AWS에 관리 클러스터 배포 준비

이 항목에서는 Tanzu Kubernetes Grid를 실행하기 위해 AWS(Amazon Web Services)를 준비하는 방법을 설명합니다.

Tanzu CLI 또는 설치 관리자 인터페이스를 사용하여 관리 클러스터를 배포하려면 먼저 Tanzu CLI를 실행하고 AWS(Amazon Web Services 계정) 계정을 설정하는 부트스트랩 시스템을 준비해야 합니다.

VMware Cloud on AWS에서 Tanzu Kubernetes Grid를 설치하는 경우 vSphere 환경에 설치합니다. 환경을 준비하려면 VMware 클라우드 환경에 관리 클러스터 배포 준비의 VMware Cloud on AWS 준비를 참조하고, 관리 클러스터를 배포하려면 vSphere에 관리 클러스터 배포 준비를 참조하십시오.

중요
Tanzu Kubernetes Grid v2.4.x는 AWS에서 독립형 TKG 관리 클러스터 생성을 지원하는 마지막 TKG 버전입니다. AWS에서 독립형 TKG 관리 클러스터를 생성하는 기능은 Tanzu Kubernetes Grid v2.5 릴리스에서 제거됩니다.

지금부터는 VMware Tanzu Mission Control을 사용하여 AWS에서 새 TKG 관리 클러스터를 생성하는 대신 AWS EKS 클러스터를 생성하는 것이 좋습니다. Tanzu Mission Control을 사용하여 네이티브 AWS EKS 클러스터를 생성하는 방법에 대한 자세한 내용은 Tanzu Mission Control 설명서에서 AWS EKS 클러스터의 수명 주기 관리를 참조하십시오.

자세한 내용은 VMware Tanzu Kubernetes Grid v2.4 Release Notes에서 AWS 및 Azure에서 TKG 관리 및 워크로드 클러스터의 사용 중단을 참조하십시오.

일반 요구 사항

Tanzu CLI가 로컬로 설치됩니다. 독립형 관리 클러스터에서 사용할 Tanzu CLI 및 Kubernetes CLI 설치를 참조하십시오.
다음을 사용하는 활성 AWS 계정이 있습니다.
- 키에 액세스하고 키 암호에 액세스합니다. 액세스 키에 대한 자세한 내용은 AWS 설명서의 AWS 계정 및 액세스 키를 참조하십시오.
- 필수 AWS 사용 권한에 설명된 사용 권한. 이러한 사용 권한을 사용하면 Tanzu Kubernetes Grid AWS에서 클러스터를 생성하고 관리할 수 있습니다.
관리 클러스터를 배포하는 가용성 영역의 VPC. 예를 들어 수동으로 생성했거나 AWS CloudFormation 또는 Terraform과 같은 도구를 사용하여 생성한 VPC입니다. VPC는 다음으로 구성해야 합니다.
- 개발 클러스터용 서브넷 2개 또는 프로덕션 클러스터용 서브넷 6개.
- 다음과 같은 NAT 게이트웨이 또는 NAT 게이트웨이가 없는 VPC를 참조하십시오.
  - 개발 클러스터용 NAT 게이트웨이 1개 또는 프로덕션 클러스터용 NAT 게이트웨이 3개.
    - AWS에서 기본 NAT 게이트웨이 할당량은 계정당 가용성 영역당 5개의 인스턴스입니다. 관리 클러스터를 배포할 때 모든 워크로드 클러스터는 관리 클러스터 VPC와 해당 NAT 게이트웨이를 공유합니다.
    - AWS 설명서의 Amazon Web 서비스 계정의 리소스 사용량 및 Amazon VPC 할당량을 참조하십시오.
  - 하나의 인터넷 게이트웨이 및 해당 라우팅 테이블.
  - (선택 사항) 적절한 규칙으로 구성된 보안 그룹.
AWS 계정에는 EIP(Elastic IP) 주소에 대한 충분한 리소스 할당량이 있습니다. 기본 EIP 할당량은 계정별로 지역당 5개의 EIP 주소입니다.
로컬 부트스트랩 시스템과 생성한 클러스터에 있는 모든 VM의 포트 6443 간에 허용되는 트래픽입니다. 포트 6443은 Kubernetes API가 기본적으로 노출되는 위치입니다. 관리 또는 워크로드 클러스터에 대해 이 포트를 변경하려면 클러스터를 배포할 때 CLUSTER_API_SERVER_PORT 변수를 설정합니다.
TCP의 경우 포트 443을 통해 로컬 부트스트랩 시스템과 관리 클러스터 BOM(Bill of Materials) 파일에 나열된 이미지 저장소 간에 트래픽이 허용됩니다.
- BOM 파일은 ~/.config/tanzu/tkg/bom/ 아래에 있으며 이름에는 Tanzu Kubernetes Grid 버전(예: v2.3.1용 tkg-bom-v2.3.1+vmware.1.yaml)이 포함되어 있습니다.
- 모든 imageRepository 값(예: projects.registry.vmware.com/tkg)에서 DNS 조회를 실행하여 액세스를 허용할 CNAMEs를 찾습니다.
AWS CLI는 로컬에 설치됩니다.
jq 로컬에 설치됩니다.

