDC ID プロバイダを構成するために次の変数を設定します。詳細については、「管理クラスタ構成ファイルの作成」の「ID 管理の構成」を参照してください。

Tanzu Kubernetes Grid は、「ID とアクセス管理について」で説明されているように、Pinniped を使用して OIDC と統合します。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
CERT_DURATION オプション。デフォルトは 2160h です。Pinniped を構成して、cert-manager によって管理される自己署名証明書を使用する場合は、この変数を設定します。
CERT_RENEW_BEFORE オプション。デフォルトは 360h です。Pinniped を構成して、cert-manager によって管理される自己署名証明書を使用する場合は、この変数を設定します。
OIDC_IDENTITY_PROVIDER_CLIENT_ID 必須。OIDC プロバイダから入手する client_id 値。たとえば、プロバイダが Okta の場合は、Okta にログインして Web アプリケーションを作成し、[クライアント認証情報 (Client Credentials)] オプションを選択して client_idsecret を取得します。この設定は、Pinniped OIDCIdentityProvider カスタム リソースの OIDCIdentityProvider.spec.client.secretName によって参照されるシークレットに保存されます。
OIDC_IDENTITY_PROVIDER_CLIENT_SECRET 必須。OIDC プロバイダから入手する secret 値。この値を base64 でエンコードしないでください。
OIDC_IDENTITY_PROVIDER_GROUPS_CLAIM オプション。グループの要求の名前。これは、JSON Web トークン (JWT) 要求でユーザーのグループを設定するために使用されます。デフォルト値は groups です。この設定は、Pinniped OIDCIdentityProvider カスタム リソースの OIDCIdentityProvider.spec.claims.groups に対応します。
OIDC_IDENTITY_PROVIDER_ISSUER_URL 必須。OIDC サーバの IP アドレスまたは DNS アドレスです。この設定は、Pinniped custom resourceOIDCIdentityProvider.spec.issuer に対応します。
OIDC_IDENTITY_PROVIDER_SCOPES 必須。トークン応答で要求する追加範囲のカンマ区切りリストです。たとえば、"email,offline_access" などです。この設定は、Pinniped OIDCIdentityProvider カスタム リソースの OIDCIdentityProvider.spec.authorizationConfig.additionalScopes に対応します。
OIDC_IDENTITY_PROVIDER_USERNAME_CLAIM 必須。ユーザー名の要求の名前です。これは、JWT 要求でユーザーのユーザー名を設定するために使用されます。プロバイダに応じて、要求として user_nameemail、または code を入力します。この設定は、Pinniped OIDCIdentityProvider カスタム リソースの OIDCIdentityProvider.spec.claims.username に対応します。
OIDC_IDENTITY_PROVIDER_ADDITIONAL_AUTHORIZE_PARAMS オプション。OIDC ID プロバイダに送信するカスタム パラメータを追加します。プロバイダによっては、プロバイダから更新トークンを受け取るためにこれらの要求が必要になる場合があります。たとえば、prompt=consentです。複数の値をコンマで区切ります。この設定は、Pinniped OIDCIdentityProvider カスタム リソースの OIDCIdentityProvider.spec.authorizationConfig.additionalAuthorizeParameters に対応します。
OIDC_IDENTITY_PROVIDER_CA_BUNDLE_DATA_B64 オプション。OIDC ID プロバイダとの TLS を確立するための Base64 でエンコードされた CA バンドル。この設定は、Pinniped OIDCIdentityProvider カスタム リソースの OIDCIdentityProvider.spec.tls.certificateAuthorityData に対応します。
SUPERVISOR_ISSUER_URL 変更しません。この変数は、tanzu cluster create command コマンドを実行するときに、構成ファイルで自動的に更新されます。この設定は、Pinniped JWTAuthenticator カスタム リソースの JWTAuthenticator.spec.audience および Pinniped FederationDomain カスタム リソースの FederationDomain.spec.issuer に対応します。
SUPERVISOR_ISSUER_CA_BUNDLE_DATA_B64 変更しません。この変数は、tanzu cluster create command コマンドを実行するときに、構成ファイルで自動的に更新されます。この設定は、Pinniped JWTAuthenticator カスタム リソースの JWTAuthenticator.spec.tls.certificateAuthorityData に対応します。

ID プロバイダ - LDAP

IDENTITY_MANAGEMENT_TYPE: ldap を設定する場合は、次の変数を設定して LDAP ID プロバイダを構成します。詳細については、「管理クラスタ構成ファイルの作成」の「ID 管理の構成」を参照してください。

Tanzu Kubernetes Grid は、「ID とアクセス管理について」で説明されているように、Pinniped を使用して LDAP と統合します。以下の各変数は、Pinniped LDAPIdentityProvider カスタム リソースの構成設定に対応します。これらの設定の詳細な説明と構成方法については、Pinniped ドキュメントの「LDAPIdentityProvider」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
LDAP サーバへの接続の場合:
LDAP_HOST 必須。LDAP サーバの IP アドレスまたは DNS アドレスです。LDAP サーバが、セキュリティで保護された構成であるデフォルトのポート 636 で待機している場合、ポートを指定する必要はありません。LDAP サーバが別のポートで待機している場合は、LDAP サーバのアドレスとポートを “host:port” 形式で指定します。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.host に対応します。
LDAP_ROOT_CA_DATA_B64 オプション。LDAPS エンドポイントを使用している場合は、LDAP サーバ証明書の Base64 でエンコードされたコンテンツを貼り付けます。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.tls.certificateAuthorityData に対応します。
LDAP_BIND_DN 必須。既存のアプリケーション サービス アカウントの DN です。たとえば、“cn=bind-user,ou=people,dc=example,dc=com”です。コネクタは、これらの認証情報を使用してユーザーとグループを検索します。このサービス アカウントには、他の LDAP_* 構成オプションによって構成されたクエリを実行するために、少なくとも読み取り専用権限が必要です。Pinniped LDAPIdentityProvider カスタム リソースの spec.bind.secretName のシークレットに含まれています。
LDAP_BIND_PASSWORD 必須。LDAP_BIND_DN で設定されたアプリケーション サービス アカウントのパスワード。Pinniped LDAPIdentityProvider カスタム リソースの spec.bind.secretName のシークレットに含まれています。
ユーザー検索の場合:
LDAP_USER_SEARCH_BASE_DN 必須。LDAP 検索を開始するポイントです。たとえば、OU=Users,OU=domain,DC=io などです。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.userSearch.base に対応します。
LDAP_USER_SEARCH_FILTER オプション。LDAP 検索で使用されるオプションのフィルタ。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.userSearch.filter に対応します。TKG v2.3 以降では、管理クラスタを作成するとき、または既存の管理クラスタの Pinniped パッケージ シークレットを更新するときに、この値に Pinniped 形式を使用する必要があります。たとえば、&(objectClass=posixAccount)(uid={})です。
LDAP_USER_SEARCH_ID_ATTRIBUTE オプション。ユーザー ID を含む LDAP 属性。デフォルトの設定は dn です。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.userSearch.attributes.uid に対応します。
LDAP_USER_SEARCH_NAME_ATTRIBUTE 必須。ユーザーのユーザー名を保持する LDAP 属性です。たとえば、mailです。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.userSearch.attributes.username に対応します。
グループ検索の場合:
LDAP_GROUP_SEARCH_BASE_DN オプション。LDAP 検索を開始するポイントです。たとえば、OU=Groups,OU=domain,DC=io などです。設定しない場合、グループ検索はスキップされます。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.groupSearch.base に対応します。
LDAP_GROUP_SEARCH_FILTER オプション。LDAP 検索で使用されるオプションのフィルタ。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.groupSearch.filer に対応します。TKG v2.3 以降では、管理クラスタを作成するとき、または既存の管理クラスタの Pinniped パッケージ シークレットを更新するときに、この値に Pinniped 形式を使用する必要があります。たとえば、&(objectClass=posixGroup)(memberUid={})です。
LDAP_GROUP_SEARCH_NAME_ATTRIBUTE オプション。グループの名前を保持する LDAP 属性です。デフォルトの設定は dn です。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.groupSearch.attributes.groupName に対応します。
LDAP_GROUP_SEARCH_USER_ATTRIBUTE オプション。グループ レコードのメンバーシップ属性の値として使用するユーザー レコードの属性。デフォルトの設定は dn です。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.groupSearch.userAttributeForFilter に対応します。
LDAP_GROUP_SEARCH_SKIP_ON_REFRESH オプション。デフォルトの設定は false です。true に設定すると、ユーザーのグループ メンバーシップは、ユーザーの毎日のセッションの開始時にのみ更新されます。LDAP_GROUP_SEARCH_SKIP_ON_REFRESHtrue に設定することはお勧めしません。セッションの更新中にグループ クエリを十分高速に実行できない場合にのみ設定してください。この設定は、Pinniped LDAPIdentityProvider カスタム リソースの LDAPIdentityProvider.spec.groupSearch.skipGroupRefresh に対応します。

ノード構成

制御プレーン ノードとワーカー ノード、およびノード インスタンスが実行するオペレーティング システムを構成します。詳細については、「管理クラスタ構成ファイルの作成」の「ノードの設定」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
CONTROL_PLANE_MACHINE_COUNT オプションdev および prod プランの、デフォルトで定義されるよりも多くの制御プレーン ノードを持つワークロード クラスタを展開します。指定する制御プレーン ノードの数は奇数である必要があります。
CONTROL_PLANE_NODE_LABELS クラスベースのクラスタのみ。カスタムのパーシステント ラベルを制御プレーン ノードに割り当てます(例:CONTROL_PLANE_NODE_LABELS: ‘key1=value1,key2=value2’)。これをレガシーのプランベースのクラスタで構成するには、「カスタム ノード ラベル」の説明に従って、ytt オーバーレイを使用します。
ワーカー ノード ラベルは、「異なる仮想マシン タイプのノード プールの管理」で説明するようにノード プールに設定されます。
CONTROL_PLANE_NODE_NAMESERVERS vSphere のみ。これにより、ユーザーは、制御プレーン ノードで構成する DNS サーバのカンマ区切りリストを指定できます(CONTROL_PLANE_NODE_NAMESERVERS: 10.132.7.1, 10.142.7.1 など)。Ubuntu および Photon でサポートされます。Windows ではサポートされていません。ユースケースの例については、以下の「ノード IP アドレス管理」を参照してください。
CONTROL_PLANE_NODE_SEARCH_DOMAINS クラスベースのクラスタのみ。クラスタ ノードの .local 検索ドメイン(CONTROL_PLANE_NODE_SEARCH_DOMAINS: corp.local など)を構成します。これを vSphere のレガシーのプランベースのクラスタで構成するには、「.local ドメインの解決」の説明に従って、ytt オーバーレイを使用します。
CONTROLPLANE_SIZE オプション。制御プレーン ノード仮想マシンのサイズです。SIZE および VSPHERE_CONTROL_PLANE_ パラメータをオーバーライドします。使用可能な値については、SIZE を参照してください。
OS_ARCH オプション。ノード仮想マシン OS のアーキテクチャです。デフォルトで、現在唯一選択できる値は amd64 です。
OS_NAME オプション。ノード仮想マシンの OS です。Ubuntu LTS の場合、デフォルトで ubuntu になります。vSphere の Photon OS の場合は photon、AWS の Amazon Linux の場合は amazon を使用することもできます。
OS_VERSION オプション。前述のOS_NAME OS のバージョンです。Ubuntu の場合、デフォルトは 20.04 です。vSphere の Photon の場合は 3、AWS の Amazon Linux の場合は 2 を指定できます。
SIZE オプション。制御プレーンとワーカー ノード仮想マシンの両方のサイズです。VSPHERE_CONTROL_PLANE_* および VSPHERE_WORKER_* パラメータをオーバーライドします。vSphere の場合は、「事前定義されたノード サイズ」の説明に従って、smallmediumlarge、または extra-large を設定します。AWS の場合は、t3.small など、インスタンス タイプを設定します。Azure の場合は、Standard_D2s_v3 など、インスタンス タイプを設定します。
WORKER_MACHINE_COUNT オプションdev および prod プランの、デフォルトで定義されるよりも多くのワーカー ノードを持つワークロード クラスタを展開します。
WORKER_NODE_NAMESERVERS vSphere のみ。これにより、ユーザーは、ワーカー ノードで構成する DNS サーバのカンマ区切りリストを指定できます(WORKER_NODE_NAMESERVERS: 10.132.7.1, 10.142.7.1 など)。Ubuntu および Photon でサポートされます。Windows ではサポートされていません。ユースケースの例については、以下の「ノード IP アドレス管理」を参照してください。
WORKER_NODE_SEARCH_DOMAINS クラスベースのクラスタのみ。クラスタ ノードの .local 検索ドメイン(CONTROL_PLANE_NODE_SEARCH_DOMAINS: corp.local など)を構成します。これを vSphere のレガシーのプランベースのクラスタで構成するには、「.local ドメインの解決」の説明に従って、ytt オーバーレイを使用します。
WORKER_SIZE オプション。ワーカー ノード仮想マシンのサイズです。SIZEVSPHERE_WORKER_ および パラメータをオーバーライドします。使用可能な値については、SIZE を参照してください。
CUSTOM_TDNF_REPOSITORY_CERTIFICATE (テクニカル プレビュー)

