구성 파일 변수 참조

이 참조에는 Tanzu CLI에 클러스터 구성 옵션을 제공하기 위해 지정할 수 있는 모든 변수가 나열됩니다.

YAML 구성 파일에서 이러한 변수를 설정하려면 콜론(:)과 변수 값 사이에 공백을 둡니다. 예:

CLUSTER_NAME: my-cluster

구성 파일의 행 순서는 중요하지 않습니다. 옵션은 알파벳 순서로 여기에 표시됩니다. 또한 아래의 구성 값 우선 순위 섹션을 참조하십시오.

모든 대상 플랫폼의 공통 변수

이 섹션에는 모든 대상 플랫폼에 공통적인 변수가 나열되어 있습니다. 이러한 변수는 관리 클러스터, 워크로드 클러스터 또는 둘 다에 적용될 수 있습니다. 자세한 내용은 관리 클러스터 구성 파일 생성기본 관리 클러스터 생성 정보 구성을 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
APISERVER_EVENT_RATE_LIMIT_CONF_BASE64 클래스 기반 클러스터만 해당됩니다. EventRateLimit 승인 컨트롤러를 사용하도록 설정하고 구성하여 Kubernetes API 서버로의 트래픽을 완화하도록 설정합니다. Kubernetes 설명서에 설명된 대로 EventRateLimit 구성 파일 config.yaml을 생성한 다음 base64 -w 0 config.yaml을 실행하여 문자열 값으로 변환합니다.
CAPBK_BOOTSTRAP_TOKEN_TTL 선택 사항, 기본값은 15m(15분)입니다. 클러스터 초기화 작업 중 kubeadm에서 사용하는 부트스트랩 토큰의 TTL 값입니다.
CLUSTER_API_SERVER_PORT 선택 사항, 기본값은 6443입니다. 이 변수는 NSX Advanced Load Balancer(vSphere)를 사용하도록 설정하면 무시됩니다. NSX Advanced Load Balancer를 사용하여 배포할 경우 기본 Kubernetes API 서버 포트를 재정의합니다. VSPHERE_CONTROL_PLANE_ENDPOINT_PORT를 설정합니다.
CLUSTER_CIDR 선택 사항, 기본값은 100.96.0.0/11입니다. 포드에 사용할 CIDR 범위. 기본값 범위를 사용할 수 없는 경우에만 이 기본값을 변경합니다.
CLUSTER_NAME 이 이름은 RFC 952에 설명된 DNS 호스트 이름 요구 사항을 준수하고 RFC 1123에 수정된 DNS 호스트 이름 요구 사항을 준수해야 하며 42자 이하여야 합니다.
워크로드 클러스터의 경우 이 설정은 tanzu cluster create로 전달된 CLUSTER_NAME 인수에 의해 재정의됩니다.
관리 클러스터의 경우 CLUSTER_NAME을 지정하지 않으면 고유한 이름이 생성됩니다.
CLUSTER_PLAN 필수. 연결 계획nginx 에 예시된 대로 dev, prod 또는 사용자 지정 계획으로 설정합니다.
dev 계획은 하나의 제어부 노드를 사용하여 클러스터를 배포합니다. prod 계획은 3개의 제어부 노드가 있는 고가용성 클러스터를 배포합니다.
CNI 선택 사항, 기본값은 antrea입니다. 컨테이너 네트워크 인터페이스. 관리 클러스터의 기본값을 재정의하지 마십시오. 워크로드 클러스터의 경우 CNIantrea, calico 또는 none으로 설정할 수 있습니다. calico 옵션은 Windows에서 지원되지 않습니다. 자세한 내용은 비-기본값 CNI로 클러스터 배포를 참조하십시오. Antrea 구성을 사용자 지정하려면 아래의 Antrea CNI 구성을 참조하십시오.
CONTROLPLANE_CERTIFICATE_ROTATION_ENABLED 선택 사항, 기본값은 false입니다. 제어부 노드 VM 인증서가 만료되기 전에 자동으로 갱신하려면 true로 설정합니다. 자세한 내용은 제어부 노드 인증서 자동 갱신을 참조하십시오.
CONTROLPLANE_CERTIFICATE_ROTATION_DAYS_BEFORE 선택 사항, 기본값은 90입니다. CONTROLPLANE_CERTIFICATE_ROTATION_ENABLEDtrue로 설정된 경우, 인증서 만료 날짜 전의 일 수에 대한 선택적 설정으로, 클러스터 노드 인증서를 자동으로 갱신합니다. 자세한 내용은 제어부 노드 인증서 자동 갱신을 참조하십시오.
ENABLE_AUDIT_LOGGING 선택 사항, 기본값은 false입니다. Kubernetes API 서버의 감사 로깅. 감사 로깅을 사용하도록 설정하려면 true로 설정합니다. Tanzu Kubernetes Grid는 이러한 로그를 /var/log/kubernetes/audit.log에 기록합니다. 자세한 내용은 감사 로깅을 참조하십시오.
Kubernetes 감사를 사용하도록 설정하면 로그 볼륨이 매우 높아질 수 있습니다. 이 수량을 처리하려면 VMware Fluent Bit와 같은 로그 전달자를 사용하는 것이 좋습니다.
ENABLE_AUTOSCALER 선택 사항, 기본값은 false입니다. true로 설정하면 아래의 클러스터 자동조정기 표에서 추가 변수를 설정해야 합니다.
ENABLE_CEIP_PARTICIPATION 선택 사항, 기본값은 true입니다. false로 설정하여 VMware 고객 환경 향상 프로그램에서 옵트아웃합니다. 관리 클러스터를 배포한 후 프로그램을 옵트인하거나 옵트아웃할 수도 있습니다. 자세한 내용은 CEIP에 참여 관리VMware CEIP 옵트인 또는 옵트아웃 또는 CEIP(고객 환경 향상 프로그램)를 참조하십시오.
ENABLE_DEFAULT_STORAGE_CLASS 선택 사항, 기본값은 true입니다. 스토리지 클래스에 대한 자세한 내용은 동적 스토리지를 참조하십시오.
ENABLE_MHC 선택 사항입니다. 전체 MHC 변수 집합 및 작동 방식은 아래의 시스템 상태 점검을 참조하십시오.
vSphere with Tanzu에 의해 생성된 워크로드 클러스터의 경우 ENABLE_MHCfalse로 설정합니다.
IDENTITY_MANAGEMENT_TYPE 선택 사항, 기본값은 none입니다.

관리 클러스터의 경우: oidc 또는 ldap를 사용하도록 설정합니다. 아래의 ID 제공자 - OIDC and LDAP 표에 나와 있듯이 추가 OIDC 또는 LDAP 설정이 필요합니다.
ID 관리를 비활성화하려면 생략하거나 none으로 설정합니다. 프로덕션 배포용 ID 관리를 사용하도록 설정하는 것이 좋습니다.
**참고** 워크로드 클러스터에 대한 구성 파일에서 OIDC 또는 LDAP 설정을 구성할 필요가 없습니다.

INFRASTRUCTURE_PROVIDER 필수. vsphere, aws, azure 또는 tkg-service-vsphere로 설정합니다.
NAMESPACE 선택 사항, 기본값은 default로 설정되어 워크로드 클러스터를 default라는 네임스페이스에 배포합니다.
SERVICE_CIDR 선택 사항, 기본값은 100.64.0.0/13입니다. Kubernetes 서비스에 사용할 CIDR 범위. 기본값 범위를 사용할 수 없는 경우에만 이 값을 변경합니다.

ID 제공자 - OIDC

IDENTITY_MANAGEMENT_TYPE: oidc를 설정하는 경우 다음 변수를 설정하여 OIDC ID 제공자를 구성합니다. 자세한 내용은 관리 클러스터 구성 파일 생성ID 관리 구성을 참조하십시오.

Tanzu Kubernetes Grid는 제공 ID 및 액세스 관리 정보에 설명된 대로 Pinniped를 사용하여 OIDC와 통합됩니다.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
CERT_DURATION 선택 사항, 기본값은 2160h입니다. cert-manager에 의해 관리되는 자체 서명된 인증서를 사용하도록 Pinniped를 구성하는 경우 이 변수를 설정합니다.
CERT_RENEW_BEFORE 선택 사항, 기본값은 360h입니다. cert-manager에 의해 관리되는 자체 서명된 인증서를 사용하도록 Pinniped를 구성하는 경우 이 변수를 설정합니다.
OIDC_IDENTITY_PROVIDER_CLIENT_ID 필수. OIDC 제공자로부터 가져온 client_id 값입니다. 예를 들어 제공자가 Okta인 경우, client_idsecret를 가져오려면 Okta에 로그인하고 Web 애플리케이션을 생성한 후 클라이언트 자격 증명 옵션을 선택합니다. 이 설정은 Pinniped OIDCIdentityProvider 사용자 지정 리소스의 OIDCIdentityProvider.spec.client.secretName에서 참조할 암호에 저장됩니다.
OIDC_IDENTITY_PROVIDER_CLIENT_SECRET 필수. OIDC 제공자로부터 가져온 secret 값입니다. 이 값을 base64로 인코딩하지 마십시오.
OIDC_IDENTITY_PROVIDER_GROUPS_CLAIM 선택 사항입니다. 그룹 할당의 이름입니다. JWT(JSON Web Token) 클레임에서 사용자 그룹을 설정하는 데 사용됩니다. 기본값은 groups입니다. 이 설정은 Pinniped OIDCIdentityProvider 사용자 지정 리소스의 OIDCIdentityProvider.spec.claims.groups에 해당합니다.
OIDC_IDENTITY_PROVIDER_ISSUER_URL 필수. OIDC 서버의 IP 또는 DNS 주소입니다. 이 설정은 Pinniped OIDCIdentityProvider.spec.issuer custom resource에 해당됩니다.
OIDC_IDENTITY_PROVIDER_SCOPES 필수. 토큰 응답에서 요청할 추가 범위의 쉼표로 구분된 목록입니다. 예: "email,offline_access". 이 설정은 Pinniped OIDCIdentityProvider 사용자 지정 리소스의 OIDCIdentityProvider.spec.authorizationConfig.additionalScopes에 해당합니다.
OIDC_IDENTITY_PROVIDER_USERNAME_CLAIM 필수. 사용자 이름 클레임의 이름입니다. 이는 JWT 클레임에서 사용자의 사용자 이름을 설정하는 데 사용됩니다. 제공자에 따라 user_name, email 또는 code와 같은 할당을 입력합니다. 이 설정은 Pinniped OIDCIdentityProvider 사용자 지정 리소스의 OIDCIdentityProvider.spec.claims.username에 해당합니다.
OIDC_IDENTITY_PROVIDER_ADDITIONAL_AUTHORIZE_PARAMS 선택 사항입니다. OIDC ID 제공자에게 보낼 사용자 지정 매개 변수를 추가합니다. 제공자에 따라 제공자로부터 새로 고침 토큰을 받으려면 이러한 클레임이 필요할 수 있습니다. 예: prompt=consent. 이때 여러 개의 값은 쉼표로 구분합니다. 이 설정은 Pinniped OIDCIdentityProvider 사용자 지정 리소스의 OIDCIdentityProvider.spec.authorizationConfig.additionalAuthorizeParameters에 해당합니다.
OIDC_IDENTITY_PROVIDER_CA_BUNDLE_DATA_B64 선택 사항입니다. OIDC ID 제공자와 TLS를 설정하기 위한 Base64로 인코딩된 CA 번들입니다. 이 설정은 Pinniped OIDCIdentityProvider 사용자 지정 리소스의 OIDCIdentityProvider.spec.tls.certificateAuthorityData에 해당합니다.
SUPERVISOR_ISSUER_URL 수정하지 마십시오. 이 변수는 tanzu cluster create command 명령을 실행할 때 구성 파일에서 자동으로 업데이트됩니다. 이 설정은 Pinniped JWTAuthenticator 사용자 지정 리소스의 JWTAuthenticator.spec.audience 및 Pinniped FederationDomain 사용자 지정 리소스의 FederationDomain.spec.issuer에 해당합니다.
SUPERVISOR_ISSUER_CA_BUNDLE_DATA_B64 수정하지 마십시오. 이 변수는 tanzu cluster create command 명령을 실행할 때 구성 파일에서 자동으로 업데이트됩니다. 이 설정은 Pinniped JWTAuthenticator 사용자 지정 리소스의 JWTAuthenticator.spec.tls.certificateAuthorityData에 해당합니다.

ID 제공자 - LDAP

IDENTITY_MANAGEMENT_TYPE: ldap를 설정하는 경우 다음 변수를 설정하여 LDAP ID 제공자를 구성합니다. 자세한 내용은 관리 클러스터 구성 파일 생성ID 관리 구성을 참조하십시오.