AWS CLI 가이드는 jq를 사용하여 SSH 키 쌍을 생성할 때 JSON을 처리합니다. 또한 CLI를 사용하여 Tanzu Kubernetes Grid를 배포할 때 환경 또는 구성 변수를 준비하는 데에도 사용됩니다.
CAPA를 사용하여 알려진 문제를 해결하려면 로컬 환경 또는 관리 클러스터 구성 파일에서 EXP_EXTERNAL_RESOURCE_GC=false를 설정합니다.

*또는 외부 네트워크 액세스 없이 설치하려면 인터넷 제한 환경 준비를 참조하십시오.

AWS 계정의 리소스 사용량

생성하는 각 클러스터에 대해 Tanzu Kubernetes Grid AWS 계정에서 리소스 집합을 사용합니다.

리소스	Tanzu Kubernetes Grid 사용 횟수
VPC	1
Elastic IP 주소	AZ(가용성 영역)*당 1
서브넷	인터넷 연결의 경우 AZ당 2, 내부*의 경우 AZ당 1
EC2 보안 그룹(VPC)	4
인터넷 게이트웨이	1
NAT 게이트웨이	기본* 배포의 경우 AZ당 1
제어부 EC2 인스턴스	AZ당 1*

*개발 클러스터는 하나의 가용성 영역을 사용하고 프로덕션 클러스터는 3개를 사용합니다.

AWS는 이러한 리소스에 대한 기본 제한 또는 할당량을 구현하고 제한을 수정할 수 있도록 합니다. 기본 제한은 일반적으로 클러스터 생성과 사용을 시작할 수 있을 만큼 충분하지만, 클러스터 또는 워크로드 수를 늘리면 이러한 AWS 제한을 초과하여 Tanzu Kubernetes Grid 새 클러스터를 생성하거나 새 워크로드를 배포하지 못하게 할 수 있습니다.

VMware AWS 계정에 지정한 제한을 주기적으로 확인하고 비즈니스 니즈에 맞게 필요에 따라 서비스 할당량 증가를 요청하는 것이 좋습니다.

가장 관련성이 높은 서비스 할당량은 다음과 같습니다.

서비스 코드	할당량 이름	할당량 코드
vpc	지역당 인터넷 게이트웨이 수	L-A4707A72
vpc	가용성 영역당 NAT 게이트웨이 수	L-FE5A380F
vpc	영역당 VPC 수	L-F678F1CE
ec2	주문형 표준(A, C, D, H, I, M, R, T, Z) 인스턴스 실행	L-1216C47A
ec2	EC2-VPC Elastic IP	L-0263D0A3
Elasticloadbalancing	영역당 클래식 로드 밸런서 수	L-E9E9831D

필요한 경우 VPC를 관리 클러스터와 공유하는 워크로드 클러스터와 같이 새 VPC를 생성하는 대신 공유할 수 있습니다.

클러스터 노드 인스턴스의 크기에 대한 자세한 내용은 AWS 설명서의 Amazon EC2 인스턴스 유형을 참조하십시오.