オプション。カスタマイズされた tdnf リポジトリ サーバを、photon のデフォルトの tdnf リポジトリ サーバではなく自己署名証明書とともに使用する場合に設定します。tdnf リポジトリ サーバの、base64 でエンコードされた証明書の内容を入力します。

これは、/etc/yum.repos.d/ にあるすべてのリポジトリを削除し、TKG ノードが証明書を信頼するようにします。

ポッド セキュリティ アドミッション コントローラのポッドのセキュリティ標準

クラスタ全体のポッド セキュリティ アドミッション (PSA) コントローラ、制御プレーンとワーカー ノード、およびノード インスタンスが実行するオペレーティング システムのポッドのセキュリティ標準を構成します。詳細については、「ポッド セキュリティ アドミッション コントローラ」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
POD_SECURITY_STANDARD_AUDIT オプション。デフォルトは restricted です。クラスタ全体の PSA コントローラの audit モードのセキュリティ ポリシーを設定します。利用可能な値:restrictedbaseline、および privileged
POD_SECURITY_STANDARD_DEACTIVATED オプション。デフォルトは false です。クラスタ全体の PSA を無効にするには、true に設定します。
POD_SECURITY_STANDARD_ENFORCE オプション、デフォルトでは値がありません。クラスタ全体の PSA コントローラの enforce モードのセキュリティ ポリシーを設定します。利用可能な値:restrictedbaseline、および privileged
POD_SECURITY_STANDARD_WARN オプション。デフォルトは restricted です。クラスタ全体の PSA コントローラの warn モードのセキュリティ ポリシーを設定します。利用可能な値:restrictedbaseline、および privileged

Kubernetes チューニング(クラスベースのクラスタのみ)

Kubernetes API サーバ、Kubelet、およびその他のコンポーネントは、チューニング用にさまざまな構成フラグを公開します。たとえば、セキュリティ強化の目的で暗号を構成するための --tls-cipher-suites フラグ、大規模クラスタで etcd タイムアウトを増やすための --election-timeout などです。

重要

これらの Kubernetes 構成変数は、上級ユーザー向けです。これらの設定を任意に組み合わせて構成したクラスタの機能について、VMware は一切保証しません。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
APISERVER_EXTRA_ARGS クラスベースのクラスタのみ。kube-apiserver フラグを「key1=value1;key2=value2」の形式で指定します。たとえば、暗号を APISERVER_EXTRA_ARGS: “tls-min-version=VersionTLS12;tls-cipher-suites=TLS_RSA_WITH_AES_256_GCM_SHA384” に設定します。
CONTROLPLANE_KUBELET_EXTRA_ARGS クラスベースのクラスタのみ。制御プレーンの kubelet フラグを「key1=value1;key2=value2」の形式で指定します。たとえば、CONTROLPLANE_KUBELET_EXTRA_ARGS: “max-pods=50” を使用して、制御プレーン ポッドの数を制限します
ETCD_EXTRA_ARGS クラスベースのクラスタのみ。etcd フラグを「key1=value1;key2=value2」の形式で指定します。たとえば、クラスタに 500 台を超えるノードがある場合、またはストレージのパフォーマンスが低下している場合は、ETCD_EXTRA_ARGS: “heartbeat-interval=300;election-timeout=2000” を使用して heartbeat-intervalelection-timeout を増やせます
KUBE_CONTROLLER_MANAGER_EXTRA_ARGS クラスベースのクラスタのみ。kube-controller-manager フラグを「key1=value1;key2=value2」の形式で指定します。たとえば、KUBE_CONTROLLER_MANAGER_EXTRA_ARGS: “profiling=false” を使用して、パフォーマンスのプロファイリングを無効にします。
KUBE_SCHEDULER_EXTRA_ARGS クラスベースのクラスタのみ。kube-scheduler フラグを「key1=value1;key2=value2」の形式で指定します。たとえば、KUBE_SCHEDULER_EXTRA_ARGS: “feature-gates=ReadWriteOncePod=true” を使用して、シングル ポッドのアクセス モードを有効にします。
WORKER_KUBELET_EXTRA_ARGS クラスベースのクラスタのみ。ワーカーの kubelet フラグを「key1=value1;key2=value2」の形式で指定します。たとえば、WORKER_KUBELET_EXTRA_ARGS: “max-pods=50” を使用して、ワーカー ポッドの数を制限します

クラスタ オートスケーラ

ENABLE_AUTOSCALERtrue に設定されている場合は、次の追加の変数を構成できます。クラスタ オートスケーラについては、「ワークロード クラスタのスケーリング」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
AUTOSCALER_MAX_NODES_TOTAL オプション。デフォルトは 0 です。クラスタ内のノードの最大数(ワーカーと制御プレーン)です。クラスタ オートスケーラ パラメータ max-nodes-total の値を設定します。クラスタ オートスケーラは、この制限を超えてクラスタのスケーリングを試みません。0 に設定すると、クラスタ オートスケーラは、構成した最小および最大 SIZE 設定に基づいてスケーリングの決定を行います。
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_ADD オプション。デフォルトは 10m です。クラスタ オートスケーラ パラメータ scale-down-delay-after-add の値を設定します。スケール アップ操作後にクラスタ オートスケーラがスケール ダウン スキャンを再開するまで待機する時間です。
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_DELETE オプション。デフォルトは 10s です。クラスタ オートスケーラ パラメータ scale-down-delay-after-delete の値を設定します。ノードの削除後にクラスタ オートスケーラがスケールダウン スキャンを再開するまで待機する時間です。
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_FAILURE オプション。デフォルトは 3m です。クラスタ オートスケーラ パラメータ scale-down-delay-after-failure の値を設定します。スケール ダウンの失敗後にクラスタ オートスケーラがスケール ダウン スキャンを再開するまで待機する時間です。
AUTOSCALER_SCALE_DOWN_UNNEEDED_TIME オプション。デフォルトは 10m です。クラスタ オートスケーラ パラメータ scale-down-unneeded-time の値を設定します。クラスタ オートスケーラが対象ノードをスケール ダウンするまでに待機する必要がある時間です。
AUTOSCALER_MAX_NODE_PROVISION_TIME オプション。デフォルトは 15m です。クラスタ オートスケーラ パラメータ max-node-provision-time の値を設定します。クラスタ オートスケーラがノードのプロビジョニングを待機する最長時間です。
AUTOSCALER_MIN_SIZE_0 必須(すべての IaaS)。ワーカー ノードの最小数です。クラスタ オートスケーラは、この制限を下回るノードのスケール ダウンを試みません。AWS 上の prod クラスタの場合、AUTOSCALER_MIN_SIZE_0 は最初の AZ のワーカー ノードの最小数を設定します。設定しない場合、デフォルトでは、単一のワーカー ノードを持つクラスタの場合は WORKER_MACHINE_COUNT、複数のワーカー ノードを持つクラスタの場合は WORKER_MACHINE_COUNT_0 の値になります。
AUTOSCALER_MAX_SIZE_0 必須(すべての IaaS)。ワーカー ノードの最大数です。クラスタ オートスケーラ は、この制限を超えてノードのスケール アップを試みません。AWS 上の prod クラスタの場合、AUTOSCALER_MAX_SIZE_0 は最初の AZ のワーカー ノードの最大数を設定します。設定しない場合、デフォルトでは、単一のワーカー ノードを持つクラスタの場合は WORKER_MACHINE_COUNT、複数のワーカー ノードを持つクラスタの場合は WORKER_MACHINE_COUNT_0 の値になります。
AUTOSCALER_MIN_SIZE_1 必須。AWS 上の prod クラスタにのみ使用します。2 番目の AZ 内のワーカー ノードの最小数です。クラスタ オートスケーラは、この制限を下回るノードのスケール ダウンを試みません。設定しない場合、デフォルトでは WORKER_MACHINE_COUNT_1 の値になります。
AUTOSCALER_MAX_SIZE_1 必須。AWS 上の prod クラスタにのみ使用します。2 番目の AZ 内のワーカー ノードの最大数です。クラスタ オートスケーラ は、この制限を超えてノードのスケール アップを試みません。設定しない場合、デフォルトでは WORKER_MACHINE_COUNT_1 の値になります。
AUTOSCALER_MIN_SIZE_2 必須。AWS 上の prod クラスタにのみ使用します。3 番目の AZ 内のワーカー ノードの最小数です。クラスタ オートスケーラは、この制限を下回るノードのスケール ダウンを試みません。設定しない場合、デフォルトでは WORKER_MACHINE_COUNT_2 の値になります。
AUTOSCALER_MAX_SIZE_2 必須。AWS 上の prod クラスタにのみ使用します。3 番目の AZ 内のワーカー ノードの最大数です。クラスタ オートスケーラ は、この制限を超えてノードのスケール アップを試みません。設定しない場合、デフォルトでは WORKER_MACHINE_COUNT_2 の値になります。

プロキシ構成

環境でインターネットが制限されている場合、またはプロキシが含まれている場合は、オプションで、送信 HTTP および HTTPS トラフィックを kubeletcontainerd、および制御プレーンからプロキシに送信するように、Tanzu Kubernetes Grid を構成できます。