Tanzu Kubernetes Grid는 제공 ID 및 액세스 관리 정보에 설명된 대로 Pinniped를 사용하여 LDAP와 통합됩니다. 아래의 각 변수는 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 구성 설정에 해당합니다. 이러한 설정에 대한 전체 설명과 구성 방법에 대한 자세한 내용은 Pinniped 설명서의 LDAPIdentityProvider를 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
LDAP 서버에 연결하려면 다음을 수행합니다.
LDAP_HOST 필수. LDAP 서버의 IP 또는 DNS 주소입니다. LDAP 서버가 보안 구성인 기본 포트 636에서 수신하는 경우 포트를 지정할 필요가 없습니다. LDAP 서버가 다른 포트에서 수신하는 경우 "host:port" 형식으로 LDAP 서버의 주소와 포트를 제공합니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.host에 해당합니다.
LDAP_ROOT_CA_DATA_B64 선택 사항입니다. LDAPS 끝점을 사용하는 경우 LDAP 서버 인증서의 base64로 인코딩된 컨텐츠를 붙여 넣습니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.tls.certificateAuthorityData에 해당합니다.
LDAP_BIND_DN 필수. 기존 애플리케이션 서비스 계정의 DN입니다. 예: "cn=bind-user,ou=people,dc=example,dc=com". 커넥터는 이러한 자격 증명을 사용하여 사용자와 그룹을 검색합니다. 이 서비스 계정에는 다른 LDAP_* 구성 옵션으로 구성된 쿼리를 수행하려면 최소한 읽기 전용 사용 권한이 있어야 합니다. Pinniped LDAPIdentityProvider 사용자 지정 리소스의 spec.bind.secretName 암호에 포함됩니다.
LDAP_BIND_PASSWORD 필수. LDAP_BIND_DN에 설정된 애플리케이션 서비스 계정의 암호입니다. Pinniped LDAPIdentityProvider 사용자 지정 리소스의 spec.bind.secretName 암호에 포함됩니다.
사용자 검색의 경우:
LDAP_USER_SEARCH_BASE_DN 필수. LDAP 검색을 시작할 지점입니다. 예: OU=Users,OU=domain,DC=io. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.userSearch.base에 해당합니다.
LDAP_USER_SEARCH_FILTER 선택 사항입니다. LDAP 검색에서 사용할 선택적 필터입니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.userSearch.filter에 해당합니다. TKG v2.3부터는 관리 클러스터를 생성하거나 기존 관리 클러스터용 Pinniped 패키지 암호를 업데이트할 때 이 값에 Pinniped 형식을 사용해야 합니다. 예: &(objectClass=posixAccount)(uid={}).
LDAP_USER_SEARCH_ID_ATTRIBUTE 선택 사항입니다. 사용자 ID가 포함된 LDAP 특성입니다. 기본적으로 dn로 설정됩니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.userSearch.attributes.uid에 해당합니다.
LDAP_USER_SEARCH_NAME_ATTRIBUTE 필수. 사용자의 사용자 이름을 가지고 있는 LDAP 특성입니다. 예: mail. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.userSearch.attributes.username에 해당합니다.
그룹 검색의 경우:
LDAP_GROUP_SEARCH_BASE_DN 선택 사항입니다. LDAP 검색을 시작할 지점입니다. 예: OU=Groups,OU=domain,DC=io. 설정하지 않으면 그룹 검색을 건너뜁니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.groupSearch.base에 해당합니다.
LDAP_GROUP_SEARCH_FILTER 선택 사항입니다. LDAP 검색에서 사용할 선택적 필터입니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.groupSearch.filer에 해당합니다. TKG v2.3부터는 관리 클러스터를 생성하거나 기존 관리 클러스터용 Pinniped 패키지 암호를 업데이트할 때 이 값에 Pinniped 형식을 사용해야 합니다. 예: &(objectClass=posixGroup)(memberUid={}).
LDAP_GROUP_SEARCH_NAME_ATTRIBUTE 선택 사항입니다. 그룹의 이름을 가지고 있는 LDAP 특성입니다. 기본적으로 dn로 설정됩니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.groupSearch.attributes.groupName에 해당합니다.
LDAP_GROUP_SEARCH_USER_ATTRIBUTE 선택 사항입니다. 그룹 레코드의 멤버 자격 특성 값으로 사용하는 사용자 레코드의 특성입니다. 기본적으로 dn로 설정됩니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.groupSearch.userAttributeForFilter에 해당합니다.
LDAP_GROUP_SEARCH_SKIP_ON_REFRESH 선택 사항입니다. 기본적으로 false로 설정됩니다. true로 설정하면 사용자의 그룹 멤버 자격은 사용자의 일별 세션 시작 부분에만 업데이트됩니다. LDAP_GROUP_SEARCH_SKIP_ON_REFRESHtrue로 설정하는 것은 권장되지 않으며, 세션을 새로 고치는 동안 그룹 쿼리를 실행하기에 충분히 빠르게 수행하는 것이 불가능한 경우에만 수행해야 합니다. 이 설정은 Pinniped LDAPIdentityProvider 사용자 지정 리소스의 LDAPIdentityProvider.spec.groupSearch.skipGroupRefresh에 해당합니다.

노드 구성

제어부 및 Worker 노드, 노드 인스턴스가 실행하는 운영 체제를 구성합니다. 자세한 내용은 관리 클러스터 구성 파일 생성노드 설정 구성을 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
CONTROL_PLANE_MACHINE_COUNT 선택 사항입니다. devprod 계획 기본값보다 더 많은 제어부 노드가 있는 워크로드 클러스터를 배포합니다. 지정하는 제어부 노드 수는 균등하지 않아야 합니다.
CONTROL_PLANE_NODE_LABELS 클래스 기반 클러스터만 해당됩니다. 제어부 노드에서 사용자 지정 영구 레이블을 할당합니다(예: CONTROL_PLANE_NODE_LABELS: 'key1=value1,key2=value2'). 레거시 계획 기반 클러스터에서 구성하려면 사용자 지정 노드 레이블에 설명된 대로 ytt 오버레이를 사용합니다.
Worker 노드 레이블은 서로 다른 VM 유형의 노드 풀 관리에 설명된 대로 노드 풀에 설정됩니다.
CONTROL_PLANE_NODE_NAMESERVERS vSphere만 해당. 이를 통해 사용자는 제어부 노드에서 쉼표로 구분된 DNS 서버 목록을 지정할 수 있습니다(예: CONTROL_PLANE_NODE_NAMESERVERS: 10.132.7.1, 10.142.7.1). Ubuntu 및 Photon에서 지원됩니다. Windows에서는 지원되지 않습니다. 사용 사례 예는 아래의 노드 IPAM을 참조하십시오.
CONTROL_PLANE_NODE_SEARCH_DOMAINS 클래스 기반 클러스터만 해당됩니다. 클러스터 노드용 .local 검색 도메인을 구성합니다(예: CONTROL_PLANE_NODE_SEARCH_DOMAINS: corp.local). vSphere의 레거시 계획 기반 클러스터에서 구성하려면 .local 도메인 확인에 설명된 대로 ytt 오버레이를 사용합니다.
CONTROLPLANE_SIZE 선택 사항입니다. 제어부 노드 VM의 크기입니다. SIZEVSPHERE_CONTROL_PLANE_* 매개 변수를 재정의합니다. 가능한 값은 SIZE를 참조하십시오.
OS_ARCH 선택 사항입니다. 노드 VM OS의 아키텍처입니다. 기본값이자 유일한 현재 선택 항목은 amd64입니다.
OS_NAME 선택 사항입니다. 노드 VM OS입니다. 기본값은 Ubuntu LTSubuntu입니다. vSphere의 Photon OS에는 photon, AWS의 Amazon Linux에는 amazon일 수도 있습니다.
OS_VERSION 선택 사항입니다. 위의 OS_NAME OS 버전입니다. 기본값은 Ubuntu용 20.04입니다. vSphere의 Photon에는 3, AWS의 Amazon Linux에는 2일 수 있습니다.
SIZE 선택 사항입니다. 제어부 및 Worker 노드 VM의 크기입니다. VSPHERE_CONTROL_PLANE_\*VSPHERE_WORKER_\* 매개 변수를 재정의합니다. vSphere 경우 small에 설명된 대로 medium, large, extra-large 또는 extra-large를 설정합니다. AWS의 경우 인스턴스 유형을 설정합니다(예: t3.small). Azure의 경우 인스턴스 유형을 설정합니다(예: Standard_D2s_v3).
WORKER_MACHINE_COUNT 선택 사항입니다. devprod 계획 기본값보다 더 많은 Worker 노드가 있는 워크로드 클러스터를 배포합니다.
WORKER_NODE_NAMESERVERS vSphere만 해당. 이를 통해 사용자는 Worker 노드에서 쉼표로 구분된 DNS 서버 목록을 지정할 수 있습니다(예: WORKER_NODE_NAMESERVERS: 10.132.7.1, 10.142.7.1). Ubuntu 및 Photon에서 지원됩니다. Windows에서는 지원되지 않습니다. 사용 사례 예는 아래의 노드 IPAM을 참조하십시오.
WORKER_NODE_SEARCH_DOMAINS 클래스 기반 클러스터만 해당됩니다. 클러스터 노드용 .local 검색 도메인을 구성합니다(예: CONTROL_PLANE_NODE_SEARCH_DOMAINS: corp.local). vSphere의 레거시 계획 기반 클러스터에서 구성하려면 .local 도메인 확인에 설명된 대로 ytt 오버레이를 사용합니다.
WORKER_SIZE 선택 사항입니다. Worker 노드 VM의 크기입니다. SIZEVSPHERE_WORKER_* 매개 변수를 재정의합니다. 가능한 값은 SIZE를 참조하십시오.
CUSTOM_TDNF_REPOSITORY_CERTIFICATE (기술 미리보기)

선택 사항입니다. Photon 기본 tdnf 저장소 서버가 아닌 자체 서명된 인증서로 사용자 지정된 tdnf 저장소 서버를 사용하는 경우 설정합니다. tdnf 저장소 서버의 base64로 인코딩된 인증서의 컨텐츠를 입력합니다.

/etc/yum.repos.d/ 아래의 모든 저장소를 삭제하고 TKG 노드가 인증서를 신뢰하게 합니다.

포드 보안 승인 컨트롤러의 포드 보안 표준

클러스터 전체 PSA(포드 보안 승인) 컨트롤러에 대한 포드 보안 표준을 구성합니다. 제어부 및 Worker 노드 및 노드 인스턴스가 실행하는 운영 체제.클러스터 전체 PSA(포드 보안 승인) 컨트롤러, 제어부 및 Worker 노드, 노드 인스턴스가 실행하는 운영체제의 포드 보안 표준을 구성한다. 자세한 내용은 포드 보안 승인 컨트롤러를 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
POD_SECURITY_STANDARD_AUDIT 선택 사항, 기본값은 restricted입니다. 클러스터 전체 PSA 컨트롤러의 audit 모드에 대한 보안 정책을 설정합니다. 가능한 값: restricted, baseline, privileged.
POD_SECURITY_STANDARD_DEACTIVATED 선택 사항, 기본값은 false입니다. 클러스터 전체 PSA를 활성화하려면 true로 설정합니다.
POD_SECURITY_STANDARD_ENFORCE 선택 사항 기본값은 값 없음입니다. 클러스터 전체 PSA 컨트롤러의 enforce 모드에 대한 보안 정책을 설정합니다. 가능한 값: restricted, baseline, privileged.
POD_SECURITY_STANDARD_WARN 선택 사항, 기본값은 restricted입니다. 클러스터 전체 PSA 컨트롤러의 warn 모드에 대한 보안 정책을 설정합니다. 가능한 값: restricted, baseline, privileged.

Kubernetes 조정(클래스 기반 클러스터만 해당)

Kubernetes API 서버, Kubelets 및 기타 구성 요소는 대규모 클러스터에서 다양한 구성 플래그를 노출하여 보안을 조정합니다(예: --tls-cipher-suites 플래그는 보안 강화를 위해 암호 제품군을 구성하고, --election-timeout 플래그는 대형 클러스터에서 etcd 시간 초과를 늘립니다).

중요

이러한 Kubernetes 구성 변수는 고급 사용자를 위한 것입니다. VMware는 이러한 설정의 임의 조합으로 구성된 클러스터의 기능을 보장하지는 않습니다.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
APISERVER_EXTRA_ARGS 클래스 기반 클러스터만 해당됩니다. “key1=value1;key2=value2” 형식으로 kube-apiserver 플래그를 지정합니다. 예: 보안 제품군을 APISERVER_EXTRA_ARGS: "tls-min-version=VersionTLS12;tls-cipher-suites=TLS_RSA_WITH_AES_256_GCM_SHA384"로 설정
CONTROLPLANE_KUBELET_EXTRA_ARGS 클래스 기반 클러스터만 해당됩니다. 제어부 kubelet 플래그를 “key1=value1;key2=value2” 형식으로 지정합니다. 예: 제어부 포드 수를 CONTROLPLANE_KUBELET_EXTRA_ARGS: "max-pods=50"으로 제한합니다.
ETCD_EXTRA_ARGS 클래스 기반 클러스터만 해당됩니다. “key1=value1;key2=value2” 형식으로 etcd 플래그를 지정합니다. 예를 들어 클러스터에 500개 이상의 노드가 있거나 스토리지의 성능이 나쁜 경우 heartbeat-intervalelection-timeoutETCD_EXTRA_ARGS: "heartbeat-interval=300;election-timeout=2000"으로 늘릴 수 있습니다.
KUBE_CONTROLLER_MANAGER_EXTRA_ARGS 클래스 기반 클러스터만 해당됩니다. “key1=value1;key2=value2” 형식으로 kube-controller-manager 플래그를 지정합니다. 예를 들어, KUBE_CONTROLLER_MANAGER_EXTRA_ARGS: "profiling=false"로 성능 프로파일링을 해제합니다.
KUBE_SCHEDULER_EXTRA_ARGS 클래스 기반 클러스터만 해당됩니다. “key1=value1;key2=value2” 형식으로 kube-scheduler 플래그를 지정합니다. 예를 들어, KUBE_SCHEDULER_EXTRA_ARGS: "feature-gates=ReadWriteOncePod=true"를 사용하여 단일 포드 액세스 모드를 활성화합니다.
WORKER_KUBELET_EXTRA_ARGS 클래스 기반 클러스터만 해당됩니다. “key1=value1;key2=value2” 형식으로 Worker kubelet 플래그를 지정합니다. 예를 들어 Worker 포드 수를 WORKER_KUBELET_EXTRA_ARGS: "max-pods=50"으로 제한합니다.