NAT 게이트웨이가 없는 Amazon VPC

다음 조건 중 하나라도 충족될 경우 NAT 게이트웨이가 연결되지 않은 Tanzu Kubernetes Grid VPC에 배포할 수 있습니다.

워크로드 클러스터가 배포되는 서브넷에는 인터넷으로의 경로가 0.0.0.0/0인 경로 테이블이 있거나
배포 환경은 인터넷 제한 환경에 설명된 대로 인터넷으로 제한됩니다.

Tanzu Kubernetes Grid 라우팅 테이블에 특정 경로가 있는지 확인하지 않습니다. 따라서 VPC NAT 게이트웨이, EC2 인스턴스 또는 장치, 인터넷 게이트웨이, 전송 게이트웨이 또는 DirectConnect를 통한 인터넷 연결이 지원됩니다.

관리 클러스터 크기 조정 예

아래 표는 AWS 관리 클러스터의 크기 조정 예를 설명합니다. 이 데이터를 참고하여 배포하려는 워크로드 클러스터 수를 처리하도록 관리 클러스터를 확장합니다. 워크로드 클러스터 VM 크기 열에는 관리 가능… 열의 예에 사용된 VM 크기가 나타납니다.

관리 클러스터 계획	관리 클러스터 VM 크기	관리 가능…	워크로드 클러스터 VM 크기
제어부 노드 3개 및 Worker 노드 3개	제어부 노드: `m4.large`(CPU: 2; 메모리: 8GB) Worker 노드: `m4.large`(CPU: 2; 메모리: 8GB)	예: 워크로드 클러스터 5개(각각 제어부 3개와 Worker 노드 200개로 배포) 또는 워크로드 클러스터 10개(각각 제어부 3개와 Worker 노드 50개로 배포)	제어부 노드: `c4.large`(CPU: 2; 메모리: 3.75GB) Worker 노드: `c4.large`(CPU: 2; 메모리: 3.75GB)
제어부 노드 3개 및 Worker 노드 3개	제어부 노드: `m4.large`(CPU: 2; 메모리: 8GB) Worker 노드: `m4.large`(CPU: 2; 메모리: 8GB)	예: 워크로드 클러스터 1개(제어부 3개와 Worker 노드 500개로 배포)	제어부 노드: `c5.4xlarge`(CPU: 16; 메모리: 32GB) Worker 노드: `c5.xlarge`(CPU: 4; 메모리: 8GB)
제어부 노드 3개 및 Worker 노드 3개	제어부 노드: `m4.xlarge`(CPU: 4; 메모리: 16GB) Worker 노드: `m4.xlarge`(CPU: 4; 메모리: 16GB)	예: 워크로드 클러스터 200개(각각 제어부 3개와 Worker 노드 5개로 배포)	제어부 노드: `c4.large`(CPU: 2; 메모리: 3.75GB) Worker 노드: `c4.large`(CPU: 2; 메모리: 3.75GB)

필수 AWS 사용 권한

다음 섹션에는 Tanzu Kubernetes Grid AWS에서 클러스터를 배포하고 관리하는 데 필요한 사용 권한이 나와 있습니다.

Tanzu Kubernetes Grid에서 설정한 사용 권한: tanzu mc permissions aws set 명령을 실행하거나 설치 관리자 인터페이스에서 AWS CloudFormation 스택 생성 자동화 확인란을 선택하면 Tanzu Kubernetes Grid가 이러한 사용 권한을 자동으로 설정합니다.
- Tanzu CLI 별칭 mc는 management-cluster의 약식입니다.
사용자가 설정한 사용 권한: 이러한 사용 권한을 수동으로 추가합니다.

Tanzu Kubernetes Grid에 의해 설정된 사용 권한

Tanzu Kubernetes Grid AWS에 클러스터를 배포하도록 설정하려면 AWS 계정에 CloudFormation 스택(tkg-cloud-vmware-com)을 생성해야 합니다. 이 CloudFormation 스택은 Tanzu Kubernetes Grid가 AWS에서 클러스터를 배포하고 관리하는 데 필요한 IAM(ID 및 액세스 관리) 리소스와 사용 권한을 정의합니다.