Tanzu Kubernetes Grid では、次のいずれかのプロキシを有効にできます。

  • 管理クラスタと 1 つ以上のワークロード クラスタの両方
  • 管理クラスタのみ
  • 1 つ以上のワークロード クラスタ

詳細については、「管理クラスタ構成ファイルの作成」の「プロキシの構成」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
TKG_HTTP_PROXY_ENABLED

オプション。管理クラスタからプロキシに送信 HTTP(S) トラフィックを送信するには(インターネットが制限された環境など)、これを true に設定します。

TKG_HTTP_PROXY

オプション。プロキシを構成する場合に設定します。個々のクラスタのプロキシ構成を無効にするには、これを "“ に設定します。TKG_HTTP_PROXY_ENABLED = true の場合にのみ適用可能です。次の形式の、HTTP プロキシの URL です。PROTOCOL://USERNAME:PASSWORD@FQDN-OR-IP:PORT、ここで、

  • 必須PROTOCOLhttp です。
  • オプションUSERNAME および PASSWORD は、HTTP プロキシのユーザー名とパスワードです。プロキシで認証が必要な場合は、これらを含めます。
  • 必須FQDN-OR-IP および PORT は、HTTP プロキシの FQDN または IP アドレスとポート番号です。

たとえば、http://user:[email protected]:1234 または http://myproxy.com:1234 などです。TKG_HTTP_PROXY を設定する場合は、TKG_HTTPS_PROXY も設定する必要があります。

TKG_HTTPS_PROXY オプション。プロキシを構成する場合に設定しますTKG_HTTP_PROXY_ENABLED = true の場合にのみ適用可能です。HTTPS プロキシの URL です。この変数は、TKG_HTTP_PROXY と同じ値に設定することも、別の値を指定することもできます。URL は http:// で始まる必要があります。TKG_HTTPS_PROXY を設定する場合は、TKG_HTTP_PROXY も設定する必要があります。
TKG_NO_PROXY

オプションTKG_HTTP_PROXY_ENABLED = true の場合にのみ適用可能です。

HTTP(S) プロキシをバイパスする必要がある 1 つ以上のネットワーク CIDR またはホスト名です。カンマ区切りで、スペースやワイルドカード文字 (*) なしでリストされます。ホスト名のサフィックスを *.example.com ではなく、.example.com として一覧表示します。

たとえば、.noproxy.example.com,noproxy.example.com,192.168.0.0/24 などです。

内部的には、Tanzu Kubernetes Grid は localhost127.0.0.1CLUSTER_CIDRSERVICE_CIDR の値、.svc、および .svc.cluster.local を、TKG_NO_PROXY で設定した値に追加します。また、Azure への展開用に Azure VNET CIDR 169.254.0.0/16 および 168.63.129.16 を追加します。vSphere の場合は、制御プレーン エンドポイントの IP アドレスを含む VSPHERE_NETWORK の CIDR を、手動で TKG_NO_PROXY に追加する必要があります。

VSPHERE_CONTROL_PLANE_ENDPOINT を FQDN に設定する場合は、FQDN と VSPHERE_NETWORK の両方を TKG_NO_PROXY に追加します。

重要:Tanzu Kubernetes Grid がプロキシの背後で実行されている環境では、TKG_NO_PROXY で、クラスタ仮想マシンが同じプロキシの背後にある同じネットワークを実行するインフラストラクチャと直接通信できます。これには、インフラストラクチャ、OIDC または LDAP サーバ、Harbor、VMware NSX および NSX Advanced Load Balancer (vSphere) が含まれますが、これらに限定されません。TKG_NO_PROXY を設定して、クラスタがアクセスする必要があるがプロキシからアクセスできないエンドポイントをすべて含めます。

TKG_PROXY_CA_CERT オプション。プロキシ サーバが自己署名証明書を使用する場合に設定します。CA 証明書を Base64 エンコード形式で指定します。たとえば、…TKG_PROXY_CA_CERT: “LS0t[]tLS0tLQ==”” とします。
TKG_NODE_SYSTEM_WIDE_PROXY (テクニカル プレビュー)

オプション。次の設定を /etc/environment/etc/profile に配置します。

export HTTP_PROXY=$TKG_HTTP_PROXY
export HTTPS_PROXY=$TKG_HTTPS_PROXY
export NO_PROXY=$TKG_NO_PROXY

ユーザーが TKG ノードに SSH 接続してコマンドを実行すると、デフォルトでは、コマンドは定義された変数を使用します。Systemd プロセスは影響を受けません。

Antrea CNI 構成

CNIantrea に設定されている場合に設定する、オプションの追加変数です。詳細については、「管理クラスタ構成ファイルの作成」の「Antrea CNI の構成」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
ANTREA_DISABLE_UDP_TUNNEL_OFFLOAD オプション。デフォルトは false です。Antrea の UDP チェックサム オフロードを無効にするには、true に設定します。この変数を true に設定すると、アンダーレイ ネットワークおよび物理 NIC ネットワークのドライバに関する既知の問題を回避できます。
ANTREA_EGRESS オプション。デフォルトは true です。この変数を有効にして、クラスタを出力するポッド トラフィックに使用する、SNAT IP を定義します。詳細については、Antrea ドキュメントの「Egress」を参照してください。
ANTREA_EGRESS_EXCEPT_CIDRS オプション。出力の CIDR 範囲は、送信ポッド トラフィックに SNAT を使用しません。引用符 (““) を含めます。たとえば、“10.0.0.0/6” とします。
ANTREA_ENABLE_USAGE_REPORTING オプション。デフォルトは false です。使用状況レポート(テレメトリ)を有効または無効にします。
ANTREA_FLOWEXPORTER オプション。デフォルトは false です。ネットワーク フローを可視化するには、true に設定します。フロー エクスポータは conntrack フローを定期的にポーリングし、フローを IPFIX フロー レコードとしてエクスポートします。詳細については、Antrea ドキュメントの「Network Flow Visibility in Antrea」を参照してください。
ANTREA_FLOWEXPORTER_ACTIVE_TIMEOUT

オプション。デフォルトは “60s” です。この変数は、アクティブ フロー エクスポート タイムアウトを提供します。このタイムアウトの後、アクティブ フローのフロー レコードがコレクタに送信されます。引用符 (””) を含めます。

注:有効な時間単位は、nsus(または s)、mssmh です。

ANTREA_FLOWEXPORTER_COLLECTOR_ADDRESS オプション。この変数は、IPFIX コレクタ アドレスを提供します。引用符 (““) を含めます。デフォルト値は “flow-aggregator.flow-aggregator.svc:4739:tls” です。詳細については、Antrea ドキュメントの「Network Flow Visibility in Antrea」を参照してください。
ANTREA_FLOWEXPORTER_IDLE_TIMEOUT

オプション。デフォルトは “15s” です。この変数は、アイドル状態のフロー エクスポートのタイムアウトを提供します。このタイムアウトの後、アイドル フローのフロー レコードがコレクタに送信されます。引用符 (””) を含めます。

注:有効な時間単位は、nsus(または s)、mssmh です。

ANTREA_FLOWEXPORTER_POLL_INTERVAL

オプション。デフォルトは “5s” です。この変数は、フロー エクスポータによって conntrack モジュールからダンプされた接続の頻度を決定します。引用符 (““) を含めます。

注:有効な時間単位は、nsus(または s)、mssmh です。

ANTREA_IPAM オプション。デフォルトは false です。IP アドレス プールから IP アドレスを割り当てる場合は、true に設定します。必要な IP アドレス範囲のセット(必要に応じて VLAN を使用)は、IPPool CRD で定義されます。詳細については、Antrea ドキュメントの「Antrea IPAM Capabilities」を参照してください。
ANTREA_KUBE_APISERVER_OVERRIDE オプション。Kubernetes API サーバのアドレスを指定します。詳細については、Antrea ドキュメントの「Removing kube-proxy」を参照してください。
ANTREA_MULTICAST オプション。デフォルトは false です。クラスタ ネットワーク内(ポッド間)、および外部ネットワークとクラスタ ネットワーク間のトラフィックをマルチキャストするには、true に設定します。
ANTREA_MULTICAST_INTERFACES オプション。マルチキャスト トラフィックの転送に使用されるノード上のインターフェイスの名前です。引用符 (””) を含めます。たとえば、“eth0” などです。
ANTREA_NETWORKPOLICY_STATS オプション。デフォルトは true です。NetworkPolicy 統計情報を収集するには、この変数を有効にします。統計データには、NetworkPolicy によって許可または拒否されたセッション、パケット、バイトの合計数が含まれます。
ANTREA_NO_SNAT オプション。デフォルトは false です。送信元ネットワーク アドレス変換 (SNAT) を無効にするには、true に設定します。
ANTREA_NODEPORTLOCAL オプション。デフォルトは true です。NodePortLocal モードを無効にするには、false に設定します。詳細については、Antrea ドキュメントの「NodePortLocal (NPL)」を参照してください。
ANTREA_NODEPORTLOCAL_ENABLED オプション。Antrea ドキュメントの「NodePortLocal (NPL)」で説明されているように、NodePortLocal モードを有効にするには true に設定します。
ANTREA_NODEPORTLOCAL_PORTRANGE オプション。デフォルトは 61000-62000 です。詳細については、Antrea ドキュメントの「NodePortLocal (NPL)」を参照してください。
ANTREA_POLICY オプション。デフォルトは true です。Antrea 固有のポリシー CRD である Antrea ネイティブ ポリシー API を有効または無効にします。また、この変数が有効になっている場合、Kubernetes ネットワーク ポリシーの実装はアクティブなままです。ネットワーク ポリシーの使用については、Antrea ドキュメントの「Antrea Network Policy CRDs」を参照してください。
ANTREA_PROXY オプション。デフォルトは false です。AntreaProxy を有効または無効にして、ポッドから ClusterIP へのサービス トラフィックの kube-proxy を置き換え、パフォーマンスを向上させ、遅延を低減します。kube-proxy が他のタイプのサービス トラフィックに引き続き使用されることに注意してください。プロキシの使用の詳細については、Antrea ドキュメントの「AntreaProxy」を参照してください。
ANTREA_PROXY_ALL オプション。デフォルトは false です。AntreaProxy を有効または無効にして、NodePort、LoadBalancer、ClusterIP トラフィックを含むすべてのサービス トラフィックを処理します。kube-proxyAntreaProxy に置き換えるには、ANTREA_PROXY_ALL を有効にする必要があります。プロキシの使用の詳細については、Antrea ドキュメントの「AntreaProxy」を参照してください。
ANTREA_PROXY_LOAD_BALANCER_IPS オプション。デフォルトは true です。ロードバランシング トラフィックを外部 LoadBalancer に送信するには、false に設定します。
ANTREA_PROXY_NODEPORT_ADDRS オプションNodePort の IPv4 または IPv6 アドレスです。引用符 (““) を含めます。
ANTREA_PROXY_SKIP_SERVICES オプション。AntreaProxy が無視する必要があるサービスのリストを示すために使用できる、文字列値の配列です。これらのサービスへのトラフィックはロードバランシングされません。引用符 (””) を含めます。たとえば、10.11.1.2 などの有効な ClusterIP、または kube-system/kube-dns などの名前空間を持つサービス名は有効な値です。詳細については、Antrea ドキュメントの「Special use cases」を参照してください。
ANTREA_SERVICE_EXTERNALIP オプション。デフォルトは false です。true に設定すると、コントローラはタイプが LoadBalancer のサービスに対して ExternalIPPool リソースから外部 IP アドレスを割り当てることができます。LoadBalancer タイプのサービスを実装する方法の詳細については、Antrea ドキュメントの「Service of type LoadBalancer」を参照してください。
ANTREA_TRACEFLOW オプション。デフォルトは true です。トレースフローの使用については、Antrea ドキュメントの「Traceflow User Guide」を参照してください。
ANTREA_TRAFFIC_ENCAP_MODE