클러스터 자동조정기

ENABLE_AUTOSCALERtrue로 설정된 경우 다음 추가 변수를 구성할 수 있습니다. 클러스터 자동조정기에 대한 자세한 내용은 워크로드 클러스터 크기 조정을 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
AUTOSCALER_MAX_NODES_TOTAL 선택 사항, 기본값은 0입니다. 클러스터, Worker, 제어부의 최대 총 노드 수입니다. 클러스터 자동조정기 매개 변수 max-nodes-total의 값을 설정합니다. 클러스터 자동조정기는 이 제한을 초과하여 클러스터의 크기를 조정하지 않습니다. 0으로 설정하면 클러스터 자동조정기는 사용자가 구성한 최소 및 최대 SIZE 설정에 따라 크기를 조정합니다.
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_ADD 선택 사항, 기본값은 10m입니다. 클러스터 자동조정기 매개 변수 scale-down-delay-after-add의 값을 설정합니다. 스케일 업 작업 후 클러스터 자동조정기가 대기한 다음 스케일 다운 검색을 재개하는 시간입니다.
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_DELETE 선택 사항, 기본값은 10s입니다. 클러스터 자동조정기 매개 변수 scale-down-delay-after-delete의 값을 설정합니다. 노드를 삭제한 후 클러스터 자동조정기가 대기한 다음 스케일 다운 검색을 재개하는 시간입니다.
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_FAILURE 선택 사항, 기본값은 3m입니다. 클러스터 자동조정기 매개 변수 scale-down-delay-after-failure의 값을 설정합니다. 스케일 다운이 실패한 후 클러스터 자동조정기가 대기한 다음 스케일 다운 검색을 재개하는 시간입니다.
AUTOSCALER_SCALE_DOWN_UNNEEDED_TIME 선택 사항, 기본값은 10m입니다. 클러스터 자동조정기 매개 변수 scale-down-unneeded-time의 값을 설정합니다. 적격 노드를 축소하기 전에 클러스터 자동조정기가 대기해야 하는 시간입니다.
AUTOSCALER_MAX_NODE_PROVISION_TIME 선택 사항, 기본값은 15m입니다. 클러스터 자동조정기 매개 변수 max-node-provision-time의 값을 설정합니다. 노드가 프로비저닝될 때까지 클러스터 자동조정기가 대기하는 최대 시간입니다.
AUTOSCALER_MIN_SIZE_0 필수. 모두 IaaSes입니다. Worker 노드의 최소 수입니다. 클러스터 자동조정기는 이 제한 이하로 클러스터의 크기를 조정하지 않습니다. AWS의 prod 클러스터의 경우 AUTOSCALER_MIN_SIZE_0은 첫 번째 AZ에서 Worker 노드의 최소 수를 설정합니다. 설정하지 않으면 단일 Worker 노드가 있는 클러스터의 경우 WORKER_MACHINE_COUNT 값으로, 여러 Worker 노드가 있는 클러스터의 경우 WORKER_MACHINE_COUNT_0 값으로 설정됩니다.
AUTOSCALER_MAX_SIZE_0 필수. 모두 IaaSes입니다. Worker 노드의 최대 수입니다. 클러스터 자동조정기는 이 제한을 초과하여 클러스터의 크기를 조정하지 않습니다. AWS의 prod 클러스터의 경우 AUTOSCALER_MAX_SIZE_0은 첫 번째 AZ에서 Worker 노드의 최대 수를 설정합니다. 설정하지 않으면 단일 Worker 노드가 있는 클러스터의 경우 WORKER_MACHINE_COUNT 값으로, 여러 Worker 노드가 있는 클러스터의 경우 WORKER_MACHINE_COUNT_0 값으로 설정됩니다.
AUTOSCALER_MIN_SIZE_1 필수. AWS의 prod 클러스터에만 사용합니다. 두 번째 AZ의 Worker 노드의 최소 수입니다. 클러스터 자동조정기는 이 제한 이하로 클러스터의 크기를 조정하지 않습니다. 설정하지 않으면 기본값으로 WORKER_MACHINE_COUNT_1이 설정됩니다.
AUTOSCALER_MAX_SIZE_1 필수. AWS의 prod 클러스터에만 사용합니다. 두 번째 AZ의 Worker 노드의 최대 수입니다. 클러스터 자동조정기는 이 제한을 초과하여 클러스터의 크기를 조정하지 않습니다. 설정하지 않으면 기본값으로 WORKER_MACHINE_COUNT_1이 설정됩니다.
AUTOSCALER_MIN_SIZE_2 필수. AWS의 prod 클러스터에만 사용합니다. 세 번째 AZ의 Worker 노드의 최소 수입니다. 클러스터 자동조정기는 이 제한 이하로 클러스터의 크기를 조정하지 않습니다. 설정하지 않으면 기본값으로 WORKER_MACHINE_COUNT_2가 설정됩니다.
AUTOSCALER_MAX_SIZE_2 필수. AWS의 prod 클러스터에만 사용합니다. 세 번째 AZ의 Worker 노드의 최대 수입니다. 클러스터 자동조정기는 이 제한을 초과하여 클러스터의 크기를 조정하지 않습니다. 설정하지 않으면 기본값으로 WORKER_MACHINE_COUNT_2이 설정됩니다.

프록시 구성

환경에 인터넷이 제한되거나 프록시가 포함되어 있는 경우 선택적으로 kubelet, containerd, 제어부에서 프록시로 송신 HTTP와 HTTPS 트래픽을 전송하도록 Tanzu Kubernetes Grid를 구성할 수 있습니다.

Tanzu Kubernetes Grid를 사용하면 다음 중 한 가지에 프록시를 사용하도록 설정할 수 있습니다.

  • 관리 클러스터 및 하나 이상의 워크로드 클러스터
  • 관리 클러스터만
  • 하나 이상의 워크로드 클러스터

자세한 내용은 관리 클러스터 구성 파일 생성프록시 구성을 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
TKG_HTTP_PROXY_ENABLED

선택 사항. 관리 클러스터에서 프록시로 송신 HTTP(S) 트래픽을 보내려면(예: 인터넷 제한 환경에서) 이를 true로 설정합니다.

TKG_HTTP_PROXY

선택 사항. 프록시를 구성하려면 설정합니다. 개별 클러스터에 프록시 구성을 비활성화하려면 이를 ""(으)로 설정합니다. TKG_HTTP_PROXY_ENABLED = true인 경우에만 해당됩니다. HTTP 프록시의 URL은 다음과 같이 형식이 지정됩니다. PROTOCOL://USERNAME:PASSWORD@FQDN-OR-IP:PORT. 여기서,

  • 필수. PROTOCOLhttp 입니다.
  • 선택 사항입니다. USERNAMEPASSWORD는 HTTP 프록시 사용자 이름과 암호입니다. 프록시에 인증이 필요한 경우 이를 포함합니다.
  • 필수. FQDN-OR-IPPORT는 HTTP 프록시의 FQDN 또는 IP 주소와 포트 번호입니다.

예: http://user:[email protected]:1234 또는 http://myproxy.com:1234. TKG_HTTP_PROXY를 설정하는 경우 TKG_HTTPS_PROXY도 설정해야 합니다.

TKG_HTTPS_PROXY 선택 사항. 프록시를 구성하려는 경우 설정합니다. TKG_HTTP_PROXY_ENABLED = true인 경우에만 해당됩니다. HTTPS 프록시의 URL입니다. 이 변수를 TKG_HTTP_PROXY와 동일한 값으로 설정하거나 다른 값을 지정할 수 있습니다. URL은 http://로 시작해야 합니다. TKG_HTTPS_PROXY를 설정하는 경우 TKG_HTTP_PROXY도 설정해야 합니다.
TKG_NO_PROXY

선택 사항입니다. TKG_HTTP_PROXY_ENABLED = true인 경우에만 해당됩니다.

HTTP(S) 프록시를 우회해야 하는 하나 이상의 네트워크 CIDR 또는 호스트 이름입니다. 쉼표로 구분되고 공백 또는 와일드카드 문자(*) 없이 나열됩니다. 호스트 이름 접미사를 *.example.com이 아닌 .example.com으로 나열합니다.

예: .noproxy.example.com,noproxy.example.com,192.168.0.0/24.

내부적으로 Tanzu Kubernetes Grid는 localhost, 127.0.0.1, CLUSTER_CIDRSERVICE_CIDR, .svc, .svc.cluster.local 값을 TKG_NO_PROXY에서 설정한 값에 추가합니다. 또한 Azure에 배포하기 위해 Azure VNET CIDR, 169.254.0.0/16, 168.63.129.16도 추가합니다. vSphere 경우 제어부 끝점의 IP 주소를 포함하는 VSPHERE_NETWORK의 CIDR을 수동으로 TKG_NO_PROXY에 추가해야 합니다.

VSPHERE_CONTROL_PLANE_ENDPOINT를 FQDN으로 설정한 경우 FQDN과 VSPHERE_NETWORK 모두 TKG_NO_PROXY에 추가합니다.

중요: Tanzu Kubernetes Grid가 프록시 뒤에서 실행되는 환경에서는 TKG_NO_PROXY는 클러스터 VM이 동일한 프록시 뒤에 있는 동일한 네트워크를 실행하는 인프라와 직접 통신하도록 해줍니다. 여기에는 인프라, OIDC 또는 LDAP 서버, Harbor, VMware NSX, NSX Advanced Load Balancer(vSphere AWS VPC CIDRs(AWS)가 포함될 수 있습니다. 클러스터가 액세스해야 하지만 프록시에서 연결할 수 없는 모든 끝점을 포함하려면 TKG_NO_PROXY를 설정합니다.

TKG_PROXY_CA_CERT 선택 사항입니다. 프록시 서버가 자체 서명된 인증서를 사용하는 경우 설정합니다. base64로 인코딩된 형식의 CA 인증서를 제공합니다(예: TKG_PROXY_CA_CERT: "LS0t[...]tLS0tLQ=="".
TKG_NODE_SYSTEM_WIDE_PROXY (기술 미리보기)

선택 사항입니다. 다음 설정을 /etc/environment/etc/profile에 추가합니다.

HTTP_PROXY=$TKG_HTTP_PROXY
export HTTPS_PROXY=$TKG_HTTPS_PROXY
export NO_PROXY=$TKG_NO_PROXY

사용자가 TKG 노드에 SSH를 지정하고 명령을 실행할 경우 기본적으로 명령은 정의된 변수를 사용합니다. 시스템 프로세스는 영향을 받지 않습니다.

Antrea CNI 구성

CNIantrea로 설정된 경우 설정할 추가 선택적 변수입니다. 자세한 내용은 관리 클러스터 구성 파일 생성Antrea CNI 구성을 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
ANTREA_DISABLE_UDP_TUNNEL_OFFLOAD 선택 사항, 기본값은 false입니다. Antrea의 UDP 체크섬 오프로딩을 비활성화하려면 true로 설정합니다. 이 변수를 true로 설정하여 언더레이 네트워크와 물리적 NIC 네트워크 드라이버에 알려진 문제를 방지합니다.
ANTREA_EGRESS 선택 사항, 기본값은 true입니다. 이 변수를 사용하도록 설정하여 클러스터를 송신하는 포드 트래픽에 사용되는 SNAT IP를 정의합니다. 자세한 내용은 Antrea 설명서의 송신을 참조하십시오.
ANTREA_EGRESS_EXCEPT_CIDRS 선택 사항입니다. 송신되는 CIDR 범위는 송신 포드 트래픽용 SNAT가 아닙니다. 따옴표("")를 포함합니다. 예: "10.0.0.0/6".
ANTREA_ENABLE_USAGE_REPORTING 선택 사항, 기본값은 false입니다. 사용량 보고(원격 분석)를 활성화하거나 비활성화합니다.
ANTREA_FLOWEXPORTER 선택 사항, 기본값은 false입니다. 네트워크 흐름의 가시성을 위해 true로 설정합니다. 흐름 내보내기는 conntrack 흐름을 주기적으로 폴하고 흐름을 IPFIX 흐름 레코드로 내보냅니다. 자세한 내용은 Antrea 설명서의 네트워크 흐름 가시성을 참조하십시오.
ANTREA_FLOWEXPORTER_ACTIVE_TIMEOUT

선택 사항, 기본값은 "60s"입니다. 이 변수는 활성 흐름 내보내기 시간 초과를 제공합니다. 이것은 흐름 레코드가 활성 흐름에 대한 수집기에 전송되는 시간 초과입니다. 따옴표("")를 포함합니다.

참고: 유효한 시간 단위는 ns, us(또는 s), ms, s, m, h입니다.

ANTREA_FLOWEXPORTER_COLLECTOR_ADDRESS 선택 사항입니다. 이 변수는 IPFIX 수집기 주소를 제공합니다. 따옴표("")를 포함합니다. 기본값은 "flow-aggregator.flow-aggregator.svc:4739:tls"입니다. 자세한 내용은 Antrea 설명서의 네트워크 흐름 가시성을 참조하십시오.
ANTREA_FLOWEXPORTER_IDLE_TIMEOUT

선택 사항, 기본값은 "15s"입니다. 이 변수는 유휴 흐름 내보내기 시간 초과를 제공합니다. 이것은 흐름 레코드가 유휴 흐름에 대한 수집기에 전송되는 시간 초과입니다. 따옴표("")를 포함합니다.

참고: 유효한 시간 단위는 ns, us(또는 s), ms, s, m, h입니다.