스택을 생성하려면 클러스터를 배포하기 전에 구성 파일에서 관리 클러스터 배포의 IAM 리소스 생성 섹션 또는 설치 관리자 인터페이스를 사용하여 관리 클러스터 배포에 설명된 대로 tanzu mc permissions aws set 명령을 실행하거나 설치 관리자 인터페이스에서 AWS CloudFormation 스택 생성 자동화 확인란을 선택합니다. 이 작업은 Tanzu Kubernetes Grid 환경에 하나 또는 여러 AWS 영역을 사용하든 관계없이 AWS 계정당 한 번만 수행해야 합니다.

tanzu mc permissions aws set을 실행하거나 AWS CloudFormation 스택 생성 자동화를 선택하면 다음과 같은 IAM 프로필, 역할, 정책이 생성됩니다. 스택을 생성할 때 Tanzu Kubernetes Grid에 자격 증명이 제공되는 사용자는 AWS 계정에서 이러한 IAM 리소스를 생성할 수 있는 관리자 권한이 있어야 합니다.

프로필 / AWS::IAM::InstanceProfile:
- 제어부 – control-plane.tkg.cloud.vmware.com: Kubernetes 제어부 구성 요소를 실행하는 EC2 인스턴스에서 사용됩니다.
- 노드 – nodes.tkg.cloud.vmware.com: Tanzu Kubernetes Grid 클러스터의 모든 비-제어부 EC2 인스턴스에서 사용됩니다.
- 컨트롤러 – controllers.tkg.cloud.vmware.com: 인스턴스 프로필이 연결된 EC2의 점프 박스에서 Tanzu Kubernetes Grid를 부트스트랩하는 데 사용할 수 있습니다.
역할 / AWS::IAM::Role: 위의 AWS IAM 인스턴스 프로필에 1:1 매핑:
- 제어부 – control-plane.tkg.cloud.vmware.com
- 노드 – nodes.tkg.cloud.vmware.com
- 컨트롤러 – controllers.tkg.cloud.vmware.com
정책 / AWS::IAM::ManagedPolicy:
- arn:aws:iam::YOUR-ACCOUNT-ID:policy/control-plane.tkg.cloud.vmware.com: 위의 제어부 IAM 역할에 연결됩니다.
- arn:aws:iam::YOUR-ACCOUNT-ID:policy/nodes.tkg.cloud.vmware.com: 위의 제어부 및 노드 IAM 역할에 연결됩니다.
- arn:aws:iam::YOUR-ACCOUNT-ID:policy/controllers.tkg.cloud.vmware.com: 위의 제어부 및 컨트롤러 IAM 역할에 연결됩니다.

Tanzu Kubernetes Grid AWS 계정에서 CloudFormation 스택을 생성한 후 AWS 콘솔에서 CloudFormation > Stacks로 이동하여 템플릿을 검색할 수 있습니다. CloudFormation 스택에 대한 자세한 내용은 AWS 설명서의 스택 작업을 참조하십시오.

또는 tanzu mc permissions aws set을 실행하거나 AWS CloudFormation 스택 생성을 선택하는 대신, Tanzu Kubernetes Grid가 위의 IAM 리소스를 생성하고 AWS 계정에서 직접 tkg-cloud-vmware-com 스택을 생성하는 데 사용하는 템플릿을 검색할 수 있습니다. 템플릿을 검색하려면 tanzu mc permissions aws generate-cloudformation-template를 실행합니다.

Tanzu Mission Control에 필요한 사용 권한

아래 IAM 사용 권한은 관리 클러스터를 Tanzu Mission Control에 등록하는 경우에만 필요합니다. 이러한 사용 권한은 tanzu mc permissions aws set 명령을 실행할 때 nodes.tkg.cloud.vmware.com IAM 역할에 자동으로 추가됩니다.

