スーパーバイザー および TKG クラスタに HTTP プロキシ設定を構成する方法と、スーパーバイザー および TKG クラスタを Tanzu Misson Control に登録するときにプロキシを構成するためのワークフローを確認します。

スーパーバイザー に対するプロキシの構成には、vSphere Client、クラスタ管理 API、または DCLI コマンドを使用できます。コンテナ トラフィック、または スーパーバイザー の外部のネットワークからのイメージ プルを処理する必要がある場合は、プロキシを使用します。Tanzu Mission Control で管理クラスタとして登録するオンプレミス スーパーバイザー の場合は、イメージ プルとコンテナ トラフィックに HTTP プロキシを使用できます。

新規作成された vSphere 7.0 Update 3 以降の スーパーバイザー でのプロキシ設定の構成

vSphere 7.0 Update 3 以降の環境で新規作成された スーパーバイザー の場合、HTTP プロキシ設定は vCenter Server から継承されます。vCenter Server で HTTP プロキシ設定を構成する前または後に スーパーバイザー を作成したかに関係なく、設定はクラスタによって継承されます。

vCenter Server で HTTP プロキシ設定を構成する方法については、DNS、IP アドレス、およびプロキシの設定を参照してください。

また、vSphere Client、クラスタ管理 API または DCLI を使用して、個々の スーパーバイザー で継承された HTTP プロキシの構成をオーバーライドすることもできます。

vCenter Server プロキシ設定の継承は、新しく作成された vSphere 7.0.3 スーパーバイザー のデフォルト構成であるため、スーパーバイザー がプロキシを必要とせず、vCenter Server が引き続きプロキシを必要とする場合は、クラスタ管理 API または DCLI を使用して HTTP プロキシ設定を継承しないことも可能です。

vSphere 7.0 Update 3 以降にアップグレードされた スーパーバイザー でのプロキシ設定の構成

スーパーバイザー を vSphere 7.0 Update 3 以降にアップグレードした場合、vCenter Server の HTTP プロキシ設定は自動的に継承されません。この場合は、vSphere Client、vcenter/namespace-management/clusters API、または DCLI コマンド ラインを使用して スーパーバイザー のプロキシ設定を構成します。

vSphere IaaS control plane での TKG クラスタへの HTTP プロキシの構成

次のいずれかの方法を使用して、 vSphere IaaS control planeTanzu Kubernetes クラスタにプロキシを構成します。
注: Tanzu Mission Control を使用して TKG クラスタを管理する場合は、 vSphere IaaS control plane のクラスタ YAML ファイルを使用してプロキシ設定を構成する必要はありません。TKG クラスタをワークロード クラスタとして Tanzu Mission Control に追加するときにプロキシ設定を構成できます。

vSphere Client を使用した スーパーバイザー での HTTP プロキシ設定の構成

vSphere Client を使用して スーパーバイザー に HTTP プロキシ設定を構成する方法について確認します。個々の スーパーバイザーvCenter Server から継承されたプロキシ設定をオーバーライドすることも、プロキシ設定をまったく使用しないようにすることもできます。

前提条件

  • クラスタに関するクラスタ全体の構成の変更権限があることを確認します。

手順

  1. vSphere Client で、[ワークロード管理] に移動します。
  2. [スーパーバイザー] で、[スーパーバイザー]、[構成] の順に選択します。
  3. [ネットワーク] を選択し、[プロキシ構成] を展開して、[編集] をクリックします。
  4. スーパーバイザーで [プロキシ設定の構成] を選択し、プロキシ設定を入力します。
    オプション 説明
    TLS 証明書 プロキシの証明書を検証するために使用されるプロキシ TLS ルート CA バンドル。バンドルをプレーン テキストで入力します。
    ホストと IP アドレスがプロキシから除外されました プロキシ サーバを必要とせず、直接アクセスできる IPv4 アドレス、FQDN、またはドメイン名のカンマ区切りリスト。
    HTTPS 構成 URL、ポート、ユーザー名、パスワードなどの HTTPS 設定。
    HTTP 構成 URL、ポート、ユーザー名、パスワードなどの HTTP 設定。
  5. [OK] をクリックします。

結果

この スーパーバイザー で構成したプロキシ設定により、 vCenter Server から継承された設定がオーバーライドされます。

クラスタ管理 API と DCLI を使用した スーパーバイザー への HTTP プロキシの構成

vcenter/namespace-management/clusters API または DCLI を使用して スーパーバイザー プロキシ設定を構成できます。

この API には、 スーパーバイザー でプロキシを構成するオプションが 3 つあります。

API 設定

新しく作成された vSphere 7.0.3 以降の スーパーバイザー

vSphere 7.0.3 以降にアップグレードされた スーパーバイザー
VC_INHERITED これは新しい スーパーバイザー のデフォルト設定です。API を使用して スーパーバイザー のプロキシ設定を構成する必要はありません。vCenter Server の管理インターフェイスを使用してプロキシ設定を構成するだけで済みます。 この設定を使用して、HTTP プロキシの構成を vSphere 7.0.3 以降にアップグレードされた スーパーバイザー にプッシュします。
CLUSTER_CONFIGURED