ANTREA_FLOWEXPORTER_POLL_INTERVAL

선택 사항, 기본값은 "5s"입니다. 이 변수는 흐름 내보내기에서 conntrack 모듈에서 덤프된 연결의 빈도를 결정합니다. 따옴표("")를 포함합니다.

참고: 유효한 시간 단위는 ns, us(또는 s), ms, s, m, h입니다.

ANTREA_IPAM 선택 사항, 기본값은 false입니다. IP 풀의 IP 주소를 할당하려면 true로 설정합니다. 원하는 IP 범위 집합(필요한 경우 VLAN)은 IPPool CRD로 정의됩니다. 자세한 내용은 Antrea 설명서의 Antrea IPAM 기능을 참조하십시오.
ANTREA_KUBE_APISERVER_OVERRIDE 선택 사항입니다. Kubernetes API 서버의 주소를 지정합니다. 자세한 내용은 Antrea 설명서의 kube-proxy 제거를 참조하십시오.
ANTREA_MULTICAST 선택 사항, 기본값은 false입니다. 클러스터 네트워크 내에서(포드 간), 그리고 외부 네트워크와 클러스터 네트워크 간의 멀티캐스트 트래픽에 대해 true로 설정합니다.
ANTREA_MULTICAST_INTERFACES 선택 사항입니다. 멀티캐스트 트래픽을 전달하는 데 사용되는 노드의 인터페이스 이름입니다. 따옴표("")를 포함합니다. 예: "eth0".
ANTREA_NETWORKPOLICY_STATS 선택 사항, 기본값은 true입니다. NetworkPolicy 통계를 수집하려면 이 변수를 사용하도록 설정합니다. 통계 데이터에는 NetworkPolicy에서 허용하거나 거부한 총 세션, 패킷, 바이트 수가 포함됩니다.
ANTREA_NO_SNAT 선택 사항, 기본값은 false입니다. SNAT(소스 네트워크 주소 변환)를 비활성화하려면 true로 설정합니다.
ANTREA_NODEPORTLOCAL 선택 사항, 기본값은 true입니다. false로 설정하여 NodePortLocal 모드를 비활성화합니다. 자세한 내용은 Antrea 설명서의 NodePortLocal(NPL)을 참조하십시오.
ANTREA_NODEPORTLOCAL_ENABLED 선택 사항입니다. Antrea 설명서의 NodePortLocal(NPL)에 설명된 대로 NodePortLocal 모드를 사용하도록 설정하려면 true로 설정합니다.
ANTREA_NODEPORTLOCAL_PORTRANGE 선택 사항, 기본값은 61000-62000입니다. 자세한 내용은 Antrea 설명서의 NodePortLocal(NPL)을 참조하십시오.
ANTREA_POLICY 선택 사항, 기본값은 true입니다. Antrea와 관련된 정책 CRD인 Antrea 네이티브 정책 API를 활성화하거나 비활성화합니다. 또한 이 변수를 사용하도록 설정하면 Kubernetes 네트워크 정책의 구현이 활성 상태로 유지됩니다. 네트워크 정책 사용에 대한 자세한 내용은 Antrea 설명서의 Antrea 네트워크 정책 CRD를 참조하십시오.
ANTREA_PROXY 선택 사항, 기본값은 false입니다. 성능 향상과 지연 시간 절감을 위해 AntreaProxy를 활성화하거나 비활성화하여 포드-ClusterIP 서비스 트래픽의 kube-proxy를 교체합니다. kube-proxy는 다른 유형의 서비스 트래픽에 계속 사용됩니다. 프록시 사용에 대한 자세한 내용은 Antrea 설명서의 AntreaProxy를 참조하십시오.
ANTREA_PROXY_ALL 선택 사항, 기본값은 false입니다. NodePort, LoadBalancer, ClusterIP 트래픽을 포함한 모든 서비스 트래픽을 처리하기 위해 AntreaProxy를 활성화하거나 비활성화합니다. kube-proxyAntreaProxy로 교체하려면 ANTREA_PROXY_ALL을 사용하도록 설정해야 합니다. 프록시 사용에 대한 자세한 내용은 Antrea 설명서의 AntreaProxy를 참조하십시오.
ANTREA_PROXY_LOAD_BALANCER_IPS 선택 사항, 기본값은 true입니다. 로드 밸런싱 트래픽을 외부 LoadBalancer로 전송하려면 false로 설정합니다.
ANTREA_PROXY_NODEPORT_ADDRS 선택 사항입니다. NodePort용 IPv4 또는 IPv6 주소입니다. 따옴표("")를 포함합니다.
ANTREA_PROXY_SKIP_SERVICES 선택 사항입니다. AntreaProxy가 무시해야 하는 서비스 목록을 나타내는 데 사용할 수 있는 문자열 값 어레이입니다. 이러한 서비스의 트래픽은 로드 밸런싱되지 않습니다. 따옴표("")를 포함합니다. 예를 들어 10.11.1.2와 같은 유효한 ClusterIP 또는 네임스페이스가 있는 서비스 이름(예: kube-system/kube-dns)은 올바른 값입니다. 자세한 내용은 Antrea 설명서의 특정 사용 사례를 참조하십시오.
ANTREA_SERVICE_EXTERNALIP 선택 사항, 기본값은 false입니다. 컨트롤러가 'LoadBalancer' 유형의 서비스에 대해 'ExternalIPPool' 리소스에서 외부 IP를 할당할 수 있도록 하려면 true로 설정합니다. 'LoadBalancer' 유형의 서비스를 구현하는 방법에 대한 자세한 내용은 Antrea 설명서의 LoadBalancer 유형의 서비스를 참조하십시오.
ANTREA_TRACEFLOW 선택 사항, 기본값은 true입니다. Traceflow 사용에 대한 자세한 내용은 Antrea 설명서의 Traceflow 사용자 가이드를 참조하십시오.
ANTREA_TRAFFIC_ENCAP_MODE

선택 사항, 기본값은 "encap"입니다. noEncap, hybrid 또는 NetworkPolicyOnly로 설정합니다. NoEncap 또는 하이브리드 트래픽 모드 사용에 대한 자세한 내용은 Antrea 설명서의 Antrea의 NoEncap 및 하이브리드 트래픽 모드를 참조하십시오.

참고:noEncaphybrid 모드에서는 노드 간 포드 통신을 비활성화하지 못하도록 노드 네트워크의 특정 구성이 필요합니다.

noEncap 모드는 vSphere 대해서만 지원되며 노드 간 포드 통신을 비활성화할 수 있습니다. 포드가 노드 간에 통신해야 하는 클러스터에서 noEncapANTREA_TRAFFIC_ENCAP_MODE로 설정하지 마십시오.

ANTREA_TRANSPORT_INTERFACE 선택 사항입니다. 트래픽을 터널링하거나 라우팅하는 데 사용되는 노드의 인터페이스 이름입니다. 따옴표("")를 포함합니다. 예: "eth0".
ANTREA_TRANSPORT_INTERFACE_CIDRS 선택 사항입니다. 트래픽을 터널링하거나 라우팅하는 데 사용되는 노드의 인터페이스 네트워크 CIDR입니다. 따옴표("")를 포함합니다. 예: "10.0.0.2/24".

시스템 상태 점검

관리 및 워크로드 클러스터의 시스템 상태 점검을 구성하려면 다음 변수를 설정합니다. 자세한 내용은 관리 클러스터 구성 파일 생성시스템 상태 점검 구성을 참조하십시오. 클러스터 배포 후 시스템 상태 점검 작업을 수행하는 방법에 대한 자세한 내용은 로드 클러스터의 시스템 상태 점검 구성을 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
ENABLE_MHC 클래스 기반: ✖
계획 기반: ✔
선택 사항. 대상 관리 또는 워크로드 클러스터의 제어부 및 Worker 노드 모두에서 MachineHealthCheck 컨트롤러를 활성화하거나 비활성화하려면 true 또는 false로 설정합니다. 또는 비워 두고 ENABLE_MHC_CONTROL_PLANEENABLE_MHC_WORKER_NODE를 제어부 및 Worker 노드에 별도로 설정합니다. 기본값은 비어 있습니다.
컨트롤러는 시스템 상태를 모니터링하고 자동으로 복구합니다.
vSphere with Tanzu에 의해 생성된 워크로드 클러스터의 경우 false로 설정합니다.
ENABLE_MHC_CONTROL_PLANE 선택 사항, 기본값은 true입니다. 자세한 내용은 아래 표를 참조하십시오.
ENABLE_MHC_WORKER_NODE 선택 사항, 기본값은 true입니다. 자세한 내용은 아래 표를 참조하십시오.
MHC_MAX_UNHEALTHY_CONTROL_PLANE 선택 사항입니다. 클래스 기반 클러스터만 해당됩니다. 기본적으로 100%로 설정됩니다. 비정상 시스템 수가 설정한 값을 초과하면 MachineHealthCheck 컨트롤러가 업데이트 적용을 하지 않습니다.
MHC_MAX_UNHEALTHY_WORKER_NODE 선택 사항입니다. 클래스 기반 클러스터만 해당됩니다. 기본적으로 100%로 설정됩니다. 비정상 시스템 수가 설정한 값을 초과하면 MachineHealthCheck 컨트롤러가 업데이트 적용을 하지 않습니다.
MHC_FALSE_STATUS_TIMEOUT 클래스 기반: ✖
계획 기반: ✔
선택 사항, 기본값은 12m입니다. MachineHealthCheck 컨트롤러는 시스템을 비정상으로 간주하고 다시 생성하기 전에 노드의 Ready 조건이 False로 유지되는 것을 허용합니다.
MHC_UNKNOWN_STATUS_TIMEOUT 선택 사항, 기본값은 5m입니다. MachineHealthCheck 컨트롤러는 시스템을 비정상으로 간주하고 다시 생성하기 전에 노드의 Ready 조건이 Unknown로 유지되는 것을 허용합니다.
NODE_STARTUP_TIMEOUT 선택 사항, 기본값은 20m입니다. MachineHealthCheck 컨트롤러가 시스템을 비정상으로 간주하고 다시 생성하기 전에 노드가 클러스터에 가입할 때까지 대기하는 기간입니다.

아래 표를 사용하여 ENABLE_MHC, ENABLE_MHC_CONTROL_PLANE, ENABLE_MHC_WORKER_NODE 변수를 구성하는 방법을 결정합니다.

ENABLE_MHC ENABLE_MHC_CONTROL_PLANE ENABLE_MHC_WORKER_NODE 제어부 업데이트 적용을 사용하도록 설정하시겠습니까? Worker 노드 업데이트 적용을 사용하도록 설정하시겠습니까?
true / Emptytrue / Emptytrue / 비어 있음 true / false / 비어 있음 true / false / 비어 있음
false true / 비어 있음 true / 비어 있음
false true / 비어 있음 false 아니요
false false true / 비어 있음 아니요

개인 이미지 레지스트리 구성

인터넷에 연결되지 않은 환경에 Tanzu Kubernetes Grid 관리 클러스터 및 Kubernetes 클러스터를 배포하는 경우, 방화벽 내에 개인 이미지 저장소를 설정하고 Tanzu Kubernetes Grid 이미지로 채워야 합니다. 개인 이미지 저장소 설정에 대한 자세한 내용은 인터넷 제한 환경 준비 를 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
ADDITIONAL_IMAGE_REGISTRY_1, ADDITIONAL_IMAGE_REGISTRY_2, ADDITIONAL_IMAGE_REGISTRY_3 클래스 기반 워크로드 및 독립형 관리 클러스터만 해당합니다. 워크로드 클러스터 노드가 액세스할 수 있도록 TKG_CUSTOM_IMAGE_REPOSITORY에 의해 설정된 기본 이미지 레지스트리 외에 신뢰할 수 있는 개인 레지스트리를 3개까지 포함할 수 있는 IP 주소 또는 FQDN입니다. 클래스 기반 클러스터에 대해 신뢰할 수 있는 레지스트리를 참조하십시오.
ADDITIONAL_IMAGE_REGISTRY_1_CA_CERTIFICATE, ADDITIONAL_IMAGE_REGISTRY_2_CA_CERTIFICATE, ADDITIONAL_IMAGE_REGISTRY_3_CA_CERTIFICATE 클래스 기반 워크로드 및 독립형 관리 클러스터만 해당합니다. 위의 ADDITIONAL_IMAGE_REGISTRY-*로 구성된 base64로 인코딩된 개인 이미지 레지스트리 형식의 CA 인증서입니다. 예: ADDITIONAL_IMAGE_REGISTRY_1_CA_CERTIFICATE: "LS0t[...]tLS0tLQ=="..
ADDITIONAL_IMAGE_REGISTRY_1_SKIP_TLS_VERIFY, ADDITIONAL_IMAGE_REGISTRY_2_SKIP_TLS_VERIFY, ADDITIONAL_IMAGE_REGISTRY_3_SKIP_TLS_VERIFY 클래스 기반 워크로드 및 독립형 관리 클러스터만 해당합니다. 자체 서명된 인증서를 사용하지만 ADDITIONAL_IMAGE_REGISTRY_*_CA_CERTIFICATE는 사용하지 않는 위의 ADDITIONAL_IMAGE_REGISTRY-*로 구성된 개인 이미지 레지스트리에 대해 true를 설정합니다. Tanzu 연결 Webhook은 Harbor CA 인증서를 클러스터 노드에 삽입하기 때문에 Harbor를 사용할 때 ADDITIONAL_IMAGE_REGISTRY_*_SKIP_TLS_VERIFY를 항상 false로 설정해야 합니다.
TKG_CUSTOM_IMAGE_REPOSITORY 인터넷 제한 환경에 Tanzu Kubernetes Grid 배포하는 경우 필수입니다. 클러스터가 부트스트랩하는 TKG 시스템 이미지가 포함된 개인 레지스트리의 IP 주소 또는 FQDN(아래의 기본 이미지 레지스트리라고 함)을 제공합니다. 예: custom-image-repository.io/yourproject.
TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY 선택 사항입니다. 개인 기본 이미지 레지스트리가 자체 서명된 인증서를 사용하지만 TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE는 사용하지 않는 경우 true로 설정합니다. Tanzu 연결 Webhook은 Harbor CA 인증서를 클러스터 노드에 삽입하기 때문에 Harbor를 사용할 때 TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY를 항상 false로 설정해야 합니다.
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE 선택 사항입니다. 개인 기본 이미지 레지스트리가 자체 서명된 인증서를 사용하는 경우 설정합니다. base64로 인코딩된 형식의 CA 인증서를 제공합니다(예: TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE: "LS0t[...]tLS0tLQ==".