{
  "Action": [
    "servicequotas:ListServiceQuotas",
    "ec2:DescribeKeyPairs",
    "ec2:DescribeInstanceTypeOfferings",
    "ec2:DescribeInstanceTypes",
    "ec2:DescribeAvailabiilityZones",
    "ec2:DescribeRegions",
    "ec2:DescribeSubnets",
    "ec2:DescribeRouteTables",
    "ec2:DescribeVpcs",
    "ec2:DescribeNatGateways",
    "ec2:DescribeAddresses",
    "elasticloadbalancing:DescribeLoadBalancers"
  ],
  "Resource": [
    "*"
  ],
  "Effect": "Allow"
}

tanzu mc permissions aws set을 실행하기 전에 DISABLE_TMC_CLOUD_PERMISSIONS를 true로 설정하여 이러한 사용 권한을 비활성화할 수 있습니다. 자세한 내용은 Tanzu Mission Control에 관리 클러스터 등록을 참조하십시오.

사용자가 설정한 사용 권한

AWS 계정별로 한 번씩 다음 사용 권한을 수동으로 설정해야 합니다.

설치 관리자 인터페이스

설치 관리자 인터페이스에서 관리 클러스터를 배포하려는 경우 클러스터를 배포할 때 Tanzu Kubernetes Grid에 자격 증명이 제공되는 사용자에게 "ec2:DescribeInstanceTypeOfferings" 및 "ec2:DescribeInstanceTypes" 사용 권한이 있어야 합니다. 사용자에게 현재 이러한 사용 권한이 없는 경우 사용 권한이 포함된 사용자 지정 정책을 생성하여 사용자에게 연결할 수 있습니다.

AWS 계정 자격 증명 구성

Tanzu Kubernetes Grid Amazon EC2 VM을 생성하고 관리할 수 있도록 하려면 다음과 함께 AWS 계정이 있어야 합니다.

AWS 계정에 대한 자격 증명
관리 클러스터를 배포할 모든 AWS 영역의 계정에 등록된 SSH 키 쌍

Tanzu Kubernetes Grid 클러스터를 배포할 영역의 SSH 키 쌍을 생성하려면 계정 자격 증명을 설정해야 합니다.

EC2 액세스하는 데 사용되는 AWS 계정 자격 증명을 구성하는 몇 가지 옵션이 있습니다. 아래 하위 섹션에서는 다양한 옵션을 설명합니다.

VMware는 aws configure 명령으로 관리되는 자격 증명 프로필 옵션을 권장합니다. 이러한 프로필은 일반적으로 ~/.aws/config 로컬 공유 구성 파일에 저장됩니다.

둘 이상을 사용하는 경우 우선 순위 내림차순으로 가능한 자격 증명 구성 옵션은 다음과 같습니다.

워크로드 클러스터 구성 파일 변수입니다(워크로드 클러스터 생성에만 해당). 아래의 클러스터 구성 파일을 참조하십시오.
로컬, 정적 환경 변수. 아래의 로컬 환경 변수를 참조하십시오.
(권장) 자격 증명 프로필. aws configure를 실행할 때 업데이트됩니다. Linux 또는 macOS의 ~/.aws/config에 있는 Windows의 C:\Users\USERNAME\.aws\config에 있는 파일에 저장하거나, credentials로 이름을 지정할 수 있습니다. 아래의 자격 증명 프로필을 참조하십시오.
인스턴스 프로필 자격 증명. IAM 역할을 각 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 연결할 수 있습니다. 그러면 해당 역할에 대한 임시 자격 증명을 인스턴스에서 실행되는 코드에 사용할 수 있습니다. 자격 증명은 Amazon EC2 메타데이터 서비스를 통해 전달됩니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 AWS에 대한 IAM 역할 및 IAM 사용 설명서의 인스턴스 프로필 사용을 참조하십시오.

