スーパーバイザー および TKG クラスタに HTTP プロキシ設定を構成する方法と、スーパーバイザー および TKG クラスタを Tanzu Misson Control に登録するときにプロキシを構成するためのワークフローを確認します。
スーパーバイザー に対するプロキシの構成には、vSphere Client、クラスタ管理 API、または DCLI コマンドを使用できます。コンテナ トラフィック、または スーパーバイザー の外部のネットワークからのイメージ プルを処理する必要がある場合は、プロキシを使用します。Tanzu Mission Control で管理クラスタとして登録するオンプレミス スーパーバイザー の場合は、イメージ プルとコンテナ トラフィックに HTTP プロキシを使用できます。
新規作成された vSphere 7.0 Update 3 以降の スーパーバイザー でのプロキシ設定の構成
vSphere 7.0 Update 3 以降の環境で新規作成された スーパーバイザー の場合、HTTP プロキシ設定は vCenter Server から継承されます。vCenter Server で HTTP プロキシ設定を構成する前または後に スーパーバイザー を作成したかに関係なく、設定はクラスタによって継承されます。
vCenter Server で HTTP プロキシ設定を構成する方法については、DNS、IP アドレス、およびプロキシの設定を参照してください。
また、vSphere Client、クラスタ管理 API または DCLI を使用して、個々の スーパーバイザー で継承された HTTP プロキシの構成をオーバーライドすることもできます。
vCenter Server プロキシ設定の継承は、新しく作成された vSphere 7.0.3 スーパーバイザー のデフォルト構成であるため、スーパーバイザー がプロキシを必要とせず、vCenter Server が引き続きプロキシを必要とする場合は、クラスタ管理 API または DCLI を使用して HTTP プロキシ設定を継承しないことも可能です。
vSphere 7.0 Update 3 以降にアップグレードされた スーパーバイザー でのプロキシ設定の構成
スーパーバイザー を vSphere 7.0 Update 3 以降にアップグレードした場合、vCenter Server の HTTP プロキシ設定は自動的に継承されません。この場合は、vSphere Client、vcenter/namespace-management/clusters
API、または DCLI コマンド ラインを使用して スーパーバイザー のプロキシ設定を構成します。
vSphere IaaS control plane での TKG クラスタへの HTTP プロキシの構成
- 個々の TKG クラスタにプロキシ設定を構成します。Tanzu Kubernetes Grid サービス v1alpha2 API を使用して Tanzu Kubernetes クラスタをプロビジョニングするための構成パラメータを参照してください。構成 YAML の例については、Tanzu Kubernetes Grid サービス v1alpha2 API を使用してカスタム Tanzu Kubernetes クラスタをプロビジョニングするためのサンプル YAMLを参照してください。
- すべての TKG クラスタに適用されるグローバル プロキシ構成を作成します。Tanzu Kubernetes Grid サービス v1alpha2 API の構成パラメータを参照してください。
vSphere Client を使用した スーパーバイザー での HTTP プロキシ設定の構成
vSphere Client を使用して スーパーバイザー に HTTP プロキシ設定を構成する方法について確認します。個々の スーパーバイザー で vCenter Server から継承されたプロキシ設定をオーバーライドすることも、プロキシ設定をまったく使用しないようにすることもできます。
前提条件
- クラスタに関するクラスタ全体の構成の変更権限があることを確認します。
手順
- vSphere Client で、[ワークロード管理] に移動します。
- [スーパーバイザー] で、[スーパーバイザー]、[構成] の順に選択します。
- [ネットワーク] を選択し、[プロキシ構成] を展開して、[編集] をクリックします。
- スーパーバイザーで [プロキシ設定の構成] を選択し、プロキシ設定を入力します。
オプション 説明 TLS 証明書 プロキシの証明書を検証するために使用されるプロキシ TLS ルート CA バンドル。バンドルをプレーン テキストで入力します。 ホストと IP アドレスがプロキシから除外されました プロキシ サーバを必要とせず、直接アクセスできる IPv4 アドレス、FQDN、またはドメイン名のカンマ区切りリスト。 HTTPS 構成 URL、ポート、ユーザー名、パスワードなどの HTTPS 設定。 HTTP 構成 URL、ポート、ユーザー名、パスワードなどの HTTP 設定。 - [OK] をクリックします。
結果
クラスタ管理 API と DCLI を使用した スーパーバイザー への HTTP プロキシの構成
vcenter/namespace-management/clusters
API または DCLI を使用して スーパーバイザー プロキシ設定を構成できます。
API 設定 |
新しく作成された vSphere 7.0.3 以降の スーパーバイザー |
vSphere 7.0.3 以降にアップグレードされた スーパーバイザー |
---|---|---|
VC_INHERITED | これは新しい スーパーバイザー のデフォルト設定です。API を使用して スーパーバイザー のプロキシ設定を構成する必要はありません。vCenter Server の管理インターフェイスを使用してプロキシ設定を構成するだけで済みます。 | この設定を使用して、HTTP プロキシの構成を vSphere 7.0.3 以降にアップグレードされた スーパーバイザー にプッシュします。 |
CLUSTER_CONFIGURED | この設定を使用して、次のいずれかの場合に、vCenter Server から継承された HTTP プロキシ構成をオーバーライドします。
|