オプション。デフォルトは “encap” です。noEncaphybrid、または NetworkPolicyOnly に設定します。NoEncap またはハイブリッド トラフィック モードの使用方法については、Antrea ドキュメントの「NoEncap and Hybrid Traffic Modes of Antrea」を参照してください。

注:noEncap および hybrid モードでは、ノード間のポッド通信を無効にしないように、ノード ネットワークの特定の構成が必要です。

noEncap モードは vSphere でのみサポートされ、ノード間のポッド通信を無効にできます。ポッドがノード間で通信する必要があるクラスタでは、ANTREA_TRAFFIC_ENCAP_MODEnoEncap に設定しないでください。

ANTREA_TRANSPORT_INTERFACE オプション。トラフィックのトンネリングまたはルーティングに使用されるノード上のインターフェイスの名前です。引用符 (““) を含めます。たとえば、“eth0” などです。
ANTREA_TRANSPORT_INTERFACE_CIDRS オプション。トラフィックのトンネリングまたはルーティングに使用されるノード上のインターフェイスのネットワーク CIDR です。引用符 (””) を含めます。たとえば、“10.0.0.2/24” などです。

マシンの健全性チェック

管理クラスタとワークロード クラスタのマシン健全性チェックを構成する場合は、次の変数を設定します。詳細については、「管理クラスタ構成ファイルの作成」の「マシンの健全性チェックの構成」を参照してください。クラスタの展開後にマシンの健全性チェック操作を実行する方法については、「ワークロード クラスタのマシンの健全性チェックの構成」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
ENABLE_MHC クラスベース:✖
プランベース:✔
オプションtrue または false に設定して、ターゲット管理クラスタまたはワークロード クラスタの制御プレーン ノードとワーカー ノードの両方で MachineHealthCheck コントローラを有効または無効にします。または、空のままにして、制御プレーン ノードとワーカー ノードの ENABLE_MHC_CONTROL_PLANEENABLE_MHC_WORKER_NODE を個別に設定します。デフォルトでは空になります。
コントローラは、マシンの健全性の監視と自動修復を提供します。
vSphere with Tanzu によって作成されたワークロード クラスタの場合は、false に設定します。
ENABLE_MHC_CONTROL_PLANE オプション。デフォルトは true です。詳細については次の表を参照してください。
ENABLE_MHC_WORKER_NODE オプション。デフォルトは true です。詳細については次の表を参照してください。
MHC_MAX_UNHEALTHY_CONTROL_PLANE オプション。クラスベースのクラスタのみ。デフォルトの設定は 100% です。健全でないマシンの数が、設定した値を超えると、MachineHealthCheck コントローラは修正を実行しません。
MHC_MAX_UNHEALTHY_WORKER_NODE オプション。クラスベースのクラスタのみ。デフォルトの設定は 100% です。健全でないマシンの数が、設定した値を超えると、MachineHealthCheck コントローラは修正を実行しません。
MHC_FALSE_STATUS_TIMEOUT クラスベース:✖
プランベース:✔
オプション。デフォルトは 12m です。MachineHealthCheck コントローラが、マシンを不健全と見なして再作成する前に、ノードの Ready 状態を False のまま許容する期間。
MHC_UNKNOWN_STATUS_TIMEOUT オプション。デフォルトは 5m です。MachineHealthCheck コントローラが、マシンを不健全と見なして再作成する前に、ノードの Ready 状態を Unknown のまま許容する期間。
NODE_STARTUP_TIMEOUT オプション。デフォルトは 20m です。MachineHealthCheck コントローラが、マシンを不健全と見なして再作成する前に、ノードがクラスタに参加するまで待機する期間。

次の表を使用して、ENABLE_MHCENABLE_MHC_CONTROL_PLANE、および ENABLE_MHC_WORKER_NODE 変数を構成する方法を決定します。

ENABLE_MHC の値 ENABLE_MHC_CONTROL_PLANE の値 ENABLE_MHC_WORKER_NODE の値 制御プレーンの修正が有効かどうか ワーカー ノードの修正が有効かどうか
true / Emptytrue/空 true/false/空 true/false/空 はい はい
false true/空 true/空 はい はい
false true/空 false はい いいえ
false false true/空 いいえ はい

プライベート イメージ レジストリの構成

インターネットに接続されていない環境に Tanzu Kubernetes Grid 管理クラスタと Kubernetes クラスタを展開する場合は、ファイアウォール内にプライベート イメージ リポジトリを設定し、Tanzu Kubernetes Grid イメージをポピュレートする必要があります。プライベート イメージ リポジトリの設定については、「インターネットが制限された環境の準備」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
ADDITIONAL_IMAGE_REGISTRY_1ADDITIONAL_IMAGE_REGISTRY_2ADDITIONAL_IMAGE_REGISTRY_3 クラスベースのワークロードおよびスタンドアローン管理クラスタのみ。ワークロード クラスタ ノードがアクセスできるように、TKG_CUSTOM_IMAGE_REPOSITORY によって設定されたプライマリ イメージ レジストリに加えて、最大 3 つの信頼できるプライベート レジストリの IP アドレスまたは FQDN。「クラスベースのクラスタの信頼できるレジストリ」を参照してください。
ADDITIONAL_IMAGE_REGISTRY_1_CA_CERTIFICATEADDITIONAL_IMAGE_REGISTRY_2_CA_CERTIFICATEADDITIONAL_IMAGE_REGISTRY_3_CA_CERTIFICATE クラスベースのワークロードおよびスタンドアローン管理クラスタのみ。上記の ADDITIONAL_IMAGE_REGISTRY- で構成された、base64 エンコード形式のプライベート イメージ レジストリの CA 証明書。例: …ADDITIONAL_IMAGE_REGISTRY_1_CA_CERTIFICATE: “LS0t[]tLS0tLQ==”..
ADDITIONAL_IMAGE_REGISTRY_1_SKIP_TLS_VERIFYADDITIONAL_IMAGE_REGISTRY_2_SKIP_TLS_VERIFYADDITIONAL_IMAGE_REGISTRY_3_SKIP_TLS_VERIFY クラスベースのワークロードおよびスタンドアローン管理クラスタのみ。自己署名証明書を使用するが ADDITIONAL_IMAGE_REGISTRY-ADDITIONAL_IMAGE_REGISTRY_CA_CERTIFICATE を使用しない上記の で構成されたプライベート イメージ レジストリの場合は、true に設定します。ADDITIONAL_IMAGE_REGISTRY should always be set to false に設定する必要があります。
TKG_CUSTOM_IMAGE_REPOSITORY 必須。インターネットが制限された環境に Tanzu Kubernetes Grid を展開する場合は必須です。以下のプライマリ イメージ レジストリと呼ばれる、クラスタがブートストラップする TKG システム イメージを含むプライベート レジストリの IP アドレスまたは FQDN を指定します。たとえば、custom-image-repository.io/yourproject などです。
TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY オプション。プライベートのプライマリ イメージ レジストリが自己署名証明書を使用し、TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE を使用しない場合は、true に設定します。Tanzu 接続 Webhook は Harbor CA 証明書をクラスタ ノードに挿入するため、Harbor を使用する場合は TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY を常に false に設定する必要があります。
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE オプション。プライベートのプライマリ レジストリが自己署名証明書を使用する場合に設定します。CA 証明書を Base64 エンコード形式で指定します。たとえば、…TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE: “LS0t[]tLS0tLQ==” とします。

vSphere

次の表のオプションは、ワークロード クラスタを vSphere に展開するときにクラスタ構成ファイルで指定する最小オプションです。これらのオプションのほとんどは、ワークロード クラスタと、展開に使用する管理クラスタの両方で同じです。

