Antrea 컨테이너 클러스터를 NSX-T Data Center에 등록하기 전에 몇 가지 사전 필수 작업을 완료해야 합니다.

여러 Antrea 컨테이너 클러스터를 단일 NSX-T Data Center 배포에 등록할 수 있습니다.

Antrea 컨테이너 클러스터 배포

개인 설정: Kubernetes 플랫폼 관리자

Antrea 네트워크 플러그인이 있는 Kubernetes 클러스터는 실행 중이고 준비 상태여야 합니다.

예를 들어 Tanzu Kubernetes Grid 인스턴스의 클러스터를 NSX-T Data Center에 통합하려면 다음 작업이 완료되었는지 확인합니다.
  • Tanzu 관리 클러스터가 배포되고 클러스터가 실행 중 상태입니다.
  • Tanzu Kubernetes 클러스터가 배포되고 클러스터가 실행 중 상태입니다.
  • Tanzu CLI(명령줄 인터페이스)가 설치되어 있습니다.

이러한 작업에 대한 자세한 내용은 https://docs.vmware.com/kr/VMware-Tanzu-Kubernetes-Grid/index.html에서 "Tanzu Kubernetes Grid" 설명서를 참조하십시오.

관리 클러스터를 배포하면 Antrea와의 네트워킹이 관리 클러스터에서 자동으로 사용하도록 설정됩니다.

NSX-T Data Center에서 적절한 라이센스 추가

개인 설정: NSX 관리자

NSX-T Data Center 환경에 다음 라이센스 중 하나가 있는지 확인합니다.
  • NSX Data Center Advanced
  • NSX Data Center Enterprise Plus
  • Antrea Enterprise Standalone
라이센스를 추가하려면 다음을 수행합니다.
  1. NSX Manager에서 시스템 > 라이센스 > 라이센스 추가로 이동합니다.
  2. 라이센스 키를 입력합니다.

자체 서명된 보안 인증서 생성

개인 설정: NSX 관리자

NSX-T에서 주체 ID 사용자 계정을 생성하려면 자체 서명된 보안 인증서가 필요합니다. 이 내용은 이 항목의 뒤쪽에 설명되어 있습니다.

OpenSSL 명령을 사용하여 NSX-T에 등록하려는 각 Antrea 컨테이너 클러스터에 대해 자체 서명된 보안 인증서를 생성합니다.

예를 들어 cluster-sales라는 Antrea 컨테이너 클러스터에 대해 길이가 2048비트인 자체 서명된 OpenSSL 인증서를 생성한다고 가정합니다. 다음 OpenSSL 명령은 이 클러스터에 대한 개인 키 파일, 인증서 서명 요청 파일 및 자체 서명된 인증서 파일을 생성합니다.

openssl genrsa -out cluster-sales-private.key 2048
openssl req -new -key cluster-sales-private.key -out cluster-sales.csr -subj "/C=US/ST=CA/L=Palo Alto/O=VMware/OU=Antrea Cluster/CN=cluster-sales"
openssl x509 -req -days 3650 -sha256 -in cluster-sales.csr -signkey cluster-sales-private.key -out cluster-sales.crt
참고: .csr 파일을 생성하는 데 사용하는 openssl req 명령에서 CN(일반 이름)이 각 Antrea 컨테이너 클러스터에 대해 서로 다른지 확인합니다.

주체 ID 사용자 생성

개인 설정: NSX 관리자

관리부 어댑터중앙 제어부 어댑터에서 PI(주체 ID) 사용자 계정을 사용하여 NSX Manager에서 인증을 받고 자신을 주체 ID로 식별합니다. PI 사용자는 어댑터가 보고하는 인벤토리 리소스를 소유합니다. NSX-T는 다른 사용자가 인벤토리 리소스를 실수로 덮어쓰는 것을 방지합니다.

이전 단계에서 생성한 자체 서명된 인증서로 NSX-T에서 주체 ID 사용자를 생성합니다. 이 주체 ID 사용자에게 엔터프라이즈 관리자 역할을 할당합니다. 주체 ID 사용자는 Antrea 컨테이너 클러스터에 대해 고유합니다.

주체 ID 사용자를 생성하려면 다음을 수행합니다.
  1. NSX Manager UI에서 시스템 탭을 클릭합니다.
  2. 설정 아래에서 사용자 관리 > 사용자 역할 할당으로 이동합니다.
  3. 추가 > 역할을 가진 주체 ID를 클릭합니다.
  4. 주체 ID 사용자의 이름을 입력합니다. 예를 들어 cluster-sales를 입력합니다.
    중요: bootstrap-config.yaml 파일에서 NSX 주체 ID 사용자, 인증서 CN, clusterName 인수에 대해 동일한 이름을 지정해야 합니다.

    부트스트랩 구성 파일에 대한 자세한 내용은 부트스트랩 구성 파일 편집을 참조하십시오.