vSphere

아래 표의 옵션은 워크로드 클러스터를 vSphere에 배포할 때 클러스터 구성 파일에 지정하는 최소 옵션입니다. 이러한 옵션 대부분은 워크로드 클러스터와 워크로드 클러스터를 배포하는 데 사용하는 관리 클러스터 모두에 대해 동일합니다.

vSphere 구성 파일에 대한 자세한 내용은 vSphere용 관리 클러스터 구성vSphere에 워크로드 클러스터 배포를 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
DEPLOY_TKG_ON_VSPHERE7 선택 사항입니다. vSphere 7 또는 8에 배포하는 경우 vSphere 7 또는 8에서 배포에 대한 프롬프트를 건너뛰려면 true로 설정하고 그렇지 않으면 false로 설정합니다. vSphere with Tanzu의 관리 클러스터를 참조하십시오.
ENABLE_TKGS_ON_VSPHERE7 vSphere 7 또는 8에 배포하는 경우 선택 사항 입니다. vSphere with Tanzu 활성화 UI 페이지에 리디렉션되도록 하려면 true로 설정하고 그렇지 않으면 false로 설정합니다. vSphere with Tanzu의 관리 클러스터를 참조하십시오.
NTP_SERVERS 클래스 기반 클러스터만 해당됩니다. DHCP 옵션 42가 없는 vSphere 환경에 클러스터를 배포하는 경우 클러스터의 NTP 서버를 구성합니다(예: NTP_SERVERS: time.google.com). 레거시 계획 기반 클러스터에서 구성하려면 DHCP 옵션 42 없이 NTP 구성(vSphere)에 설명된 대로 ytt 오버레이를 사용합니다.
TKG_IP_FAMILY 선택 사항입니다. 순수 IPv6을 사용하여 vSphere 7 또는 8에 클러스터를 배포하려면 ipv6로 설정합니다. 이중 스택 네트워킹(시험 단계)은 이중 스택 클러스터를 참조하십시오.
VIP_NETWORK_INTERFACE 선택 사항입니다. eth0, eth1 등으로 설정합니다. 네트워크 인터페이스 이름(예: 이더넷 인터페이스)입니다. 기본적으로 eth0로 설정됩니다.
VSPHERE_AZ_CONTROL_PLANE_MATCHING_LABELS 여러 AZ에 배포된 클러스터의 경우 는 클러스터 제어부 노드가 배포할 수 있는 AZ를 지정하기 위한 키/값 선택기 레이블을 설정합니다. 예를 들어, AZ를 개별적으로 나열하지 않고 지정된 지역 및 환경의 모든 AZ에서 실행되도록 노드를 구성할 수 있습니다. 예를 들면 다음과 같습니다. "region=us-west-1,environment=staging". 여러 가용성 영역에서 클러스터 실행 참조
VSPHERE_AZ_0, VSPHERE_AZ_1, VSPHERE_AZ_2 선택 사항입니다. 클러스터의 시스템 배포가 에 배포되는 배포 영역입니다. 여러 가용성 영역에서 클러스터 실행 참조
VSPHERE_CONTROL_PLANE_DISK_GIB 선택 사항입니다. 제어부 노드 VM의 디스크 크기(기가바이트)입니다. 따옴표("")를 포함합니다. 예: "30".
VSPHERE_CONTROL_PLANE_ENDPOINT Kube-Vip에 필요합니다. 클러스터에 대한 API 요청을 위해 고정 가상 IP 주소 또는 고정 주소에 매핑된 FQDN(정규화된 도메인 이름)입니다. 이 설정은 AVI_CONTROL_PLANE_HA_PROVIDERfalse
로 설정하여 구성한 대로 API 서버 끝점에 Kube-Vip를 사용하는 경우 필요합니다. NSX Advanced Load Balancer AVI_CONTROL_PLANE_HA_PROVIDER: true를 사용하는 경우 다음을 할 수 있습니다.
  • 제어부 끝점으로 특정 주소가 필요하지 않은 경우 이 필드를 비워 둡니다.
  • IPAM 프로파일의 VIP 네트워크 범위 내의 특정 주소로 설정하고 정적 IP 풀에 주소를 수동으로 추가합니다.
  • 이 필드를 FQDN으로 설정합니다.
VSPHERE_CONTROL_PLANE_ENDPOINT_PORT 선택 사항입니다.vSphere with NSX Advanced Load Balancer에서 배포를 위해 Kubernetes API 서버 포트를 재정의하려는 경우 설정합니다. 기본 포트는 6443입니다. vSphere without NSX Advanced Load Balancer에서 배포하기 위해 Kubernetes API 서버 포트를 재정의하려면 CLUSTER_API_SERVER_PORT를 설정합니다.
VSPHERE_CONTROL_PLANE_MEM_MIB 선택 사항입니다. 제어부 노드 VM의 메모리 양(MB)입니다. 따옴표("")를 포함합니다. 예: "2048".
VSPHERE_CONTROL_PLANE_NUM_CPUS 선택 사항입니다. 제어부 노드 VM의 CPU 수입니다. 따옴표("")를 포함합니다. 최소 2 이상이어야 합니다. 예: "2".
VSPHERE_DATACENTER 필수. 클러스터를 배포할 데이터 센터의 이름이며, vSphere 인벤토리에 표시됩니다. 예: /MY-DATACENTER.
VSPHERE_DATASTORE 필수. 클러스터에서 사용할 vSphere 데이터스토어의 이름이며, vSphere 인벤토리에 표시됩니다. 예: /MY-DATACENTER/datastore/MyDatastore.
VSPHERE_FOLDER 필수. Tanzu Kubernetes Grid VM을 배치할 기존 VM 폴더의 이름이며, vSphere 인벤토리에 표시됩니다. 예를 들어 이름이 TKG인 폴더를 생성한 경우 경로는 /MY-DATACENTER/vm/TKG입니다.
VSPHERE_INSECURE 선택 사항입니다. 지문 확인을 우회하려면 true로 설정합니다. false이면 VSPHERE_TLS_THUMBPRINT를 설정합니다.
VSPHERE_MTU 선택 사항입니다. vSphere Standard 스위치에서 관리 및 워크로드 클러스터 노드의 MTU(최대 전송 단위) 크기를 설정합니다. 설정하지 않으면 기본값은 1500입니다. 최대값은 9000입니다. 클러 클러스터 노드 MTU 구성을 참조하십시오.
VSPHERE_NETWORK 필수. Kubernetes 서비스 네트워크로 사용할 기존 vSphere 네트워크의 이름이며, vSphere 인벤토리에 표시됩니다. 예: VM Network.
VSPHERE_PASSWORD 필수. vSphere 사용자 계정의 암호입니다. 이 값은 tanzu cluster create를 실행할 때 base64로 인코딩됩니다.
VSPHERE_REGION 선택 사항입니다. vCenter 지역용 태그, 다음에 사용:
VSPHERE_RESOURCE_POOL 필수. 이 Tanzu Kubernetes Grid 인스턴스를 배치할 기존 리소스 풀의 이름이며, vSphere 인벤토리에 표시됩니다. 클러스터에 루트 리소스 풀을 사용하려면 전체 경로를 입력합니다(예: MY-DATACENTER 데이터 센터의 cluster0 클러스터). 전체 경로는 /MY-DATACENTER/host/cluster0/Resources입니다.
VSPHERE_SERVER 필수. 워크로드 클러스터를 배포할 vCenter Server 인스턴스의 IP 주소 또는 FQDN입니다.
VSPHERE_SSH_AUTHORIZED_KEY 필수. vSphere에 관리 클러스터 배포 에서 생성한 SSH 공용 키의 컨텐츠를 붙여 넣습니다. 예: "ssh-rsa NzaC1yc2EA [...] hnng2OYYSl+8ZyNz3fmRGX8uPYqw== [email protected]".
VSPHERE_STORAGE_POLICY_ID 선택 사항입니다. 관리 클러스터용 VM 스토리지 정책의 이름이며, 정책 및 프로필 > VM 스토리지 정책에 표시됩니다.
VSPHERE_DATASTORE가 설정되면 스토리지 정책에 이를 포함해야 합니다. 그렇지 않으면 클러스터 생성 프로세스에서 정책과 호환되는 데이터스토어를 선택합니다.
VSPHERE_TEMPLATE 선택 사항입니다. 동일한 Kubernetes 버전에 여러 사용자 지정 OVA 이미지를 사용하는 경우 OVA 파일의 경로를 /MY-DC/vm/MY-FOLDER-PATH/MY-IMAGE 형식으로 지정합니다. 자세한 내용은 사용자 지정 OVA 이미지를 사용하여 클러스터 배포를 참조하십시오.
VSPHERE_TLS_THUMBPRINT VSPHERE_INSECUREfalse로 설정된 경우 필수입니다. vCenter Server 인증서의 지문입니다. vCenter Server 인증서 지문을 가져오는 방법에 대한 자세한 내용은 vSphere 인증서 지문 가져오기를 참조하십시오. 사용자가 VSPHERE_INSECUREtrue로 설정하여 안전하지 않은 연결을 사용하려는 경우 이 값을 건너뛸 수 있습니다.
VSPHERE_USERNAME 필수. Tanzu Kubernetes Grid 작업에 필요한 권한이 있는 vSphere 사용자 계정(도메인 이름 포함)입니다. 예: [email protected].
VSPHERE_WORKER_DISK_GIB 선택 사항입니다. Worker 노드 VM의 디스크 크기(기가바이트)입니다. 따옴표("")를 포함합니다. 예: "50".
VSPHERE_WORKER_MEM_MIB 선택 사항입니다. Worker 노드 VM의 메모리 양(MB)입니다. 따옴표("")를 포함합니다. 예: "4096".
VSPHERE_WORKER_NUM_CPUS 선택 사항입니다. Worker 노드 VM의 CPU 수입니다. 따옴표("")를 포함합니다. 최소 2 이상이어야 합니다. 예: "2".
VSPHERE_ZONE 선택 사항입니다. vCenter 영역용 태그, 다음에 사용:

Kube-VIP 로드 밸런서(기술 미리보기)

Kube-VIP를 L4 로드 밸런서 서비스로 구성하는 방법에 대한 자세한 내용은 Kube-VIP 로드 밸런서를 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
KUBEVIP_LOADBALANCER_ENABLE 선택 사항, 기본값은 false입니다. true 또는 false로 설정합니다. Kube-VIP를 워크로드용 로드 밸런서로 사용하도록 설정합니다. true는 아래 변수 중 하나를 설정해야 합니다.
KUBEVIP_LOADBALANCER_IP_RANGES LoadBalancer 유형 서비스 IP에 할당할 겹치지 않는 IP 범위 목록입니다. 예: 10.0.0.1-10.0.0.23,10.0.2.1-10.0.2.24.
KUBEVIP_LOADBALANCER_CIDRS LoadBalancer 유형 서비스 IP에 할당할 겹치지 않는 CIDR 목록입니다. 예: 10.0.0.0/24,10.0.2/24. KUBEVIP_LOADBALANCER_IP_RANGES 설정을 재정의합니다.