vSphere の構成ファイルの詳細については、「vSphere の管理クラスタ構成」と、vSphere へのワークロード クラスタの展開に関する説明を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
DEPLOY_TKG_ON_VSPHERE7 オプション。vSphere 7 または 8 に展開する場合は、true に設定して vSphere 7 または 8 での展開に関するプロンプトをスキップするか、false に設定します。「vSphere with Tanzu 上の管理クラスタ」を参照してください。
ENABLE_TKGS_ON_VSPHERE7 オプション。vSphere 7 または 8 に展開する場合は、true に設定して vSphere with Tanzu の有効化ユーザー インターフェイス ページにリダイレクトするか、false に設定します。「vSphere with Tanzu 上の管理クラスタ」を参照してください。
NTP_SERVERS クラスベースのクラスタのみ。DHCP オプション 42 がない vSphere 環境にクラスタを展開する場合は、クラスタの NTP サーバを構成します(例:NTP_SERVERS: time.google.com)。これをレガシーのプランベースのクラスタで構成するには、「DHCP オプション 42 (vSphere) を使用せずに NTP を構成する」の説明に従って、ytt オーバーレイを使用します。
TKG_IP_FAMILY オプション。ピュア IPv6 を使用してクラスタを vSphere 7 または 8 に展開するには、これを ipv6 に設定します。デュアルスタック ネットワーク(試験的)については、デュアルスタック クラスタに関する説明を参照してください。
VIP_NETWORK_INTERFACE オプションeth0eth1 など、ネットワーク インターフェイス名(イーサネット インターフェイスなど)に設定します。デフォルトの名前は eth0 です。
VSPHERE_AZ_CONTROL_PLANE_MATCHING_LABELS 複数の AZ に展開されたクラスタの場合、クラスタ制御プレーン ノードの展開先の AZ を指定するためのキー/値セレクタ ラベルを設定します。これにより、たとえば、指定したリージョンおよび環境のすべての AZ で実行するようにノードを構成でき、AZ を個別に一覧表示する必要はありません。例:“region=us-west-1,environment=staging”。「複数のアベイラビリティ ゾーンにまたがるクラスタの実行」を参照してください。
VSPHERE_CONTROL_PLANE_DISK_GIB オプション。制御プレーン ノード仮想マシンのディスク サイズ(ギガバイト単位)です。引用符 (““) を含めます。たとえば、"30" などです。
VSPHERE_AZ_0VSPHERE_AZ_1VSPHERE_AZ_2 オプション。クラスタ内のマシン展開の展開先となる展開ゾーンです。「複数のアベイラビリティ ゾーンにまたがるクラスタの実行」を参照してください。
VSPHERE_CONTROL_PLANE_ENDPOINT Kube-Vip で必須。クラスタへの API 要求の場合は、固定仮想 IP アドレス、または固定アドレスにマッピングされた完全修飾ドメイン名 (FQDN) を指定します。API サーバ エンドポイントに Kube-Vip を使用している場合、この設定は必須です(AVI_CONTROL_PLANE_HA_PROVIDERfalse に設定して構成)。
NSX Advanced Load Balancer を使用する場合 (AVI_CONTROL_PLANE_HA_PROVIDER: true) は、次の処理が可能です。
  • 制御プレーン エンドポイントとして特定のアドレスが必要ない場合は、このフィールドを空白のままにします。
  • これを IP アドレス管理プロファイルの仮想 IP アドレス ネットワーク範囲内の特定のアドレスに設定し、アドレスを固定 IP プールに手動で追加します。
  • このフィールドを FQDN に設定します。
VSPHERE_CONTROL_PLANE_ENDPOINT_PORT オプション。vSphere 上の展開の Kubernetes API サーバ ポートを NSX Advanced Load Balancer でオーバーライドする場合に設定します。デフォルトのポートは 6443 です。NSX Advanced Load Balancer を使用せずに vSphere 上の展開の Kubernetes API サーバ ポートをオーバーライドするには、CLUSTER_API_SERVER_PORT を設定します。
VSPHERE_CONTROL_PLANE_MEM_MIB オプション。制御プレーン ノード仮想マシンのメモリ容量(メガバイト単位)です。引用符 (””) を含めます。たとえば、"2048" などです。
VSPHERE_CONTROL_PLANE_NUM_CPUS オプション。制御プレーン ノード仮想マシンの CPU 数です。引用符 (““) を含めます。少なくとも 2 である必要があります。たとえば、"2" などです。
VSPHERE_DATACENTER 必須。vSphere インベントリに表示される、クラスタを展開するデータセンターの名前です。たとえば、/MY-DATACENTER などです。
VSPHERE_DATASTORE 必須。vSphere インベントリに表示される、クラスタが使用する vSphere データストアの名前です。たとえば、/MY-DATACENTER/datastore/MyDatastore などです。
VSPHERE_FOLDER 必須。vSphere インベントリに表示される、Tanzu Kubernetes Grid 仮想マシンを配置する既存の仮想マシン フォルダの名前です。たとえば、TKG という名前のフォルダを作成した場合、パスは /MY-DATACENTER/vm/TKG になります。
VSPHERE_INSECURE オプション。サムプリントの検証をバイパスするには、true に設定します。false の場合は、VSPHERE_TLS_THUMBPRINT を設定します。
VSPHERE_MTU オプション。vSphere 標準スイッチの管理クラスタ ノードとワークロード クラスタ ノードの最大転送ユニット (MTU) のサイズを設定します。設定しない場合、デフォルトは 1500 です。最大値は 9000 です。「クラスタ ノード MTU の構成」を参照してください。
VSPHERE_NETWORK 必須。vSphere インベントリに表示される、Kubernetes サービス ネットワークとして使用する既存の vSphere ネットワークの名前です。たとえば、VM Network などです。
VSPHERE_PASSWORD 必須。vSphere ユーザー アカウントのパスワードです。この値は、tanzu cluster create を実行するときに Base64 エンコードされます。
VSPHERE_REGION オプション。複数のデータセンターまたはホスト クラスタがある環境で CSI ストレージを割り当てるために使用される、vCenter Server のリージョンのタグです。「CSI のリージョン タグとゾーン タグを使用したクラスタの展開」を参照してください。
VSPHERE_RESOURCE_POOL 必須。vSphere インベントリに表示される、この Tanzu Kubernetes Grid インスタンスを配置する既存のリソース プールの名前です。クラスタのルート リソース プールを使用するには、フル パスを入力します。たとえば、データセンター MY-DATACENTERcluster0 という名前のクラスタの場合、フル パスは /MY-DATACENTER/host/cluster0/Resources です。
VSPHERE_SERVER 必須。ワークロード クラスタを展開する vCenter Server インスタンスの IP アドレスまたは FQDN です。
VSPHERE_SSH_AUTHORIZED_KEY 必須vSphere への管理クラスタの展開に関するトピックで作成した、SSH パブリック キーの内容を貼り付けます。たとえば、…"ssh-rsa NzaC1yc2EA [] hnng2OYYSl+8ZyNz3fmRGX8uPYqw== [email protected]".
VSPHERE_STORAGE_POLICY_ID オプション[ポリシーおよびプロファイル (Policies and Profiles)] > [仮想マシン ストレージ ポリシー (VM Storage Policies)] で表示される、管理クラスタの仮想マシン ストレージ ポリシーの名前です。
VSPHERE_DATASTORE が設定されている場合は、ストレージ ポリシーに含める必要があります。それ以外の場合、クラスタ作成プロセスはポリシーと互換性のあるデータストアを選択します。
VSPHERE_TEMPLATE オプション。同じ Kubernetes バージョンに複数のカスタム OVA イメージを使用している場合は、OVA ファイルのパスを /MY-DC/vm/MY-FOLDER-PATH/MY-IMAGE の形式で指定します。詳細については、「カスタム OVA イメージを使用したクラスタの展開」を参照してください。
VSPHERE_TLS_THUMBPRINT VSPHERE_INSECUREfalse に設定されている場合は.必須。vCenter Server 証明書のサムプリントです。vCenter Server 証明書サムプリントを取得する方法については、「vSphere 証明書サムプリントの取得」を参照してください。安全でない接続を使用する場合は、VSPHERE_INSECUREtrue に設定してこの値をスキップできます。
VSPHERE_USERNAME 必須。Tanzu Kubernetes Grid 操作に必要な権限を持つ、ドメイン名を含む vSphere ユーザー アカウントです。たとえば、[email protected] などです。
VSPHERE_WORKER_DISK_GIB オプション。ワーカー ノード仮想マシンのディスク サイズ(ギガバイト単位)です。引用符 (””) を含めます。たとえば、"50" などです。
VSPHERE_WORKER_MEM_MIB オプション。ワーカー ノード仮想マシンのメモリ容量(メガバイト単位)です。引用符 (““) を含めます。たとえば、"4096" などです。
VSPHERE_WORKER_NUM_CPUS オプション。ワーカー ノード仮想マシンの CPU 数です。引用符 (””) を含めます。少なくとも 2 である必要があります。たとえば、"2" などです。
VSPHERE_ZONE オプション。複数のデータセンターまたはホスト クラスタがある環境で CSI ストレージを割り当てるために使用される、vCenter Server のゾーンのタグです。「CSI のリージョン タグとゾーン タグを使用したクラスタの展開」を参照してください。

Kube-VIP ロード バランサ(テクニカル プレビュー)

Kube-VIP を L4 ロード バランサ サービスとして構成する方法については、「Kube-VIP ロード バランサ」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
KUBEVIP_LOADBALANCER_ENABLE オプション。デフォルトは false です。true または false に設定します。ワークロードのロード バランサとして Kube-VIP を有効にします。true の場合は、以下のいずれかの変数を設定する必要があります。
KUBEVIP_LOADBALANCER_IP_RANGES LoadBalancer タイプのサービス IP アドレスに割り当てる重複しない IP アドレス範囲のリスト。例:10.0.0.1-10.0.0.23,10.0.2.1-10.0.2.24
KUBEVIP_LOADBALANCER_CIDRS LoadBalancer タイプのサービス IP アドレスに割り当てる重複しない CIDR のリスト。例:10.0.0.0/24,10.0.2/24KUBEVIP_LOADBALANCER_IP_RANGES の設定をオーバーライドします。