  5. 역할을 엔터프라이즈 관리자로 선택합니다.
  6. 노드 ID 텍스트 상자에 Antrea 컨테이너 클러스터의 이름을 입력합니다. 이 이름은 NSX-T에 등록하려는 모든 컨테이너 클러스터에서 고유해야 합니다. 예를 들어 cluster-sales를 입력합니다.
  7. 인증서 PEM 텍스트 영역에서 이전에 생성한 자체 서명된 전체 인증서를 붙여넣습니다. -----BEGIN CERTIFICATE---- 및 ------END CERTIFICATE----- 줄도 이 텍스트 상자에 붙여넣습니다.
  8. 저장을 클릭합니다.
  9. 왼쪽 탐색 창의 설정 아래에서 인증서를 클릭합니다. Antrea 컨테이너 클러스터의 자체 서명된 인증서가 표시되는지 확인합니다.

ZIP 파일 다운로드

개인 설정: Kubernetes 플랫폼 관리자

다음 단계를 완료하여 antrea-interworking-version.zip 파일을 다운로드합니다.
  1. 웹 브라우저에서 VMware Antrea 다운로드 페이지를 열고 VMware ID로 로그인합니다.
  2. 제품 다운로드 탭에 있는지 확인합니다.
  3. Antrea가 있는 VMware Container Networking 버전 옆에 있는 다운로드로 이동을 클릭합니다.
  4. 열리는 웹 페이지에서 Antrea가 있는 VMware Container Networking, NSX Interworking 커넥터 및 배포 매니페스트 파일을 찾고 지금 다운로드를 클릭합니다.
ZIP 파일을 추출합니다. 다음 파일이 포함되어 있습니다.
파일 이름 설명
interworking.yaml Antrea 컨테이너 클러스터를 NSX-T에 등록하기 위한 YAML 배포 매니페스트 파일
bootstrap-config.yaml 등록에 대해 Antrea 컨테이너 클러스터 이름, NSX Manager IP 주소, 컨테이너 클러스터의 TLS 인증서 및 컨테이너 클러스터의 개인 키를 비롯한 세부 정보를 지정할 수 있는 YAML 파일
deregisterjob.yaml Antrea 컨테이너 클러스터를 NSX-T에서 등록 취소하기 위한 YAML 매니페스트 파일
ns-label-webhook.yaml 새로 생성된 Kubernetes 네임스페이스에 레이블을 자동으로 추가하기 위한 Webhook 정의입니다. 이 YAML 파일은 Kubernetes 버전이 1.20 이하일 때만 사용됩니다.
interworking-version.tar 관리부 어댑터중앙 제어부 어댑터의 컨테이너 이미지에 대한 아카이브 파일

Container Registry로 컨테이너 이미지 가져오기

개인 설정: Kubernetes 플랫폼 관리자

이 필수 작업을 수행하는 방법은 두 가지입니다.

방법 1(권장): VMware Harbor Registry에서 이미지를 끌어오기

VMware는 VMware Harbor Registry에서 컨테이너 이미지를 호스팅했습니다.

이미지 위치는 다음과 같습니다.
  • projects.registry.vmware.com/antreainterworking/interworking-debian:version
  • projects.registry.vmware.com/antreainterworking/interworking-ubuntu:version
  • projects.registry.vmware.com/antreainterworking/interworking-photon:version

version 정보는 https://docs.vmware.com/kr/VMware-Container-Networking-with-Antrea/index.html에서 "Antrea를 사용한 VMware Container Networking" 릴리스 정보를 참조하십시오.

선택한 텍스트 편집기에서 interworking.yamlderegisterjob.yaml 파일을 열고 모든 이미지 URL을 이러한 이미지 위치 중 하나로 바꿉니다.

이 방법의 장점은 컨테이너 클러스터를 등록하기 위해 .yaml 파일을 Kubernetes API 서버에 제출하면 Kubernetes가 컨테이너 이미지를 VMware Harbor Registry에서 자동으로 끌어올 수 있다는 것입니다.

방법 2: 이미지를 Kubernetes 작업자 노드 및 제어부 노드에 수동으로 복사

Kubernetes 인프라에 인터넷 연결이 없거나 연결 속도가 너무 느리면 이 수동 접근 방식을 사용합니다.

interworking-version.tar 파일에서 컨테이너 이미지를 추출한 후 NSX-T에 등록하려는 각 Antrea 컨테이너 클러스터의 Kubernetes 작업자 노드 및 제어부 노드에 복사합니다.

예를 들어 Tanzu CLI에서 각 Kubernetes 작업자 노드 IP 및 제어부 노드 IP에 대해 다음 명령을 실행하여 .tar.yaml 파일을 복사합니다.
scp -o StrictHostKeyChecking=no interworking* capv@{node-ip}:/home/capv

이미지를 컨테이너 런타임 엔진에 의해 관리되는 로컬 Kubernetes 레지스트리로 가져옵니다. 또는 조직에 개인 컨테이너 레지스트리가 있는 경우 컨테이너 이미지를 개인 컨테이너 레지스트리로 가져올 수 있습니다.

예를 들어 Tanzu CLI에서 각 Kubernetes 작업자 노드 IP 및 제어부 노드 IP에 대해 다음 명령을 실행하여 컨테이너 이미지를 로컬 Kubernetes 레지스트리로 가져옵니다.

ssh capv@{node-ip} sudo ctr -n=k8s.io i import interworking-{version-id}.tar