NSX Advanced Load Balancer

NSX Advanced Load Balancer 배포하는 방법에 대한 자세한 내용은 NSX Advanced Load Balancer 설치를 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
AVI_ENABLE 선택 사항, 기본값은 false입니다. true 또는 false로 설정합니다. 워크로드용 로드 밸런서로 NSX Advanced Load Balancer를 사용하도록 설정합니다. true인 경우 아래 NSX Advanced Load Balancer에 있는 필수 변수를 설정해야 합니다.
AVI_ADMIN_CREDENTIAL_NAME 선택 사항, 기본값은 avi-controller-credentials입니다. NSX Advanced Load Balancer 컨트롤러 관리자 사용자 이름과 암호가 포함된 Kubernetes 암호의 이름입니다.
AVI_AKO_IMAGE_PULL_POLICY 선택 사항, 기본값은 IfNotPresent입니다.
AVI_CA_DATA_B64 필수. 컨트롤러 인증서에 서명하는 데 사용되는 컨트롤러 인증 기관의 컨텐츠입니다. base64로 인코딩되어야 합니다. Avi 컨트롤러 설정: 사용자 지정 인증서에 설명된 대로 인코딩되지 않은 사용자 지정 인증서 컨텐츠를 검색합니다.
AVI_CA_NAME 선택 사항, 기본값은 avi-controller-ca입니다. NSX Advanced Load Balancer 컨트롤러 인증 기관을 가지고 있는 Kubernetes 암호의 이름입니다.
AVI_CLOUD_NAME 필수. NSX Advanced Load Balancer 배포에서 생성한 클라우드입니다. 예: Default-Cloud.
AVI_CONTROLLER 필수. NSX Advanced Load Balancer 컨트롤러의 IP 주소 또는 호스트 이름입니다.
AVI_CONTROL_PLANE_HA_PROVIDER 필수. 제어부 API 서버 끝점으로 NSX Advanced Load Balancer를 사용하도록 설정하려면 true로 설정하고, Kube-Vip를 제어부 끝점으로 사용하려면 false로 설정합니다.
AVI_CONTROL_PLANE_NETWORK 선택 사항입니다. 워크로드 클러스터 제어부의 VIP 네트워크를 정의합니다. 워크로드 클러스터에 별도의 VIP 네트워크를 구성하려는 경우 사용합니다. 이 필드는 선택 사항이며 비어 있으면 AVI_DATA_NETWORK와 동일한 네트워크를 사용합니다.
AVI_CONTROL_PLANE_NETWORK_CIDR 선택 사항, 기본값은 AVI_DATA_NETWORK_CIDR과 동일한 네트워크입니다. 워크로드 클러스터의 제어부에 사용할 서브넷의 CIDR입니다. 워크로드 클러스터에 별도의 VIP 네트워크를 구성하려는 경우 사용합니다. NSX Advanced Load Balancer 인터페이스의 인프라 - 네트워크 보기에서 특정 네트워크의 서브넷 CIDR을 볼 수 있습니다.
AVI_DATA_NETWORK 필수. 워크로드 클러스터에서 호스팅되는 애플리케이션으로의 트래픽을 위해 부동 IP 서브넷 또는 IP 풀이 로드 밸런서에 할당되는 네트워크의 이름입니다. 이 네트워크는 Tanzu Kubernetes Grid에서 사용하는 Kubernetes 네트워크와 동일한 vCenter Server 인스턴스에 있어야 하며, SERVICE_CIDR 변수에 지정합니다. 이를 통해 NSX Advanced Load Balancer vCenter Server Kubernetes 네트워크를 검색하고 서비스 엔진을 배포 및 구성할 수 있습니다.
AVI_DATA_NETWORK_CIDR 필수. 로드 밸런서 VIP에 사용할 서브넷의 CIDR입니다. 이것은 VIP 네트워크의 구성된 서브넷 중 하나에서 비롯됩니다. NSX Advanced Load Balancer 인터페이스의 인프라 - 네트워크 보기에서 특정 네트워크의 서브넷 CIDR을 볼 수 있습니다.
AVI_DISABLE_INGRESS_CLASS 선택 사항, 기본값은 false입니다. 수신 클래스를 비활성화합니다.
참고: 이 변수는 TKG v2.3에서 작동하지 않습니다. 해결 방법은 릴리스 정보의 알려진 문제 일부 NSX ALB 구성 변수가 작동하지 않음을 참조하십시오.
AVI_DISABLE_STATIC_ROUTE_SYNC 선택 사항, 기본값은 false입니다. NSX ALB 서비스 엔진에서 포드 네트워크에 연결할 수 있는 경우 true로 설정합니다.
참고: 이 변수는 TKG v2.3에서 작동하지 않습니다. 해결 방법은 릴리스 정보의 알려진 문제 일부 NSX ALB 구성 변수가 작동하지 않음을 참조하십시오.
AVI_INGRESS_DEFAULT_INGRESS_CONTROLLER 선택 사항, 기본값은 false입니다. AKO를 기본 수신 컨트롤러로 사용합니다.
참고: 이 변수는 TKG v2.3에서 작동하지 않습니다. 해결 방법은 릴리스 정보의 알려진 문제 일부 NSX ALB 구성 변수가 작동하지 않음을 참조하십시오.
AVI_INGRESS_NODE_NETWORK_LIST 노드가 속한 포트 그룹(PG) 네트워크의 이름, 그리고 CNI가 해당 노드가 포드에 할당되도록 각 노드에 할당하는 관련 CIDR을 지정합니다. AKODeploymentConfig 파일에서 이를 업데이트하는 것이 가장 좋습니다. 자세한 내용은 ClusterIP 모드에서 L7 수신을 참조하십시오. 클러스터 구성 파일을 사용하는 경우에는 형식이 다음과 유사합니다. '[{"networkName": "vsphere-portgroup","cidrs": ["100.64.42.0/24"]}]'
AVI_INGRESS_SERVICE_TYPE 선택 사항입니다. AKO가 ClusterIP, NodePort 또는 NodePortLocal 모드에서 작동할지 여부를 지정합니다. 기본적으로 NodePort로 설정됩니다.
AVI_INGRESS_SHARD_VS_SIZE 선택 사항입니다. AKO는 계층 7 수신 개체에 샤딩 논리를 사용합니다. 샤딩 VS에는 하나의 가상 IP 또는 VIP에서 호스팅되는 여러 비보안 또는 보안 수신을 호스팅하는 작업이 포함됩니다. LARGE, MEDIUM 또는 SMALL로 설정합니다. 기본값 SMALL. 계층 7 VS 번호를 제어하려면 이 값을 사용합니다. 보안/비보안 VS 모두에 적용되지만 패스스루에는 적용되지 않습니다.
AVI_LABELS 선택 사항입니다. 설정되면 NSX Advanced Load Balancer 레이블이 있는 워크로드 클러스터에서만 사용하도록 설정됩니다. 따옴표("")를 포함합니다. 예: AVI_LABELS: "{foo: 'bar'}".
AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_CIDR 선택 사항입니다. 관리 클러스터의 제어부에 사용할 서브넷의 CIDR입니다. 관리 클러스터의 제어부에 대해 별도의 VIP 네트워크를 구성하려는 경우 를 사용합니다. NSX Advanced Load Balancer 인터페이스의 인프라 - 네트워크 보기에서 특정 네트워크의 서브넷 CIDR을 볼 수 있습니다. 이 필드는 선택 사항이며 비어 있으면 AVI_DATA_NETWORK_CIDR와 동일한 네트워크를 사용합니다.
AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_NAME 선택 사항입니다. 관리 클러스터 제어부의 VIP 네트워크를 정의합니다. 관리 클러스터의 제어부에 대해 별도의 VIP 네트워크를 구성하려는 경우 를 사용합니다. 이 필드는 선택 사항이며 비어 있으면 AVI_DATA_NETWORK와 동일한 네트워크를 사용합니다.
AVI_MANAGEMENT_CLUSTER_SERVICE_ENGINE_GROUP 선택 사항입니다. 관리 클러스터의 AKO에서 사용할 서비스 엔진 그룹의 이름을 지정합니다. 이 필드는 선택 사항이며 비어 있으면 AVI_SERVICE_ENGINE_GROUP와 동일한 네트워크를 사용합니다.
AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_NAME 선택 사항, 기본값은 AVI_DATA_NETWORK와 동일한 네트워크입니다. 관리 클러스터 및 워크로드 클러스터 제어부의 로드 밸런서에 부동 IP 서브넷 또는 IP 풀을 할당하는 네트워크의 이름입니다(NSX ALB를 사용하여 제어부 HA를 제공하는 경우). 이 네트워크는 Tanzu Kubernetes Grid 사용하는 Kubernetes 네트워크와 동일한 vCenter Server 인스턴스에 있어야 합니다. 이 네트워크는 관리 클러스터의 'SERVICE_CIDR' 변수에 지정합니다. 이를 통해 NSX Advanced Load Balancer vCenter Server Kubernetes 네트워크를 검색하고 서비스 엔진을 배포 및 구성할 수 있습니다.
AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_CIDR 선택 사항, 기본값은 AVI_DATA_NETWORK_CIDR과 동일한 네트워크입니다. 관리 클러스터 및 워크로드 클러스터의 제어부에 사용할 서브넷의 CIDR(NSX ALB를 사용하여 제어부 HA를 제공하는 경우) 로드 밸런서 VIP. 이것은 VIP 네트워크의 구성된 서브넷 중 하나에서 비롯됩니다. NSX Advanced Load Balancer 인터페이스의 인프라 - 네트워크 보기에서 특정 네트워크의 서브넷 CIDR을 볼 수 있습니다.
AVI_NAMESPACE 선택 사항, 기본값은 "tkg-system-networking"입니다. AKO 운영자의 네임스페이스입니다.
AVI_NSXT_T1LR 선택 사항입니다. NSX Cloud의 AVI 컨트롤러 UI에서 관리 클러스터에 구성한 NSX T1 라우터 경로입니다. NSX ALB 컨트롤러에서 NSX 클라우드를 사용하는 경우에 필요합니다.
워크로드 클러스터에 다른 T1을 사용하려면 관리 클러스터가 생성된 후 AKODeploymentConfig 개체 install-ako-for-all을 수정합니다.
AVI_PASSWORD 필수. 컨트롤러 관리자를 배포할 때 설정한 암호입니다.
AVI_SERVICE_ENGINE_GROUP 필수. 서비스 엔진 그룹의 이름입니다. 예: Default-Group.
AVI_USERNAME 필수. 컨트롤러 호스트를 배포할 때 설정한 관리자 사용자 이름입니다.

NSX 포드 라우팅

이러한 변수는 라우팅 가능 IP 포드를 사용하여 클러스터 배포에 설명된 대로 라우팅 가능한 IP 주소 워크로드 포드를 구성합니다. 모든 문자열 유형 설정은 큰 따옴표로 묶어야 합니다(예: "true").

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
NSXT_POD_ROUTING_ENABLED 선택 사항, 기본값은 "false"입니다. 아래 변수를 사용하여 NSX 라우팅 가능한 포드를 사용하도록 설정하려면 "true"로 설정합니다. 라우팅 가능 IP 포드를 사용하여 클러스터 배포를 참조하십시오.
NSXT_MANAGER_HOST NSXT_POD_ROUTING_ENABLED= "true"인 경우 필수입니다.
NSX Manager의 IP 주소입니다.
NSXT_ROUTER_PATH NSXT_POD_ROUTING_ENABLED= "true"인 경우 필수입니다. NSX Manager에 표시된 T1 라우터 경로입니다.
NSX의 사용자 이름/암호 인증:
NSXT_USERNAME NSX Manager에 로그인하기 위한 사용자 이름입니다.
NSXT_PASSWORD NSX Manager에 로그인하기 위한 암호입니다.
자격 증명을 사용하여 NSX에 인증하고 Kubernetes 암호에 저장(위의 NSXT_USERNAMENSXT_PASSWORD 설정):
NSXT_SECRET_NAMESPACE 선택 사항, 기본값은 "kube-system"입니다. NSX 사용자 이름과 암호가 포함된, 암호가 있는 네임스페이스입니다.
NSXT_SECRET_NAME 선택 사항, 기본값은 "cloud-provider-vsphere-nsxt-credentials"입니다. NSX 사용자 이름과 암호가 포함된 암호의 이름입니다.
NSX에 인증서 인증:
NSXT_ALLOW_UNVERIFIED_SSL 선택 사항, 기본값은 false입니다. NSX가 자체 서명된 인증서를 사용하는 경우 "true"로 설정합니다.
NSXT_ROOT_CA_DATA_B64 NSXT_ALLOW_UNVERIFIED_SSL= "false"인 경우 필수입니다.
NSX LDAP 인증에 사용하는 Base64로 인코딩된 인증 기관 루트 인증서 문자열입니다.
NSXT_CLIENT_CERT_KEY_DATA Base64로 인코딩된 로컬 클라이언트 인증서용 인증서 키 파일 문자열입니다.
NSXT_CLIENT_CERT_DATA Base64로 인코딩된 로컬 클라이언트 인증서용 인증서 파일 문자열입니다.
VMC(VMware Cloud)에서 VMware Identity Manager를 사용하여 NSX 원격 인증:
NSXT_REMOTE_AUTH 선택 사항, 기본값은 false입니다. VMC(VMware Cloud)에서 VMware Identity Manager를 사용하여 NSX 원격 인증할 경우 "true"로 설정합니다.
NSXT_VMC_AUTH_HOST 선택 사항, 기본값은 비어 있음입니다. VMC 인증 호스트입니다.
NSXT_VMC_ACCESS_TOKEN 선택 사항, 기본값은 비어 있음입니다. VMC 인증 액세스 토큰입니다.

노드 IPAM

이러한 변수는 노드 IPAM에 설명된 대로 IPAM(클러스터 내 IP 주소 관리)을 구성합니다. 모든 문자열 유형 설정은 큰 따옴표로 묶어야 합니다(예: "true").