NSX Advanced Load Balancer

NSX Advanced Load Balancer の展開方法については、NSX Advanced Load Balancer のインストールに関する説明を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
AVI_ENABLE オプション。デフォルトは false です。true または false に設定します。ワークロードのロード バランサとして NSX Advanced Load Balancer を有効にします。true の場合は、「NSX Advanced Load Balancer」にリストされている必須の変数を設定する必要があります。
AVI_ADMIN_CREDENTIAL_NAME オプション。デフォルトは avi-controller-credentials です。NSX Advanced Load Balancer コントローラの管理者ユーザー名とパスワードを含む Kubernetes シークレットの名前です。
AVI_AKO_IMAGE_PULL_POLICY オプション。デフォルトは IfNotPresent です。
AVI_CA_DATA_B64 必須。コントローラ証明書の署名に使用されるコントローラ認証局の内容です。Base64 でエンコードされている必要があります。エンコードされていないカスタム証明書の内容を取得します。詳細については、Avi コントローラの設定の、カスタム証明書に関する説明を参照してください。
AVI_CA_NAME オプション。デフォルトは avi-controller-ca です。NSX Advanced Load Balancer コントローラの認証局を保持する Kubernetes シークレットの名前です。
AVI_CLOUD_NAME 必須。NSX Advanced Load Balancer 展開で作成したクラウドです。たとえば、Default-Cloud などです。
AVI_CONTROLLER 必須。NSX Advanced Load Balancer コントローラの IP アドレスまたはホスト名です。
AVI_CONTROL_PLANE_HA_PROVIDER 必須。制御プレーン API サーバ エンドポイントとして NSX Advanced Load Balancer を有効にするには、true に設定します。または、制御プレーン エンドポイントとして Kube-Vip を使用するには、false に設定します。
AVI_CONTROL_PLANE_NETWORK オプション。ワークロード クラスタの制御プレーンの仮想 IP アドレス ネットワークを定義します。ワークロード クラスタに個別の仮想 IP アドレス ネットワークを構成する場合に使用します。このフィールドはオプションです。空のままにすると、AVI_DATA_NETWORK と同じネットワークが使用されます。
AVI_CONTROL_PLANE_NETWORK_CIDR オプション。デフォルトでは、AVI_DATA_NETWORK_CIDR と同じネットワークが使用されます。ワークロード クラスタの制御プレーンに使用するサブネットの CIDR です。ワークロード クラスタに個別の仮想 IP アドレス ネットワークを構成する場合に使用します。特定のネットワークのサブネット CIDR は、NSX Advanced Load Balancer インターフェイスの [インフラストラクチャ - ネットワーク (Infrastructure - Networks)] ビューで確認できます。
AVI_DATA_NETWORK 必須。ワークロード クラスタでホストされているアプリケーションへのトラフィック用に、フローティング IP サブネットまたは IP プールがロード バランサに割り当てられるネットワークの名前です。このネットワークは、SERVICE_CIDR 変数で指定する、Tanzu Kubernetes Grid が使用する Kubernetes ネットワークと同じ vCenter Server インスタンスに存在する必要があります。これにより、NSX Advanced Load Balancer は、vCenter Server で Kubernetes ネットワークを検出し、サービス エンジンを展開および構成できます。
AVI_DATA_NETWORK_CIDR 必須。ロード バランサ仮想 IP アドレスに使用するサブネットの CIDR です。これは、仮想 IP アドレス ネットワークの構成済みサブネットのいずれかから取得されます。特定のネットワークのサブネット CIDR は、NSX Advanced Load Balancer インターフェイスの [インフラストラクチャ - ネットワーク (Infrastructure - Networks)] ビューで確認できます。
AVI_DISABLE_INGRESS_CLASS オプション。デフォルトは false です。Ingress クラスを無効にします。
AVI_DISABLE_STATIC_ROUTE_SYNC オプション。デフォルトは false です。NSX ALB サービス エンジンからポッド ネットワークにアクセスできる場合は、true に設定します。
AVI_INGRESS_DEFAULT_INGRESS_CONTROLLER オプション。デフォルトは false です。デフォルトの入力方向コントローラとして AKO を使用します。
注:この変数は TKG v2.3 では機能しません。回避策については、リリース ノートの既知の問題「一部の NSX ALB 構成変数が機能しない」を参照してください。
AVI_INGRESS_NODE_NETWORK_LIST ノードが属するポート グループ (PG) ネットワークの名前と、CNI がポッドに割り当てるノードに対して割り当てる関連 CIDR を指定します。これは、AKODeploymentConfig ファイルで更新することをお勧めします。「ClusterIP モードの L7 Ingress」を参照してください。クラスタ構成ファイルを使用する場合、形式は ‘[{“networkName”: “vsphere-portgroup”,“cidrs”: [“100.64.42.0/24”]}]’ のようになります。
AVI_INGRESS_SERVICE_TYPE オプション。AKO が ClusterIPNodePort、または NodePortLocal モードで機能するかどうかを指定します。デフォルトの名前は NodePort です。
AVI_INGRESS_SHARD_VS_SIZE オプション。AKO は、レイヤー 7 の入力方向オブジェクトにシャーディング ロジックを使用します。シャーディングされた VS では、1 つの仮想 IP アドレスまたは仮想 IP アドレスによってホストされる、複数の安全でない、または安全な入力方向をホストします。LARGEMEDIUM、または SMALL に設定します。デフォルトは SMALL です。これを使用して、レイヤー 7 VS の数を制御します。これは、安全な VS と安全でない VS の両方に適用されますが、パススルーには適用されません。
AVI_LABELS オプション。設定すると、NSX Advanced Load Balancer はこのラベルを持つワークロード クラスタでのみ有効になります。引用符 ("") を含めます。たとえば、AVI_LABELS: “{foo: ‘bar’}” などです。
AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_CIDR オプション。管理クラスタの制御プレーンに使用するサブネットの CIDR です。管理クラスタの制御プレーンに個別の仮想 IP アドレス ネットワークを構成する場合に使用します。特定のネットワークのサブネット CIDR は、NSX Advanced Load Balancer インターフェイスの [インフラストラクチャ - ネットワーク (Infrastructure - Networks)] ビューで確認できます。このフィールドはオプションです。空のままにすると、AVI_DATA_NETWORK_CIDR と同じネットワークが使用されます。
AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_NAME オプション。管理クラスタの制御プレーンの仮想 IP アドレス ネットワークを定義します。管理クラスタの制御プレーンに個別の仮想 IP アドレス ネットワークを構成する場合に使用します。このフィールドはオプションです。空のままにすると、AVI_DATA_NETWORK と同じネットワークが使用されます。
AVI_MANAGEMENT_CLUSTER_SERVICE_ENGINE_GROUP オプション。管理クラスタで AKO によって使用されるサービス エンジン グループの名前を指定します。このフィールドはオプションです。空のままにすると、AVI_SERVICE_ENGINE_GROUP と同じネットワークが使用されます。
AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_NAME オプション。デフォルトでは、AVI_DATA_NETWORK と同じネットワークが使用されます。管理クラスタおよびワークロード クラスタ制御プレーンのロード バランサにフローティング IP サブネットまたは IP プールを割り当てるネットワークの名前です(制御プレーン HA を提供するために NSX ALB を使用している場合)。このネットワークは、管理クラスタ用に SERVICE_CIDR 変数で指定する、Tanzu Kubernetes Grid が使用する Kubernetes ネットワークと同じ vCenter Server インスタンスに存在する必要があります。これにより、NSX Advanced Load Balancer は、vCenter Server で Kubernetes ネットワークを検出し、サービス エンジンを展開および構成できます。
AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_CIDR オプション。デフォルトでは、AVI_DATA_NETWORK_CIDR と同じネットワークが使用されます。管理クラスタとワークロード クラスタの制御プレーン(制御プレーン HA を提供するために NSX ALB を使用している場合)ロード バランサ仮想 IP アドレスに使用するサブネットの CIDR です。これは、仮想 IP アドレス ネットワークの構成済みサブネットのいずれかから取得されます。特定のネットワークのサブネット CIDR は、NSX Advanced Load Balancer インターフェイスの [インフラストラクチャ - ネットワーク (Infrastructure - Networks)] ビューで確認できます。
AVI_NAMESPACE オプション。デフォルトは “tkg-system-networking” です。AKO Operator の名前空間です。
AVI_NSXT_T1LR オプション。AVI Controller ユーザー インターフェイスの NSX Cloud で管理クラスタ用に構成した NSX T1 ルーター パスです。これは、NSX ALB コントローラで NSX Cloud を使用する場合に必須です。
ワークロード クラスタに別の T1 を使用するには、管理クラスタの作成後に AKODeploymentConfig オブジェクト install-ako-for-all を変更します。
AVI_PASSWORD 必須。展開時にコントローラ管理者用に設定したパスワードです。
AVI_SERVICE_ENGINE_GROUP 必須。サービス エンジン グループの名前です。たとえば、Default-Group などです。
AVI_USERNAME 必須。展開時にコントローラ ホスト用に設定した管理者ユーザー名です。

NSX ポッド ルーティング

これらの変数は、「ルーティング可能 IP ポッドを使用したクラスタのデプロイ」で説明しているように、ルーティング可能な IP アドレス ワークロード ポッドを構成します。すべての文字列タイプの設定は二重引用符で囲む必要があります("true" など)。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
NSXT_POD_ROUTING_ENABLED オプション。デフォルトは “false” です。“true” に設定すると、次の変数を使用して NSX ルーティング可能なポッドが有効になります。「ルーティング可能 IP ポッドを使用したクラスタのデプロイ」を参照してください。
NSXT_MANAGER_HOST NSXT_POD_ROUTING_ENABLED= “true” の場合は必須
NSX Manager の IP アドレス。
NSXT_ROUTER_PATH NSXT_POD_ROUTING_ENABLED= “true” の場合は必須。NSX Manager に表示される T1 ルーター パスです。
NSX へのユーザー名/パスワード認証の場合:
NSXT_USERNAME NSX Manager にログインするためのユーザー名です。
NSXT_PASSWORD NSX Manager にログインするためのパスワードです。
認証情報を使用して NSX を認証し、Kubernetes シークレットに保存する場合です(前述の NSXT_USERNAME および NSXT_PASSWORD も設定)。
NSXT_SECRET_NAMESPACE オプション。デフォルトは “kube-system” です。NSX ユーザー名とパスワードを含むシークレットを持つ名前空間です。
NSXT_SECRET_NAME オプション。デフォルトは “cloud-provider-vsphere-nsxt-credentials” です。NSX ユーザー名とパスワードを含むシークレットの名前です。
NSX への証明書認証の場合:
NSXT_ALLOW_UNVERIFIED_SSL オプション。デフォルトは false です。NSX が自己署名証明書を使用する場合は、これを “true” に設定します。
NSXT_ROOT_CA_DATA_B64 NSXT_ALLOW_UNVERIFIED_SSL= “false” の場合は必須
NSX が LDAP 認証に使用する、Base64 でエンコードされた認証局のルート証明書文字列です。
NSXT_CLIENT_CERT_KEY_DATA ローカル クライアント証明書の、Base64 でエンコードされた証明書キー ファイル文字列です。
NSXT_CLIENT_CERT_DATA ローカル クライアント証明書の、Base64 でエンコードされた証明書ファイル文字列です。
VMware Cloud (VMC) での、VMware Identity Manager を使用した NSX へのリモート認証の場合:
NSXT_REMOTE_AUTH オプション。デフォルトは false です。VMware Cloud (VMC) で、VMware Identity Manager を使用した NSX へのリモート認証の場合は、これを “true” に設定します。
NSXT_VMC_AUTH_HOST オプション。デフォルトでは空になります。VMC 認証ホストです。
NSXT_VMC_ACCESS_TOKEN オプション。デフォルトでは空になります。VMC 認証アクセス トークンです。

ノード IP アドレス管理

これらの変数は、「ノード IP アドレス管理」で説明するように、クラスタ内 IP アドレス管理 (IPAM) を構成します。すべての文字列タイプの設定は二重引用符で囲む必要があります("true" など)。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
CONTROL_PLANE_NODE_NAMESERVERS ノード IP アドレス管理によって管理される制御プレーン ノード アドレスのネームサーバのカンマ区切りリスト(たとえば、“10.10.10.10”)。Ubuntu および Photon でサポートされます。Windows ではサポートされていません。
NODE_IPAM_IP_POOL_APIVERSION ワークロード クラスタで使用される InClusterIPPool オブジェクトの API バージョン。デフォルトは “ipam.cluster.x-k8s.io/v1alpha2” です。以前の TKG バージョンでは v1alpha1 が使用されました。
NODE_IPAM_IP_POOL_KIND ワークロード クラスタで使用される IP プール オブジェクトのタイプ。デフォルトは “InClusterIPPool” ですが、同じプールを他のクラスタと共有する場合は “GlobalInClusterIPPool” にすることもできます。
NODE_IPAM_IP_POOL_NAME ワークロード クラスタで使用される IP アドレス プールを構成する IP アドレス プール オブジェクトの名前。
WORKER_NODE_NAMESERVERS ノード IP アドレス管理によって管理されるワーカー ノード アドレスのネームサーバのカンマ区切りリスト(たとえば、“10.10.10.10”)。Ubuntu および Photon でサポートされます。Windows ではサポートされていません。
MANAGEMENT_NODE_IPAM_IP_POOL_GATEWAY 管理クラスタ内の IP アドレス管理プール アドレスのデフォルト ゲートウェイ(たとえば、"10.10.10.1)。
MANAGEMENT_NODE_IPAM_IP_POOL_ADDRESSES IP アドレス管理が管理クラスタに割り当てるために使用できるアドレス。単一の IP アドレス、範囲(10.0.0.2-10.0.0.100 など)、または CIDR(10.0.0.32/27 など)を含めることができるカンマ区切りリストです。
クラスタのアップグレードで必要な場合、未使用のままの追加アドレスを含めます。必要な追加アドレスの数はデフォルトで 1 で、クラスタ オブジェクト仕様の topology.controlPlane および topology.workers 定義の注釈 topology.cluster.x-k8s.io/upgrade-concurrency によって設定されます。
MANAGEMENT_NODE_IPAM_IP_POOL_SUBNET_PREFIX スタンドアローン管理クラスタ内の IP アドレス管理プール アドレスのサブネットのネットワーク プリフィックス(たとえば、“24”