로컬 환경 변수

AWS 자격 증명을 구성하는 한 가지 옵션은 부트스트랩 시스템에서 로컬 환경 변수를 설정하는 것입니다. 로컬 환경 변수를 사용하려면 AWS 계정에 대해 다음 환경 변수를 설정합니다.

export AWS_ACCESS_KEY_ID=aws_access_key. 여기서 aws_access_key는 AWS 액세스 키입니다.
export AWS_SECRET_ACCESS_KEY=aws_access_key_secret. 여기서 aws_access_key_secret는 AWS 액세스 키 암호입니다.
export AWS_SESSION_TOKEN=aws_session_token. 여기서 aws_session_token은 계정에 부여된 AWS 세션 토큰입니다. 임시 액세스 키를 사용해야 하는 경우에만 이 변수를 지정하면 됩니다. 임시 액세스 키 사용에 대한 자세한 내용은 AWS 자격 증명 이해 및 가져오기를 참조하십시오.
export AWS_REGION=aws_region. 여기서 aws_region은 클러스터를 배포하려는 AWS 영역입니다. 예: us-west-2.

AWS 영역의 전체 목록은 AWS 서비스 끝점을 참조하십시오. 일반 AWS 영역 외에도 AWS GovCloud에서 us-gov-east 및 us-gov-west 영역을 지정할 수도 있습니다.

Tanzu Kubernetes Grid 다음과 같은 AWS CLI 환경 변수를 지원합니다.

AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SESSION_TOKEN
AWS_SHARED_CREDENTIALS_FILE
AWS_CONFIG_FILE
AWS_REGION
AWS_PROFILE

이에 대한 자세한 내용은 AWS 명령줄 인터페이스 사용자 가이드에 나와 있습니다.

자격 증명 프로필

Tanzu Kubernetes Grid의 권장 사용법은 aws configure 명령을 사용하여 AWS 자격 증명을 로컬 자격 증명 또는 구성 파일에 저장하는 것입니다. AWS 구성 파일은 외부 자격 증명 도우미를 통해 정적 자격 증명부터 SSO까지 다양한 인증 메커니즘을 지원할 수 있습니다.

AWS 자격 증명 파일은 기본 프로필과 명명된 추가 프로필을 포함하여 여러 계정을 제공할 수 있습니다. 자격 증명 파일 및 프로필은 위의 자격 증명 우선 순위의 일부로 로컬 환경 변수 다음에 적용됩니다.

부트스트랩 시스템에서 AWS 계정에 대한 자격 증명 파일과 프로필을 설정하려면 aws configure CLI 명령을 사용하면 됩니다.

사용할 AWS 자격 증명 파일 및 프로필을 사용자 지정하려면 다음 환경 변수를 설정할 수 있습니다.

export AWS_PROFILE=profile_name. 여기서 profile_name은 사용하려는 AWS 액세스 키가 포함된 프로필 이름입니다. 이 변수에 값을 지정하지 않으면 프로필 이름인 default가 사용됩니다. 명명된 프로필 사용에 대한 자세한 내용은 AWS 설명서의 명명된 프로필을 참조하십시오.
export AWS_SHARED_CREDENTIAL_FILE=path_to_credentials_file. 여기서 path_to_credentials_file은 AWS 액세스 키 정보가 포함된 자격 증명 파일의 위치와 이름입니다. 이 환경 변수를 정의하지 않으면 기본 위치와 파일 이름은 $HOME/.aws/credentials입니다.
export AWS_CONFIG=path_to_config_file. 여기서 path_to_config_file은 프로필 구성이 포함된 구성 파일의 위치와 이름입니다. 이 환경 변수를 정의하지 않으면 기본 위치와 파일 이름은 $HOME/.aws/config입니다. 명시적 자격 증명 소스를 지정하거나 외부 자격 증명 프로세스를 사용하는 경우 이 파일을 사용하려고 합니다.

참고
AWS 자격 증명 또는 구성 파일에서 생성하는 명명된 프로필은 AWS용 Tanzu Kubernetes Grid 설치 관리자 UI의 AWS 자격 증명 프로필 드롭다운에서 선택 가능한 옵션으로 표시됩니다.

AWS 자격 증명 및 기본 AWS 자격 증명 제공자 체인 작동에 대한 자세한 내용은 AWS 설명서의 AWS 액세스 키 관리에 가장 좋은 방법을 참조하십시오.

클러스터 구성 파일

다음 변수를 설정하여 클러스터를 생성하는 데 사용되는 구성 파일에 AWS 자격 증명을 지정할 수 있습니다.