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
CONTROL_PLANE_NODE_NAMESERVERS 노드 IPAM으로 관리되는 제어부 노드 주소에 대해 쉼표로 구분된 네임서버(예: "10.10.10.10") 목록입니다. Ubuntu 및 Photon에서 지원됩니다. Windows에서는 지원되지 않습니다.
NODE_IPAM_IP_POOL_APIVERSION 워크로드 클러스터에서 사용되는 InClusterIPPool 개체의 API 버전입니다. 기본값은 "ipam.cluster.x-k8s.io/v1alpha2"입니다. 이전 TKG 버전은 v1alpha1을 사용했습니다.
NODE_IPAM_IP_POOL_KIND 워크로드 클러스터에서 사용하는 IP 풀 개체의 유형입니다. 기본값은 "InClusterIPPool"이거나 다른 클러스터와 동일한 풀을 공유하는 "GlobalInClusterIPPool"일 수 있습니다.
NODE_IPAM_IP_POOL_NAME 워크로드 클러스터에서 사용하는 IP 풀을 구성하는 IP 풀 개체의 이름입니다.
WORKER_NODE_NAMESERVERS 노드 IPAM으로 관리되는 Worker 노드 주소의 쉼표로 구분된 네임서버(예: "10.10.10.10") 목록입니다. Ubuntu 및 Photon에서 지원됩니다. Windows에서는 지원되지 않습니다.
MANAGEMENT_NODE_IPAM_IP_POOL_GATEWAY 관리 클러스터의 IPAM 풀 주소에 대한 기본 게이트웨이입니다(예: "10.10.10.1").
MANAGEMENT_NODE_IPAM_IP_POOL_ADDRESSES IPAM이 관리 클러스터에서 할당할 수 있는 주소로, 단일 IP 주소, 범위(예: 10.0.0.2-10.0.0.100) 또는 CIDR(예: 10.0.0.32/27)을 포함할 수 있습니다.
클러스터 업그레이드에 필요한 대로 사용되지 않은 상태로 유지할 추가 주소를 포함합니다. 필요한 추가 주소 수는 기본적으로 1로 설정되며 클러스터 개체 규격의 topology.controlPlanetopology.workers 정의의 주석 topology.cluster.x-k8s.io/upgrade-concurrency에 의해 설정됩니다.
MANAGEMENT_NODE_IPAM_IP_POOL_SUBNET_PREFIX 독립형 관리 클러스터의 IPAM 풀 주소용 서브넷의 네트워크 접두사입니다(예: "24"

GPU 지원 클러스터

이러한 변수는 GPU 지원 워크로드 클러스터에 설명된 대로 PCI 패스스루 모드로 GPU 지원 워크로드 클러스터를 구성합니다. 모든 문자열 유형 설정은 큰 따옴표로 묶어야 합니다(예: "true").

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
VSPHERE_CONTROL_PLANE_CUSTOM_VMX_KEYS 모든 제어부 시스템에서 사용자 지정 VMX 키를 설정합니다. Key1=Value1,Key2=Value2 형식을 사용합니다. GPU 지원 워크로드 클러스터 배포를 참조하십시오.
VSPHERE_CONTROL_PLANE_HARDWARE_VERSION PCI 패스스루 모드에서 GPU 디바이스가 있는 제어부 VM의 하드웨어 버전입니다. 필요한 최소 버전은 17입니다. 값의 형식은 vmx-17이며 여기서 후행 숫자는 가상 시스템의 하드웨어 버전입니다. 다른 하드웨어 버전에 대한 기능 지원에 대한 자세한 내용은 vSphere 설명서의 가상 시스템 호환성 설정에서 사용할 수 있는 하드웨어 기능을 참조하십시오.
VSPHERE_CONTROL_PLANE_PCI_DEVICES 모든 제어부 시스템에서 PCI 패스스루를 구성합니다. <vendor_idgt;:<device_id> 형식을 사용합니다. 예: VSPHERE_WORKER_PCI_DEVICES: "0x10DE:0x1EB8". 벤더 및 디바이스 ID를 찾으려면 GPU 지원 워크로드 클러스터 배포를 참조하십시오.
VSPHERE_IGNORE_PCI_DEVICES_ALLOW_LIST NVIDIA Tesla T4 GPU를 사용할 경우 false로, NVIDIA V100 GPU를 사용할 경우 true로 설정합니다.
VSPHERE_WORKER_CUSTOM_VMX_KEYS 모든 작업자 시스템에서 사용자 지정 VMX 키를 설정합니다. Key1=Value1,Key2=Value2 형식을 사용합니다. 예는 GPU 지원 워크로드 클러스터 배포를 참조하십시오.
VSPHERE_WORKER_HARDWARE_VERSION PCI 패스스루 모드에서 GPU 디바이스가 있는 Worker VM의 하드웨어 버전입니다. 필요한 최소 버전은 17입니다. 값의 형식은 vmx-17이며 여기서 후행 숫자는 가상 시스템의 하드웨어 버전입니다. 다른 하드웨어 버전에 대한 기능 지원에 대한 자세한 내용은 vSphere 설명서의 가상 시스템 호환성 설정에서 사용할 수 있는 하드웨어 기능을 참조하십시오.
VSPHERE_WORKER_PCI_DEVICES 모든 작업자 시스템에서 PCI 패스스루를 구성합니다. <vendor_idgt;:<device_id> 형식을 사용합니다. 예: VSPHERE_WORKER_PCI_DEVICES: "0x10DE:0x1EB8". 벤더 및 디바이스 ID를 찾으려면 GPU 지원 워크로드 클러스터 배포를 참조하십시오.
WORKER_ROLLOUT_STRATEGY 선택 사항입니다. MachineDeployment 롤아웃 전략을 구성합니다. 기본값은 RollingUpdate입니다. OnDelete로 설정된 경우 업데이트 시 기존 Worker 시스템이 먼저 삭제된 후 교체 Worker 시스템이 생성됩니다. Worker 노드에서 사용 가능한 모든 PCI 디바이스를 사용할 경우 OnDelete로 설정해야 합니다.

AWS

아래 표의 변수는 워크로드 클러스터를 AWS에 배포할 때 클러스터 구성 파일에 지정하는 옵션입니다. 이러한 옵션 상당수는 워크로드 클러스터와 워크로드 클러스터를 배포하는 데 사용하는 관리 클러스터 모두에 대해 동일합니다.

AWS용 구성 파일에 대한 자세한 내용은 AWS용 관리 클러스터 구성AWS용 클러스터 구성 파일을 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
AWS_ACCESS_KEY_ID 선택 사항입니다. AWS 계정의 액세스 키 ID입니다. AWS에 인증하기 위한 한 가지 옵션입니다. AWS 계정 자격 증명 구성을 참조하십시오.
AWS_PROFILE 또는 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY 조합만 사용하며, 둘 다 사용할 수는 없습니다.
AWS_CONTROL_PLANE_OS_DISK_SIZE_GIB 선택 사항입니다. 제어부 노드의 디스크 크기입니다. CONTROL_PLANE_MACHINE_TYPE, SIZE 또는 CONTROLPLANE_SIZE에서 설정된 VM 유형의 기본 디스크 크기를 재정의합니다.
AWS_LOAD_BALANCER_SCHEME_INTERNAL 선택 사항입니다. 관리 클러스터의 경우, 로드 밸런서 체계를 내부로 설정하여 인터넷을 통한 액세스를 차단합니다. 워크로드 클러스터의 경우 는 관리 클러스터가 VPC를 공유하거나 피어링될 때 워크로드 클러스터의 로드 밸런서에 내부적으로 액세스하도록 보장합니다. Kubernetes API 서버에 내부 로드 밸런서 사용을 참조하십시오.
AWS_NODE_AZ 필수. 이 관리 클러스터의 가용성 영역으로 사용할, 선택한 지역의 AWS 가용성 영역 이름입니다. 가용성 영역 이름은 AWS 지역 이름과 동일하며, 소문자 접미사(예: a, b, c)가 있습니다. 예: us-west-2a. 3개의 제어부 노드가 있는 prod 관리 클러스터를 배포하려면 AWS_NODE_AZ_1AWS_NODE_AZ_2를 설정해야 합니다. 이러한 각 가용성 영역의 문자 접미사는 고유해야 합니다. 예: us-west-2a, us-west-2b, us-west-2c.
AWS_NODE_OS_DISK_SIZE_GIB 선택 사항입니다. Worker 노드의 디스크 크기입니다. NODE_MACHINE_TYPE, SIZE 또는 WORKER_SIZE에서 설정된 VM 유형의 기본 디스크 크기를 재정의합니다.
AWS_NODE_AZ_1AWS_NODE_AZ_2 선택 사항입니다. 3개의 제어부 노드가 있는 prod 관리 클러스터를 배포하려면 이러한 변수를 설정합니다. 두 가용성 영역은 AWS_NODE_AZ와 동일한 지역에 있어야 합니다. 자세한 내용은 AWS_NODE_AZ를 참조하십시오. 예를 들어 us-west-2a, ap-northeast-2b 등이 있습니다.
AWS_PRIVATE_NODE_CIDR_1 선택 사항입니다. 권장 범위인 10.0.2.0/24를 사용할 수 없는 경우 다른 IP 범위를 CIDR 형식으로 입력합니다. Tanzu Kubernetes Grid가 관리 클러스터를 배포하면 AWS_NODE_AZ_1에 이 하위 네트워크도 생성됩니다. 자세한 내용은 AWS_PRIVATE_NODE_CIDR를 참조하십시오.
AWS_PRIVATE_NODE_CIDR_2 선택 사항입니다. 권장 범위인 10.0.4.0/24를 사용할 수 없는 경우 다른 IP 범위를 CIDR 형식으로 입력합니다. Tanzu Kubernetes Grid가 관리 클러스터를 배포하면 AWS_NODE_AZ_2에 이 하위 네트워크도 생성됩니다. 자세한 내용은 AWS_PRIVATE_NODE_CIDR를 참조하십시오.
AWS_PROFILE 선택 사항입니다. aws configure에서 관리되는 AWS 자격 증명 프로필은 Tanzu Kubernetes Grid AWS 계정에 액세스하는 데 사용합니다. AWS에 인증하기 위한 기본 옵션입니다. AWS 계정 자격 증명 구성을 참조하십시오.
AWS_PROFILE 또는 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY 조합만 사용하며, 둘 다 사용할 수는 없습니다.
AWS_PUBLIC_NODE_CIDR_1 선택 사항입니다. 권장 범위인 10.0.3.0/24를 사용할 수 없는 경우 다른 IP 범위를 CIDR 형식으로 입력합니다. Tanzu Kubernetes Grid가 관리 클러스터를 배포하면 AWS_NODE_AZ_1에 이 하위 네트워크도 생성됩니다. 자세한 내용은 AWS_PUBLIC_NODE_CIDR를 참조하십시오.
AWS_PUBLIC_NODE_CIDR_2 선택 사항입니다. 권장 범위인 10.0.5.0/24를 사용할 수 없는 경우 다른 IP 범위를 CIDR 형식으로 입력합니다. Tanzu Kubernetes Grid가 관리 클러스터를 배포하면 AWS_NODE_AZ_2에 이 하위 네트워크도 생성됩니다. 자세한 내용은 AWS_PUBLIC_NODE_CIDR를 참조하십시오.
AWS_PRIVATE_SUBNET_ID 선택 사항입니다. 기존 VPC를 사용하도록 AWS_VPC_ID를 설정한 경우 AWS_NODE_AZ에 이미 존재하는 개인 서브넷의 ID를 입력합니다. 이 설정은 선택 사항입니다. 설정하지 않으면 tanzu management-cluster create는 개인 서브넷을 자동으로 식별합니다. 3개의 제어부 노드가 있는 prod 관리 클러스터를 배포하려면 AWS_PRIVATE_SUBNET_ID_1AWS_PRIVATE_SUBNET_ID_2를 설정해야 합니다.
AWS_PRIVATE_SUBNET_ID_1 선택 사항입니다. AWS_NODE_AZ_1에 있는 개인 서브넷의 ID입니다. 이 변수를 설정하지 않으면 tanzu management-cluster create는 개인 서브넷을 자동으로 식별합니다. 자세한 내용은 AWS_PRIVATE_SUBNET_ID를 참조하십시오.
AWS_PRIVATE_SUBNET_ID_2 선택 사항입니다. AWS_NODE_AZ_2에 있는 개인 서브넷의 ID입니다. 이 변수를 설정하지 않으면 tanzu management-cluster create는 개인 서브넷을 자동으로 식별합니다. 자세한 내용은 AWS_PRIVATE_SUBNET_ID를 참조하십시오.
AWS_PUBLIC_SUBNET_ID 선택 사항입니다. 기존 VPC를 사용하도록 AWS_VPC_ID를 설정한 경우 AWS_NODE_AZ에 이미 존재하는 공용 서브넷의 ID를 입력합니다. 이 설정은 선택 사항입니다. 설정하지 않으면 tanzu management-cluster create는 공용 서브넷을 자동으로 식별합니다. 3개의 제어부 노드가 있는 prod 관리 클러스터를 배포하려면 AWS_PUBLIC_SUBNET_ID_1AWS_PUBLIC_SUBNET_ID_2를 설정해야 합니다.
AWS_PUBLIC_SUBNET_ID_1 선택 사항입니다. AWS_NODE_AZ_1에 있는 공용 서브넷의 ID입니다. 이 변수를 설정하지 않으면 tanzu management-cluster create는 공용 서브넷을 자동으로 식별합니다. 자세한 내용은 AWS_PUBLIC_SUBNET_ID를 참조하십시오.
AWS_PUBLIC_SUBNET_ID_2 선택 사항입니다. AWS_NODE_AZ_2에 있는 공용 서브넷의 ID입니다. 이 변수를 설정하지 않으면 tanzu management-cluster create는 공용 서브넷을 자동으로 식별합니다. 자세한 내용은 AWS_PUBLIC_SUBNET_ID를 참조하십시오.
AWS_REGION 필수. 클러스터를 배포할 AWS 지역의 이름입니다. 예: us-west-2. AWS GovCloud에서 us-gov-eastus-gov-west 지역을 지정할 수도 있습니다. 다른 지역을 환경 변수로 이미 설정한 경우(예: 관리 클러스터를 AWS로 배포) 환경 변수를 설정 해제해야 합니다. 예를 들어 us-west-2, ap-northeast-2 등이 있습니다.
AWS_SECRET_ACCESS_KEY 선택 사항입니다. AWS 계정의 암호 액세스 키입니다. AWS에 인증하기 위한 한 가지 옵션입니다. AWS 계정 자격 증명 구성을 참조하십시오.
AWS_PROFILE 또는 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY 조합만 사용하며, 둘 다 사용할 수는 없습니다.
AWS_SECURITY_GROUP_APISERVER_LB 선택 사항입니다. 클러스터에 적용할 사용자 지정 규칙이 있는 사용자 지정 보안 그룹입니다. 사용자 지정 보안 그룹 구성을 참조하십시오.
AWS_SECURITY_GROUP_BASTION
AWS_SECURITY_GROUP_CONTROLPLANE
AWS_SECURITY_GROUP_APISERVER_LB
AWS_SECURITY_GROUP_NODE
AWS_SESSION_TOKEN 선택 사항입니다. 임시 액세스 키를 사용해야 하는 경우 계정에 부여된 AWS 세션 토큰을 제공합니다. 임시 액세스 키 사용에 대한 자세한 내용은 AWS 자격 증명이해 및 가져오기를 참조하십시오. AWS 계정용 세션 토큰을 입력합니다. 또는 계정 자격 증명을 로컬 환경 변수 또는 AWS 기본 자격 증명 제공자 체인으로 지정할 수 있습니다.
AWS_SSH_KEY_NAME 필수. AWS 계정에 등록한 SSH 개인 키의 이름입니다.
AWS_VPC_ID 선택 사항입니다. 선택한 AWS 지역에 이미 있는 VPC를 사용하려면 VPC의 ID를 입력한 다음 AWS_PUBLIC_SUBNET_IDAWS_PRIVATE_SUBNET_ID를 설정합니다.
BASTION_HOST_ENABLED 선택 사항입니다. 기본적으로 이 옵션은 글로벌 Tanzu Kubernetes Grid 구성에서 "true"로 설정됩니다. AWS 배스천 호스트를 배포하려면 "true"로 지정하고 기존 배스천 호스트를 재사용하려면 "false"로 지정합니다. 가용성 영역에 배스천 호스트가 없고 기존 VPC를 사용하도록 AWS_VPC_ID를 설정한 경우 BASTION_HOST_ENABLED"true"로 설정합니다.
CONTROL_PLANE_MACHINE_TYPE 클라우드에 무관한 SIZE 또는 CONTROLPLANE_SIZE가 설정되지 않은 경우 필수입니다. 클러스터 제어부 노드에 사용할 Amazon EC2 인스턴스 유형입니다(예: t3.small 또는 m5.large).
NODE_MACHINE_TYPE 클라우드에 무관한 SIZE 또는 WORKER_SIZE가 설정되지 않은 경우 필수입니다. 클러스터 Worker 노드에 사용할 Amazon EC2 인스턴스 유형입니다(예: t3.small 또는 m5.large).