GPU 対応クラスタ

これらの変数は、GPU 対応ワークロード クラスタの展開に関するトピックで説明されているように、GPU 対応のワークロード クラスタを PCI パススルー モードで構成します。すべての文字列タイプの設定は二重引用符で囲む必要があります("true" など)。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
VSPHERE_CONTROL_PLANE_CUSTOM_VMX_KEYS すべての制御プレーン マシンにカスタム VMX キーを設定します。Key1=Value1,Key2=Value2 の形式を使用します。「GPU 対応ワークロード クラスタの展開」を参照してください。
VSPHERE_CONTROL_PLANE_HARDWARE_VERSION PCI パススルー モードの GPU デバイスを使用する制御プレーン仮想マシンのハードウェア バージョン。必要な最小バージョンは 17 です。値の形式は vmx-17 で、末尾の数字は仮想マシンのハードウェア バージョンです。さまざまなハードウェア バージョンでの機能サポートについては、vSphere ドキュメントの「仮想マシンの互換性の設定で使用できるハードウェア機能」を参照してください。
VSPHERE_CONTROL_PLANE_PCI_DEVICES すべての制御プレーン マシンで PCI パススルーを構成します。<vendor_id>:<device_id> の形式を使用します。たとえば、VSPHERE_WORKER_PCI_DEVICES: “0x10DE:0x1EB8” などです。ベンダー ID とデバイス ID を確認するには、GPU 対応ワークロード クラスタの展開に関する説明を参照してください。
VSPHERE_IGNORE_PCI_DEVICES_ALLOW_LIST NVIDIA Tesla T4 GPU を使用している場合は false、NVIDIA V100 GPU を使用している場合は true に設定します。
VSPHERE_WORKER_CUSTOM_VMX_KEYS すべてのワーカー マシンにカスタム VMX キーを設定します。Key1=Value1,Key2=Value2 の形式を使用します。例については、GPU 対応ワークロード クラスタの展開に関する説明を参照してください。
VSPHERE_WORKER_HARDWARE_VERSION PCI パススルー モードの GPU デバイスを使用するワーカー仮想マシンのハードウェア バージョン。必要な最小バージョンは 17 です。値の形式は vmx-17 で、末尾の数字は仮想マシンのハードウェア バージョンです。さまざまなハードウェア バージョンでの機能サポートについては、vSphere ドキュメントの「仮想マシンの互換性の設定で使用できるハードウェア機能」を参照してください。
VSPHERE_WORKER_PCI_DEVICES すべてのワーカー マシンで PCI パススルーを構成します。<vendor_id>:<device_id> の形式を使用します。たとえば、VSPHERE_WORKER_PCI_DEVICES: “0x10DE:0x1EB8” などです。ベンダー ID とデバイス ID を確認するには、GPU 対応ワークロード クラスタの展開に関する説明を参照してください。
WORKER_ROLLOUT_STRATEGY オプション。MachineDeployment ロールアウト戦略を構成します。デフォルトは RollingUpdate です。OnDelete に設定した場合、更新時に、置き換えワーカー マシンが作成される前に、まず既存のワーカー マシンが削除されます。使用可能な PCI デバイスがすべてワーカー ノードによって使用されている場合は、これを OnDelete に設定することが必須です。

AWS

次の表の変数は、ワークロード クラスタを AWS に展開するときにクラスタ構成ファイルで指定するオプションです。これらのオプションの多くは、ワークロード クラスタと、展開に使用する管理クラスタの両方で同じです。

AWS の構成ファイルの詳細については、「AWS の管理クラスタ構成」と、「AWS クラスタの構成ファイル」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
AWS_ACCESS_KEY_ID オプション。AWS アカウントのアクセス キー ID。これは、AWS に対して認証するための 1 つのオプションです。「AWS アカウントの認証情報の構成」を参照してください。
AWS_PROFILE、または AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY の組み合わせのみを使用します。両方を使用することはできません。
AWS_CONTROL_PLANE_OS_DISK_SIZE_GIB オプション。制御プレーン ノードのディスク サイズです。CONTROL_PLANE_MACHINE_TYPESIZE、または CONTROLPLANE_SIZE で設定された仮想マシン タイプのデフォルトのディスク サイズをオーバーライドします。
AWS_LOAD_BALANCER_SCHEME_INTERNAL オプション。管理クラスタの場合は、ロード バランサ スキームを内部に設定して、インターネット経由のアクセスを防止します。ワークロード クラスタの場合は、VPC を共有するとき、またはピアリングされたときに、管理クラスタがワークロード クラスタのロード バランサに内部でアクセスできるようにします。「API サーバに内部ロード バランサを使用する」を参照してください。
AWS_NODE_AZ 必須。この管理クラスタのアベイラビリティ ゾーンとして使用する、選択したリージョン内の AWS アベイラビリティ ゾーンの名前です。アベイラビリティ ゾーン名は AWS リージョン名と同じで、abc などの小文字のサフィックスが 1 つ付いています。たとえば、us-west-2a などです。3 台の制御プレーン ノードを持つ prod 管理クラスタを展開するには、AWS_NODE_AZ_1AWS_NODE_AZ_2 も設定する必要があります。これらの各アベイラビリティ ゾーンの文字サフィックスは一意である必要があります。たとえば、us-west-2aus-west-2bus-west-2c などです。
AWS_NODE_OS_DISK_SIZE_GIB オプション。ワーカー ノードのディスク サイズです。NODE_MACHINE_TYPESIZE、または WORKER_SIZE で設定された仮想マシン タイプのデフォルトのディスク サイズをオーバーライドします。
AWS_NODE_AZ_1AWS_NODE_AZ_2 オプション。3 台の制御プレーン ノードを持つ prod 管理クラスタを展開する場合は、これらの変数を設定します。両方のアベイラビリティ ゾーンは、AWS_NODE_AZ と同じリージョンに配置する必要があります。詳細については、前述の AWS_NODE_AZ を参照してください。たとえば、us-west-2aap-northeast-2b などです。
AWS_PRIVATE_NODE_CIDR_1 オプション。10.0.2.0/24 の推奨範囲が使用できない場合は、別の IP アドレス範囲を CIDR 形式で入力します。Tanzu Kubernetes Grid が管理クラスタを展開するときに、このサブネットワークが AWS_NODE_AZ_1 に作成されます。詳細については、前述の AWS_PRIVATE_NODE_CIDR を参照してください。
AWS_PRIVATE_NODE_CIDR_2 オプション。10.0.4.0/24 の推奨範囲が使用できない場合は、別の IP アドレス範囲を CIDR 形式で入力します。Tanzu Kubernetes Grid が管理クラスタを展開するときに、このサブネットワークが AWS_NODE_AZ_2 に作成されます。詳細については、前述の AWS_PRIVATE_NODE_CIDR を参照してください。
AWS_PROFILE オプションaws configure が管理する、Tanzu Kubernetes Grid が AWS アカウントへのアクセスに使用する AWS 認証情報プロファイルです。これは、AWS への認証に推奨されるオプションです。「AWS アカウントの認証情報の構成」を参照してください。
AWS_PROFILE、または AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY の組み合わせのみを使用します。両方を使用することはできません。
AWS_PUBLIC_NODE_CIDR_1 オプション。10.0.3.0/24 の推奨範囲が使用できない場合は、別の IP アドレス範囲を CIDR 形式で入力します。Tanzu Kubernetes Grid が管理クラスタを展開するときに、このサブネットワークが AWS_NODE_AZ_1 に作成されます。詳細については、前述の AWS_PUBLIC_NODE_CIDR を参照してください。
AWS_PUBLIC_NODE_CIDR_2 オプション。10.0.5.0/24 の推奨範囲が使用できない場合は、別の IP アドレス範囲を CIDR 形式で入力します。Tanzu Kubernetes Grid が管理クラスタを展開するときに、このサブネットワークが AWS_NODE_AZ_2 に作成されます。詳細については、前述の AWS_PUBLIC_NODE_CIDR を参照してください。
AWS_PRIVATE_SUBNET_ID オプション。既存の VPC を使用するように AWS_VPC_ID を設定する場合は、AWS_NODE_AZ にすでに存在するプライベート サブネットの ID を入力します。この設定はオプションです。設定しない場合、tanzu management-cluster create はプライベート サブネットを自動的に識別します。3 台の制御プレーン ノードを持つ prod 管理クラスタを展開するには、AWS_PRIVATE_SUBNET_ID_1AWS_PRIVATE_SUBNET_ID_2 も設定する必要があります。
AWS_PRIVATE_SUBNET_ID_1 オプションAWS_NODE_AZ_1 に存在するプライベート サブネットの ID です。この変数を設定しない場合、tanzu management-cluster create はプライベート サブネットを自動的に識別します。詳細については、前述の AWS_PRIVATE_SUBNET_ID を参照してください。
AWS_PRIVATE_SUBNET_ID_2 オプションAWS_NODE_AZ_2 に存在するプライベート サブネットの ID です。この変数を設定しない場合、tanzu management-cluster create はプライベート サブネットを自動的に識別します。詳細については、前述の AWS_PRIVATE_SUBNET_ID を参照してください。
AWS_PUBLIC_SUBNET_ID オプション。既存の VPC を使用するように AWS_VPC_ID を設定する場合は、AWS_NODE_AZ にすでに存在するパブリック サブネットの ID を入力します。この設定はオプションです。設定しない場合、tanzu management-cluster create はパブリック サブネットを自動的に識別します。3 台の制御プレーン ノードを持つ prod 管理クラスタを展開するには、AWS_PUBLIC_SUBNET_ID_1AWS_PUBLIC_SUBNET_ID_2 も設定する必要があります。
AWS_PUBLIC_SUBNET_ID_1 オプションAWS_NODE_AZ_1 に存在するパブリック サブネットの ID です。この変数を設定しない場合、tanzu management-cluster create はパブリック サブネットを自動的に識別します。詳細については、前述の AWS_PUBLIC_SUBNET_ID を参照してください。
AWS_PUBLIC_SUBNET_ID_2 オプションAWS_NODE_AZ_2 に存在するパブリック サブネットの ID です。この変数を設定しない場合、tanzu management-cluster create はパブリック サブネットを自動的に識別します。詳細については、前述の AWS_PUBLIC_SUBNET_ID を参照してください。
AWS_REGION 必須。クラスタを展開する AWS リージョンの名前です。たとえば、us-west-2 などです。AWS GovCloud で us-gov-east リージョンと us-gov-west リージョンを指定することもできます。別のリージョンを環境変数としてすでに設定している場合(管理クラスタの AWS への展開での場合など)は、その環境変数の設定を解除する必要があります。たとえば、us-west-2ap-northeast-2 などです。
AWS_SECRET_ACCESS_KEY オプション。AWS アカウントのシークレット アクセス キーです。これは、AWS に対して認証するための 1 つのオプションです。「AWS アカウントの認証情報の構成」を参照してください。
AWS_PROFILE、または AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY の組み合わせのみを使用します。両方を使用することはできません。
AWS_SECURITY_GROUP_APISERVER_LB オプション。クラスタに適用するカスタム ルールを持つカスタム セキュリティ グループです。「カスタム セキュリティ グループの構成」を参照してください。
AWS_SECURITY_GROUP_BASTION
AWS_SECURITY_GROUP_CONTROLPLANE
AWS_SECURITY_GROUP_APISERVER_LB
AWS_SECURITY_GROUP_NODE
AWS_SESSION_TOKEN オプション。一時的なアクセス キーを使用する必要がある場合は、アカウントに付与された AWS セッション トークンを指定します。一時アクセス キーの使用の詳細については、「Understanding and getting your AWS credentials」を参照してください。AWS アカウントのセッション トークンを指定します。また、ローカル環境変数として、AWS のデフォルトの認証情報プロバイダ チェーンでアカウントの認証情報を指定することもできます。
AWS_SSH_KEY_NAME 必須。AWS アカウントに登録した SSH プライベート キーの名前です。
AWS_VPC_ID オプション。選択した AWS リージョンにすでに存在する VPC を使用するには、VPC の ID を入力し、AWS_PUBLIC_SUBNET_IDAWS_PRIVATE_SUBNET_ID を設定します。
BASTION_HOST_ENABLED オプション。デフォルトでは、このオプションはグローバル Tanzu Kubernetes Grid 構成で "true" に設定されています。AWS Bastion ホストを展開するには "true"、既存の Bastion ホストを再利用するには "false" を指定します。アベイラビリティ ゾーンに Bastion ホストが存在せず、既存の VPC を使用するように AWS_VPC_ID を設定した場合は、BASTION_HOST_ENABLED"true"に設定します。
CONTROL_PLANE_MACHINE_TYPE クラウドに依存しない SIZE または CONTROLPLANE_SIZE が設定されていない場合は必須。クラスタ制御プレーン ノードに使用する Amazon EC2 インスタンス タイプ(t3.smallm5.large など)です。
NODE_MACHINE_TYPE クラウドに依存しない SIZE または WORKER_SIZE が設定されていない場合は必須。クラスタ ワーカー ノードに使用する Amazon EC2 インスタンス タイプ(t3.smallm5.large など)です。