次のいずれかの場合、この設定を使用して、vSphere 7.0.3 以降にアップグレードされた個々の スーパーバイザー に HTTP プロキシを構成します。
|
NONE | スーパーバイザー がインターネットに直接接続されている一方で、vCenter Server がプロキシを必要としている場合は、この設定を使用します。NONE の設定を使用すると、vCenter Server のプロキシ設定が スーパーバイザー によって継承されなくなります。 |
HTTP プロキシを スーパーバイザー に設定するか、既存の設定を変更するには、vCenter Server との SSH セッションで次のコマンドを使用します。
vc_address=<IP address> cluster_id=domain-c<number> session_id=$(curl -ksX POST --user '<SSO user name>:<password>' https://$vc_address/api/session | xargs -t) curl -k -X PATCH -H "vmware-api-session-id: $session_id" -H "Content-Type: application/json" -d '{ "cluster_proxy_config": { "proxy_settings_source": "CLUSTER_CONFIGURED", "http_proxy_config":"<proxy_url>" } }' https://$vc_address/api/vcenter/namespace-management/clusters/$cluster_id
クラスタ ID 全体の中で渡す必要があるのは domain_c<number>
だけです。たとえば、クラスタ ID が ClusterComputeResource:domain-c50:5bbb510f-759f-4e43-96bd-97fd703b4edb
の場合は、そこから domain-c50
を取得します。
VC_INHERITED
または NONE
の設定を使用する場合は、コマンド内で "http_proxy_config:<proxy_url>"
を省略します。
カスタム CA バンドルを使用するには、TSL CA 証明書をプレーン テキストで指定して、コマンドに "tlsRootCaBundle": "<TLS_certificate>
" を追加します。
curl -k -X PATCH -H "vmware-api-session-id: $session_id" -H "Content-Type: application/json" -d '{ "cluster_proxy_config": { "proxy_settings_source": "CLUSTER_CONFIGURED", "https_proxy_config":"<proxy_url>" } }' https://$vc_address/api/vcenter/namespace-management/clusters/$cluster_id
DCLI を使用した スーパーバイザー での HTTP プロキシ設定の構成
次の DCLI コマンドを使用すると、CLUSTER_CONFIGURED 設定を使用して スーパーバイザー に HTTP プロキシ設定を構成することができます。
<dcli> namespacemanagement clusters update --cluster domain-c57 --cluster-proxy-config-http-proxy-config <proxy URL> --cluster-proxy-config-https-proxy-config <proxy URL> --cluster-proxy-config-proxy-settings-source CLUSTER_CONFIGURED
Tanzu Mission Control 向けの スーパーバイザー および TKG クラスタでの HTTP プロキシ設定の構成
Tanzu Mission Control に管理クラスタとして登録する スーパーバイザー で HTTP プロキシを構成するには、次の手順を実行します。
- vSphere で、vCenter Server から HTTP プロキシ設定を継承するか、vSphere Client、名前空間管理クラスタの API、または DCLI コマンド ラインを使用して個々の スーパーバイザー のプロキシ設定を構成して、スーパーバイザー で HTTP プロキシを構成します。
- Tanzu Mission Control では、vSphere IaaS control plane で スーパーバイザー に構成したプロキシ設定を使用して、プロキシ構成オブジェクトを作成します。「Create a Proxy Configuration Object for a Tanzu Kubernetes Grid Service Cluster」を参照してください。
- Tanzu Mission Control で、スーパーバイザー を管理クラスタとして登録する場合は、このプロキシ構成オブジェクトを使用します。「Register a Management Cluster with Tanzu Mission Control」および「Complete the Registration of a Supervisor Cluster」を参照してください。
Tanzu Mission Control でワークロード クラスタとしてプロビジョニングまたは追加する TKG クラスタに HTTP プロキシを構成するには、次の手順を実行します。
- Tanzu Kubernetes クラスタで使用するプロキシ設定を使用して、プロキシ構成オブジェクトを作成します。「Create a Proxy Configuration Object for a Tanzu Kubernetes Grid Service Cluster」を参照してください。
- Tanzu Kubernetes クラスタをワークロード クラスタとしてプロビジョニングまたは追加する場合は、このプロキシ構成オブジェクトを使用します。「Provision a Cluster」および「Add a Workload Cluster into Tanzu Mission Control Management」を参照してください。