Microsoft Azure

아래 표의 변수는 워크로드 클러스터를 Azure에 배포할 때 클러스터 구성 파일에 지정하는 옵션입니다. 이러한 옵션 상당수는 워크로드 클러스터와 워크로드 클러스터를 배포하는 데 사용하는 관리 클러스터 모두에 대해 동일합니다.

Azure용 구성 파일에 대한 자세한 내용은 Azure용 관리 클러스터 구성Azure용 클러스터 구성 파일을 참조하십시오.

변수 에서 설정할 수 있습니다... 설명
관리 클러스터 YAML 워크로드 클러스터 YAML
AZURE_CLIENT_ID 필수. Azure에 등록한 Tanzu Kubernetes Grid 애플리케이션의 클라이언트 ID입니다.
AZURE_CLIENT_SECRET 필수. Azure에서 Tanzu Kubernetes Grid 애플리케이션 등록의 Azure 클라이언트 암호입니다.
AZURE_CUSTOM_TAGS 선택 사항입니다. 클러스터에 생성된 Azure 리소스에 적용할, 쉼표로 구분된 태그 목록입니다. 태그는 키-값 쌍입니다(예: "foo=bar, plan=prod"). Azure 리소스 태그 지정에 대한 자세한 내용은 Microsoft Azure 설명서의 태그를 사용하여 Azure 리소스 및 관리 계층 구성Azure 리소스에 대한 태그 지원를 참조하십시오.
AZURE_ENVIRONMENT 선택 사항, 기본값은 AzurePublicCloud입니다. 지원되는 클라우드는 AzurePublicCloud, AzureChinaCloud, AzureGermanCloud, AzureUSGovernmentCloud입니다.
AZURE_IDENTITY_NAME 선택 사항입니다. 다른 Azure 계정에서 클러스터를 사용하려면 설정합니다. 다른 Azure 계정의 클러스터를 사용하기 위해 생성하는 AzureClusterIdentity에 사용할 이름입니다. 자세한 내용은 Azure에 워크로드 클러스터 배포서로 다른 Azure 계정의 클러스터를 참조하십시오.
AZURE_IDENTITY_NAMESPACE 선택 사항입니다. 다른 Azure 계정에서 클러스터를 사용하려면 설정합니다. 다른 Azure 계정의 클러스터를 사용하기 위해 생성하는 AzureClusterIdentity의 네임스페이스입니다. 자세한 내용은 Azure에 워크로드 클러스터 배포서로 다른 Azure 계정의 클러스터를 참조하십시오.
AZURE_LOCATION 필수. 클러스터를 배포할 Azure 지역의 이름입니다. 예: eastus.
AZURE_RESOURCE_GROUP 선택 사항, 기본값은 CLUSTER_NAME입니다. 클러스터에 사용할 Azure 리소스 그룹의 이름입니다. 각 클러스터에 고유해야 합니다. AZURE_RESOURCE_GROUPAZURE_VNET_RESOURCE_GROUP은 기본적으로 동일합니다.
AZURE_SSH_PUBLIC_KEY_B64 필수. 관리 클러스터를 Microsoft Azure로 배포에서 생성한 SSH 공용 키는 새 라인이 제거된 상태로 base64로 변환됩니다. 예: c3NoLXJzYSBB [...] vdGFsLmlv.
AZURE_SUBSCRIPTION_ID 필수. Azure 구독의 구독 ID입니다.
AZURE_TENANT_ID 필수. Azure 계정의 테넌트 ID입니다.
네트워킹
AZURE_CONTROL_PLANE_OUTBOUND_LB_FRONTEND_IP_COUNT 선택 사항, 기본값은 1입니다. 예상되는 아웃바운드 연결 수가 많은 환경의 제어부 로드 밸런서에 여러 프런트 엔드 IP 주소를 추가하려면 이 설정을 지정합니다.
AZURE_ENABLE_ACCELERATED_NETWORKING 선택 사항, 기본값은 true입니다. CPU가 4개 이상인 VM에서 Azure 가속 네트워킹을 비활성화하려면 false로 설정합니다.
AZURE_ENABLE_CONTROL_PLANE_OUTBOUND_LB 선택 사항입니다. AZURE_ENABLE_PRIVATE_CLUSTERtrue이고 제어부의 아웃바운드 로드 밸런서에서 공용 IP 주소를 사용하도록 설정하려는 경우 true로 설정합니다.
AZURE_ENABLE_NODE_OUTBOUND_LB 선택 사항입니다. AZURE_ENABLE_PRIVATE_CLUSTERtrue이고 Worker 노드의 아웃바운드 로드 밸런서에서 공용 IP 주소를 사용하도록 설정하려는 경우 true로 설정합니다.
AZURE_ENABLE_PRIVATE_CLUSTER 선택 사항입니다. 클러스터를 개인으로 구성하고 수신 트래픽에 대해 Azure ILB(내부 로드 밸런서)를 사용하려면 true로 설정합니다. 자세한 내용은 Azure 개인 클러스터를 참조하십시오.
AZURE_FRONTEND_PRIVATE_IP 선택 사항입니다. AZURE_ENABLE_PRIVATE_CLUSTERtrue이고 기본 내부 로드 밸런서 주소 10.0.0.100을 재정의하려는 경우 이 설정을 지정합니다.
AZURE_NODE_OUTBOUND_LB_FRONTEND_IP_COUNT 선택 사항, 기본값은 1입니다. 예상되는 아웃바운드 연결 수가 많은 환경의 Worker 노드 로드 밸런서에 여러 프런트 엔드 IP 주소를 추가하려면 이 설정을 지정합니다.
AZURE_NODE_OUTBOUND_LB_IDLE_TIMEOUT_IN_MINUTES 선택 사항, 기본값은 4입니다. Worker 노드 아웃바운드 로드 밸런서를 통해 아웃바운드 TCP 연결이 열린 상태로 유지되는 시간(분)을 지정하려면 이 값을 설정합니다.
AZURE_VNET_CIDR 선택 사항입니다. 클러스터를 새 VNet과 서브넷에 배포하고 기본값을 재정의하려면 설정합니다. 기본적으로 AZURE_VNET_CIDR10.0.0.0/16으로, AZURE_CONTROL_PLANE_SUBNET_CIDR10.0.0.0/24로, AZURE_NODE_SUBNET_CIDR10.0.1.0/24로 설정됩니다.
AZURE_CONTROL_PLANE_SUBNET_CIDR
AZURE_NODE_SUBNET_CIDR
AZURE_VNET_NAME 선택 사항입니다. 클러스터를 기존 VNet과 서브넷에 배포하거나 새 VNet과 서브넷에 이름을 할당하려면 설정합니다.
AZURE_CONTROL_PLANE_SUBNET_NAME
AZURE_NODE_SUBNET_NAME
AZURE_VNET_RESOURCE_GROUP 선택 사항, 기본값은 AZURE_RESOURCE_GROUP입니다.
제어부 VM
AZURE_CONTROL_PLANE_DATA_DISK_SIZE_GIB 선택 사항입니다. Azure 설명서 디스크 역할(제어부 VM)에 설명된 대로 데이터 디스크와 OS 디스크의 크기(GB)입니다. 예: 128, 256. 제어부 노드는 항상 데이터 디스크로 프로비저닝됩니다.
AZURE_CONTROL_PLANE_OS_DISK_SIZE_GIB
AZURE_CONTROL_PLANE_MACHINE_TYPE 선택 사항, 기본값은 Standard_D2s_v3입니다. 예상 워크로드에 맞게 선택한 제어부 노드 VM의 Azure VM 크기입니다. Azure 인스턴스 유형의 최소 요구 사항은 CPU 2개와 8GB 메모리입니다. 가능한 값은 Tanzu Kubernetes Grid 설치 관리자 인터페이스를 참조하십시오.
AZURE_CONTROL_PLANE_OS_DISK_STORAGE_ACCOUNT_TYPE 선택 사항입니다. 제어부 VM 디스크에 대한 Azure 스토리지 계정의 유형입니다. 예: Premium_LRS.
Worker 노드 VM
AZURE_ENABLE_NODE_DATA_DISK 선택 사항, 기본값은 false입니다. Azure 설명서 디스크 역할에 설명된 대로 각 Worker 노드 VM에 데이터 디스크를 프로비저닝하려면 true로 설정합니다.
AZURE_NODE_DATA_DISK_SIZE_GIB 선택 사항입니다. AZURE_ENABLE_NODE_DATA_DISKtrue인 경우 이 변수를 설정합니다. Azure 설명서 디스크 역할(작업자 VM)에 설명된 대로 데이터 디스크의 크기(GB)입니다. 예: 128, 256.
AZURE_NODE_OS_DISK_SIZE_GIB 선택 사항입니다. Azure 설명서 디스크 역할(작업자 VM)에 설명된 대로 OS 디스크의 크기(GB)입니다. 예: 128, 256.
AZURE_NODE_MACHINE_TYPE 선택 사항입니다. 예상 워크로드에 맞게 선택한 Worker 노드 VM의 Azure VM 크기입니다. 기본값은 Standard_D2s_v3입니다. 가능한 값은 Tanzu Kubernetes Grid 설치 관리자 인터페이스를 참조하십시오.
AZURE_NODE_OS_DISK_STORAGE_ACCOUNT_TYPE 선택 사항입니다. AZURE_ENABLE_NODE_DATA_DISKtrue인 경우 이 변수를 설정합니다. 작업자 VM 디스크에 대한 Azure 스토리지 계정의 유형입니다. 예: Premium_LRS.

구성 값 우선 순위

Tanzu CLI는 클러스터를 생성할 때 여러 소스에서 이 항목에 나열된 변수의 값을 읽습니다. 이러한 소스가 충돌하는 경우 다음과 같은 내림차순으로 충돌을 해결합니다.

내림차순으로 정렬된 처리 계층 소스
1. 설치 관리자 인터페이스에 설정된 관리 클러스터 구성 변수 --ui 옵션에서 실행되고 클러스터 구성 파일에 기록된 설치 관리자 인터페이스에 입력됩니다. 파일 위치는 기본적으로 ~/.config/tanzu/tkg/clusterconfigs/로 설정됩니다. Standard_D2s_v3가 선택된 Worker 노드 인스턴스 유형 드롭다운
2. 로컬 환경에 설정된 클러스터 구성 변수 셸에서 설정합니다. export AZURE_NODE_MACHINE_TYPE=Standard_D2s_v3
3. tanzu config set env.를 사용하여 Tanzu CLI에서 설정된 클러스터 구성 변수 셸에서 설정. 글로벌 Tanzu CLI 구성 파일 ~/.config/tanzu/config.yaml에 저장되었습니다. tanzu config set env.AZURE_NODE_MACHINE_TYPE Standard_D2s_v3
4. 클러스터 구성 파일에 설정된 클러스터 구성 변수 tanzu management-cluster create 또는 tanzu cluster create--file 옵션에 전달된 파일에 설정되었습니다. 파일은 기본적으로 ~/.config/tanzu/tkg/cluster-config.yaml로 설정됩니다. AZURE_NODE_MACHINE_TYPE: Standard_D2s_v3
5. 초기 기본 구성 값 providers/config_default.yaml에 설정합니다. 이 값을 수정하지 마십시오. AZURE_NODE_MACHINE_TYPE: "Standard_D2s_v3"
check-circle-line exclamation-circle-line close-line
Scroll to top icon