Microsoft Azure

次の表の変数は、ワークロード クラスタを Azure に展開するときにクラスタ構成ファイルで指定するオプションです。これらのオプションの多くは、ワークロード クラスタと、展開に使用する管理クラスタの両方で同じです。

Azure の構成ファイルの詳細については、「Azure の管理クラスタ構成」と、「Azure クラスタの構成ファイル」を参照してください。

変数 設定可能… 説明
管理クラスタ YAML ワークロード クラスタ YAML
AZURE_CLIENT_ID 必須。Azure に登録した Tanzu Kubernetes Grid のアプリケーションのクライアント ID です。
AZURE_CLIENT_SECRET 必須Azure での Tanzu Kubernetes Grid アプリケーションの登録に関する説明にある Azure クライアント シークレットです。
AZURE_CUSTOM_TAGS オプション。クラスタ用に作成された Azure リソースに適用する、タグのカンマ区切りのリストです。タグは、“foo=bar, plan=prod” など、キーと値のペアです。Azure リソースのタグ付けの詳細については、Microsoft Azure ドキュメントの「Use tags to organize your Azure resources and management hierarchy」および「Tag support for Azure resources」を参照してください。
AZURE_ENVIRONMENT オプション。デフォルトは AzurePublicCloud です。サポートされているクラウドは、AzurePublicCloudAzureChinaCloudAzureGermanCloudAzureUSGovernmentCloud です。
AZURE_IDENTITY_NAME オプション。異なる Azure アカウントでクラスタを使用する場合に設定します。別の Azure アカウントのクラスタを使用するために作成する、AzureClusterIdentity に使用する名前です。詳細については、Azure へのワークロード クラスタの展開に関する説明の「異なる Azure アカウント上のクラスタ」を参照してください。
AZURE_IDENTITY_NAMESPACE オプション。異なる Azure アカウントでクラスタを使用する場合に設定します。異なる Azure アカウントでクラスタを使用するために作成する、AzureClusterIdentity の名前空間です。詳細については、Azure へのワークロード クラスタの展開に関する説明の「異なる Azure アカウント上のクラスタ」を参照してください。
AZURE_LOCATION 必須。クラスタを展開する Azure リージョンの名前です。たとえば、eastus などです。
AZURE_RESOURCE_GROUP オプション。デフォルトは CLUSTER_NAME 設定です。クラスタに使用する Azure リソース グループの名前です。各クラスタに対して一意である必要があります。AZURE_RESOURCE_GROUPAZURE_VNET_RESOURCE_GROUP はデフォルトで同じです。
AZURE_SSH_PUBLIC_KEY_B64 必須Microsoft Azure への管理クラスタの展開のトピックで作成され、Base64 に変換され、改行が削除された、SSH パブリック キーです。たとえば、…c3NoLXJzYSBB [] vdGFsLmlv などです。
AZURE_SUBSCRIPTION_ID 必須。Azure サブスクリプションのサブスクリプション ID です。
AZURE_TENANT_ID 必須。Azure アカウントのテナント ID です。
ネットワーク
AZURE_CONTROL_PLANE_OUTBOUND_LB_FRONTEND_IP_COUNT オプション。デフォルトは 1 です。これを設定して、予期される送信接続数が多い環境の制御プレーン ロード バランサに、複数のフロントエンド IP アドレスを追加します。
AZURE_ENABLE_ACCELERATED_NETWORKING オプション。デフォルトは true です。false に設定すると、4 個を超える CPU を搭載した仮想マシンで Azure 高速ネットワークが無効になります。
AZURE_ENABLE_CONTROL_PLANE_OUTBOUND_LB オプションAZURE_ENABLE_PRIVATE_CLUSTERtrue で、制御プレーンの送信ロード バランサでパブリック IP アドレスを有効にする場合は、true に設定します。
AZURE_ENABLE_NODE_OUTBOUND_LB オプションAZURE_ENABLE_PRIVATE_CLUSTERtrue で、ワーカー ノードの送信ロード バランサでパブリック IP アドレスを有効にする場合は、true に設定します。
AZURE_ENABLE_PRIVATE_CLUSTER オプション。これを true に設定してクラスタをプライベートとして構成し、その受信トラフィックに Azure 内部ロード バランサ (ILB) を使用します。詳細については、「Azure プライベート クラスタ」を参照してください。
AZURE_FRONTEND_PRIVATE_IP オプションAZURE_ENABLE_PRIVATE_CLUSTERtrue で、デフォルトの内部ロード バランサ アドレス 10.0.0.100 をオーバーライドする場合に設定します。
AZURE_NODE_OUTBOUND_LB_FRONTEND_IP_COUNT オプション。デフォルトは 1 です。これを設定して、予期される送信接続数が多い環境のワーカー ノード ロード バランサに、複数のフロントエンド IP アドレスを追加します。
AZURE_NODE_OUTBOUND_LB_IDLE_TIMEOUT_IN_MINUTES オプション。デフォルトは 4 です。これを設定して、ワーカー ノードの送信ロード バランサを介して送信 TCP 接続を開いたままにする時間を分単位で指定します。
AZURE_VNET_CIDR オプション。クラスタを新しい VNet とサブネットに展開し、デフォルト値をオーバーライドする場合に設定します。デフォルトでは、AZURE_VNET_CIDR10.0.0.0/16 に、AZURE_CONTROL_PLANE_SUBNET_CIDR10.0.0.0/24 に、AZURE_NODE_SUBNET_CIDR10.0.1.0/24 に設定されています。
AZURE_CONTROL_PLANE_SUBNET_CIDR
AZURE_NODE_SUBNET_CIDR
AZURE_VNET_NAME オプション。クラスタを既存の VNet およびサブネットに展開する場合、または新しい VNet とサブネットに名前を割り当てる場合に設定します
AZURE_CONTROL_PLANE_SUBNET_NAME
AZURE_NODE_SUBNET_NAME
AZURE_VNET_RESOURCE_GROUP オプション。デフォルトでは、AZURE_RESOURCE_GROUP の値になります。
制御プレーン仮想マシン
AZURE_CONTROL_PLANE_DATA_DISK_SIZE_GIB オプション。Azure ドキュメントの「Disk roles」で説明されているように、制御プレーン仮想マシンのデータ ディスクと OS ディスクのサイズ(ギガバイト単位)です。例:128256。制御プレーン ノードは、常にデータ ディスクを使用してプロビジョニングされます。
AZURE_CONTROL_PLANE_OS_DISK_SIZE_GIB
AZURE_CONTROL_PLANE_MACHINE_TYPE オプション。デフォルトは Standard_D2s_v3 です。想定されるワークロードに合わせて選択された、制御プレーン ノード仮想マシンの Azure 仮想マシン サイズです。Azure インスタンス タイプの最小要件は、2 個の CPU と 8 GB のメモリです。可能な値については、Tanzu Kubernetes Grid インストーラ インターフェイスを参照してください。
AZURE_CONTROL_PLANE_OS_DISK_STORAGE_ACCOUNT_TYPE オプション。制御プレーン仮想マシン ディスクの Azure ストレージ アカウントのタイプです。例:Premium_LRS
ワーカー ノード仮想マシン
AZURE_ENABLE_NODE_DATA_DISK オプション。デフォルトは false です。Azure ドキュメントの「Disk roles」で説明されているように、各ワーカー ノード仮想マシンのデータ ディスクをプロビジョニングするには、true に設定します。
AZURE_NODE_DATA_DISK_SIZE_GIB オプションAZURE_ENABLE_NODE_DATA_DISKtrue の場合にこの変数を設定します。Azure ドキュメントの「Disk roles」で説明されているように、ワーカー仮想マシンのデータ ディスクのサイズ(ギガバイト単位)です。例:128256
AZURE_NODE_OS_DISK_SIZE_GIB オプション。Azure ドキュメントの「Disk roles」で説明されているように、ワーカー仮想マシンの OS ディスクのサイズ(ギガバイト単位)です。例:128256
AZURE_NODE_MACHINE_TYPE オプション。想定されるワークロードに合わせて選択された、ワーカー ノード仮想マシンの Azure 仮想マシン サイズです。デフォルト値は Standard_D2s_v3 です。可能な値については、Tanzu Kubernetes Grid インストーラ インターフェイスを参照してください。
AZURE_NODE_OS_DISK_STORAGE_ACCOUNT_TYPE オプションAZURE_ENABLE_NODE_DATA_DISKtrue の場合に設定します。ワーカー仮想マシン ディスクの Azure ストレージ アカウントのタイプです。例:Premium_LRS

構成値の優先順位

Tanzu CLI がクラスタを作成するときに、このトピックにリストされている変数の値が複数のソースから読み取られます。これらのソースが競合する場合、次の降順の優先順位で競合を解決します。

処理レイヤー(降順の優先順位) ソース
1.インストーラ インターフェイスで設定された管理クラスタ構成変数 –ui オプションによって起動されたインストーラ インターフェイスに入力し、クラスタ構成ファイルに書き込みます。デフォルトのファイルの場所は ~/.config/tanzu/tkg/clusterconfigs/ です。 Standard_D2s_v3 が選択されたワーカー ノード インスタンス タイプのドロップダウン
2.ローカル環境で設定されたクラスタ構成変数 シェルで設定します。 export AZURE_NODE_MACHINE_TYPE=Standard_D2s_v3
3.tanzu config set env. を使用して Tanzu CLI で設定されたクラスタ構成変数。 シェルで設定します。グローバル Tanzu CLI 構成ファイル、~/.config/tanzu/config.yaml に保存されます。 tanzu config set env.AZURE_NODE_MACHINE_TYPE Standard_D2s_v3
4.クラスタ構成ファイルに設定されたクラスタ構成変数 tanzu management-cluster create または tanzu cluster create–file オプションに渡すファイルで設定します。デフォルトのファイルは ~/.config/tanzu/tkg/cluster-config.yaml です。 AZURE_NODE_MACHINE_TYPE: Standard_D2s_v3
5.工場出荷時のデフォルト構成値 providers/config_default.yaml で設定します。このファイルは変更しないでください。 AZURE_NODE_MACHINE_TYPE: “Standard_D2s_v3”

check-circle-line exclamation-circle-line close-line
Scroll to top icon