この設定を使用して、次のいずれかの場合に、vCenter Server から継承された HTTP プロキシ構成をオーバーライドします。

  • スーパーバイザーvCenter Server と異なるサブネット上にあり、別のプロキシ サーバが必要になる。
  • プロキシ サーバはカスタム CA バンドルを使用している。

次のいずれかの場合、この設定を使用して、vSphere 7.0.3 以降にアップグレードされた個々の スーパーバイザー に HTTP プロキシを構成します。

  • スーパーバイザーvCenter Server と異なるサブネット上にあり、別のプロキシ サーバが必要になるため、vCenter Server プロキシは使用できない。
  • プロキシ サーバはカスタム CA バンドルを使用している。
NONE スーパーバイザー がインターネットに直接接続されている一方で、vCenter Server がプロキシを必要としている場合は、この設定を使用します。NONE の設定を使用すると、vCenter Server のプロキシ設定が スーパーバイザー によって継承されなくなります。

HTTP プロキシを スーパーバイザー に設定するか、既存の設定を変更するには、vCenter Server との SSH セッションで次のコマンドを使用します。

vc_address=<IP address>
cluster_id=domain-c<number>
session_id=$(curl -ksX POST --user '<SSO user name>:<password>' https://$vc_address/api/session | xargs -t)
curl -k -X PATCH -H "vmware-api-session-id: $session_id" -H "Content-Type: application/json" -d '{ "cluster_proxy_config": { "proxy_settings_source": "CLUSTER_CONFIGURED", "http_proxy_config":"<proxy_url>" } }' https://$vc_address/api/vcenter/namespace-management/clusters/$cluster_id

クラスタ ID 全体の中で渡す必要があるのは domain_c<number> だけです。たとえば、クラスタ ID が ClusterComputeResource:domain-c50:5bbb510f-759f-4e43-96bd-97fd703b4edb の場合は、そこから domain-c50 を取得します。

VC_INHERITED または NONE の設定を使用する場合は、コマンド内で "http_proxy_config:<proxy_url>" を省略します。

カスタム CA バンドルを使用するには、TSL CA 証明書をプレーン テキストで指定して、コマンドに "tlsRootCaBundle": "<TLS_certificate> " を追加します。

HTTPS プロキシ設定には、次のコマンドを使用します。 
curl -k -X PATCH -H "vmware-api-session-id: $session_id" 
-H "Content-Type: application/json" -d '{ "cluster_proxy_config": 
{ "proxy_settings_source": "CLUSTER_CONFIGURED", "https_proxy_config":"<proxy_url>" } }' 
https://$vc_address/api/vcenter/namespace-management/clusters/$cluster_id

DCLI を使用した スーパーバイザー での HTTP プロキシ設定の構成

次の DCLI コマンドを使用すると、CLUSTER_CONFIGURED 設定を使用して スーパーバイザー に HTTP プロキシ設定を構成することができます。

<dcli> namespacemanagement clusters update --cluster domain-c57 --cluster-proxy-config-http-proxy-config <proxy URL> --cluster-proxy-config-https-proxy-config <proxy URL> --cluster-proxy-config-proxy-settings-source CLUSTER_CONFIGURED

Tanzu Mission Control 向けの スーパーバイザー および TKG クラスタでの HTTP プロキシ設定の構成

Tanzu Mission Control に管理クラスタとして登録する スーパーバイザー で HTTP プロキシを構成するには、次の手順を実行します。

  1. vSphere で、vCenter Server から HTTP プロキシ設定を継承するか、vSphere Client、名前空間管理クラスタの API、または DCLI コマンド ラインを使用して個々の スーパーバイザー のプロキシ設定を構成して、スーパーバイザー で HTTP プロキシを構成します。
  2. Tanzu Mission Control では、vSphere IaaS control planeスーパーバイザー に構成したプロキシ設定を使用して、プロキシ構成オブジェクトを作成します。「Create a Proxy Configuration Object for a Tanzu Kubernetes Grid Service Cluster」を参照してください。
  3. Tanzu Mission Control で、スーパーバイザー を管理クラスタとして登録する場合は、このプロキシ構成オブジェクトを使用します。「Register a Management Cluster with Tanzu Mission Control」および「Complete the Registration of a Supervisor Cluster」を参照してください。

Tanzu Mission Control でワークロード クラスタとしてプロビジョニングまたは追加する TKG クラスタに HTTP プロキシを構成するには、次の手順を実行します。

  1. Tanzu Kubernetes クラスタで使用するプロキシ設定を使用して、プロキシ構成オブジェクトを作成します。「Create a Proxy Configuration Object for a Tanzu Kubernetes Grid Service Cluster」を参照してください。
  2. Tanzu Kubernetes クラスタをワークロード クラスタとしてプロビジョニングまたは追加する場合は、このプロキシ構成オブジェクトを使用します。「Provision a Cluster」および「Add a Workload Cluster into Tanzu Mission Control Management」を参照してください。