AWS_ACCESS_KEY_ID(기본 64로 인코딩)
AWS_SECRET_ACCESS_KEY(기본 64로 인코딩)
AWS_SESSION_TOKEN(선택 사항)

AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY는 <encoded:(base64 encoded value)> 양식으로 전달되어야 합니다(예: AWS 액세스 키 ID가 AKIAIOSFODNN7EXAMPLE인 경우, 암호 액세스 키 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY 및 세션 토큰 AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OP). 다음과 같이 구성 파일에서 설정되어야 합니다.

AWS_ACCESS_KEY_ID: <encoded:QUtJQUlPU0ZPRE5ON0VYQU1QTEU=>
AWS_SECRET_ACCESS_KEY: <encoded:d0phbHJYVXRuRkVNSS9LN01ERU5HL2JQeFJmaUNZRVhBTVBMRUtFWQ==>
AWS_SESSION_TOKEN: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

이전 버전의 Tanzu Kubernetes Grid 클러스터 구성 파일에 자격 증명을 저장합니다. Tanzu Kubernetes Grid 1.4 이상에서는 기본적으로 AWS에 대한 자격 증명을 구성 파일에 저장하지 않습니다.

EC2 키 쌍 등록

로컬 환경 변수 또는 자격 증명 파일 및 프로필을 사용하여 AWS 계정 자격 증명을 설정한 후에는 AWS 계정에 EC2 키 쌍을 생성해야 합니다. Tanzu Kubernetes Grid 각 지역 내에서 인증을 위해 이 키 쌍의 공용 키 부분을 AWS로 전달합니다.

참고
AWS는 RSA 키만 지원합니다. AWS에 필요한 키는 vSphere 필요한 키와 다른 형식입니다. vSphere와 AWS 배포 모두에 동일한 키 쌍을 사용할 수 없습니다.

관리 클러스터를 배포하는 데 사용하는 계정과 영역에 EC2 키 쌍이 아직 없는 경우 아래 단계를 수행하여 생성합니다.

Tanzu Kubernetes Grid 함께 사용하려는 각 영역에 명명된 키 쌍을 생성하고 이름이 포함된 .pem 파일을 출력합니다. 예를 들어 다음 명령은 default 를 사용하고 파일을 default.pem으로 저장합니다.
```
aws ec2 create-key-pair --key-name default --output json | jq .KeyMaterial -r > default.pem
```
프로필의 기본값이 아닌 영역에 키 쌍을 생성하거나 로컬로 AWS_DEFAULT_REGION을 설정하려면 --region 옵션을 포함합니다.
Amazon EC2 대시보드에 로그인하고 네트워크 및 보안 > Key 쌍으로 이동한 후 생성된 키 쌍이 계정에 등록되어 있는지 확인합니다.

후속 작업

프로덕션 배포의 경우 클러스터에 ID 관리를 사용하도록 설정하는 것이 좋습니다.

관리 클러스터를 배포하기 전에 수행할 준비 단계에 대한 자세한 내용은 구성 ID 관리의 ID 제공자 세부 정보를 참조하십시오.
Tanzu Kubernetes Grid의 ID 관리 및 액세스 제어에 대한 개념 정보는 ID 및 액세스 관리 정보를 참조하십시오.

외부 인터넷 연결이 있는 환경에서 Tanzu Kubernetes Grid를 사용하는 경우, ID 관리를 설정하면 관리 클러스터를 AWS에 배포할 준비가 된 것입니다.

설치 관리자 인터페이스를 사용하여 관리 클러스터 배포. 첫 번째 배포에 선호하는 옵션입니다.
구성 파일에서 관리 클러스터 배포. 이는 보다 복잡한 방법이며 구성의 유연성을 높일 수 있습니다.
클러스터를 vSphere와 Azure뿐만 아니라 AWS에도 배포하려면 vSphere에 관리 클러스터 배포 준비와 Microsoft Azure에 관리 클러스터 배포 준비를 참조하여 해당 플랫폼에 필요한 설정을 하십시오.