NSX ALB Advanced Load Balancer 관리

Tanzu Kubernetes Grid를 사용하면 ALB(NSX Advanced Load Balancer) 배포에서 다양한 관리 작업을 수행할 수 있습니다.

Avi 컨트롤러 인증서 수정

Avi 컨트롤러 인증서가 주기적으로 만료됩니다. Tanzu Kubernetes Grid에서 Avi 컨트롤러 인증서가 만료되면 업데이트할 수 있습니다. 클러스터에서 인증서를 업데이트하기 전에 인증서가 Avi 컨트롤러에 있는지 확인합니다.

Avi 컨트롤러 인증서를 업데이트하려면 다음을 수행합니다.

  1. 인증서 데이터를 base64로 인코딩된 문자열로 다시 인코딩합니다.
  2. 새 문자열로 인증서 암호를 패치합니다.

    kubectl patch secret/avi-controller-ca -n tkg-system-networking -p '{"data": {"certificateAuthorityData": "<base64 encoded string>"}}'
    

Avi 컨트롤러 자격 증명 수정

Avi 컨트롤러 자격 증명을 업데이트하려면 다음을 수행합니다.

  1. 자격 증명을 base64로 인코딩된 문자열로 다시 인코딩합니다.

  2. 새 문자열로 인증서 암호를 패치합니다.

    kubectl edit secret avi-controller-credentials -n tkg-system-networking
    
  3. 팝업되는 기본 텍스트 편집기 내에서 새 base64로 인코딩된 자격 증명으로 자격 증명을 업데이트합니다.

관리 클러스터 및 해당 워크로드 클러스터에서 AVI 컨트롤러 IP 주소 또는 FQDN 업데이트

Tanzu Kubernetes Grid 기존 관리 클러스터 및 해당 워크로드 클러스터에서 AVI 컨트롤러 IP 주소 또는 FQDN을 업데이트할 수 있습니다.

사전 요구 사항

  • 컨트롤러에 인증서 할당에 설명된 대로 AVI 컨트롤러에 보안 인증서를 할당해야 합니다. 인증서의 대체 이름 필드에는 Avi 컨트롤러의 새 IP 주소 또는 FQDN이 있어야 합니다.

  • 관리 클러스터 컨텍스트에서 kubectl get pods 명령을 실행하고 출력에 AKO Operator 포드의 이름을 기록합니다. 예: ako-operator-controller-manager-7b74d8b9f9-nlz6n.

절차

  1. Tanzu CLI에서 다음 명령을 실행하여 새 인증서를 추가합니다.

    kubectl edit secret avi-controller-ca -n tkg-system-networking
    
  2. 컨트롤러 UI에서 다음 단계를 완료합니다.

    a. 관리(Administration) > 컨트롤러(Controller) > 노드(Nodes) 로 이동한 후 편집(Edit) 을 클릭합니다.

    b. 컨트롤러 클러스터 IP(Controller Cluster IP) 필드에서 IP 주소 또는 FQDN을 업데이트합니다.

  3. 워크로드 클러스터의 akodeploymentconfig CR 개체에서 controller 필드에 해당하는 값을 Avi 컨트롤러의 새 IP 주소 또는 FQDN으로 바꿉니다.

    kubectl edit adc install-ako-for-all
    
  4. 관리 클러스터의 akodeploymentconfig CR 개체에서 controller 필드에 해당하는 값을 Avi 컨트롤러의 새 IP 주소 또는 FQDN으로 바꿉니다.

    kubectl edit adc install-ako-for-management-cluster
    
  5. AKO Operator 포드를 삭제합니다.

    kubectl delete pod AKO-OPERATOR-POD -n tkg-system-networking
    

    여기서 AKO-OPERATOR-POD는 AKO Operator 포드의 이름입니다(예: ako-operator-controller-manager-7b74d8b9f9-nlz6n).

  6. AKO 포드를 삭제합니다.

    kubectl delete pod ako-0 -n avi-system
    

AKO 및 AKO Operator 포드가 다시 시작되고 새 IP 주소 또는 FQDN이 관리 클러스터 및 해당 워크로드 클러스터에서 업데이트됩니다.

클러스터의 AKODeploymentConfig CR 개체 보기

현재 클러스터에서 사용되는 AKODeploymentConfig CR 개체를 확인하려면 다음 명령을 실행합니다.

kubectl --context={management cluster kubeconfig context} get cluster --show-labels

출력에서 networking.tkg.tanzu.vmware.com/avi=<AKODeploymentConfig-NAME> 필드를 확인하여 클러스터에서 선택한 AKODeploymentConfig 개체를 확인합니다.

NSX Advanced Load Balancer 구성 입력 검증

NSX Advanced Load Balancer 구성 중에 Tanzu Kubernetes Grid 구성 필드에 지정한 입력 내용을 확인합니다. 시스템에서 잘못된 입력을 감지하면 오류가 기록됩니다. 관리 클러스터를 배포할 때 AVI_ENABLE 필드가 true로 설정된 경우 Tanzu CLI는 다음 필드에 입력한 내용을 확인합니다.

  • AVI_CONTROLLER
  • AVI_USERNAME
  • AVI_PASSWORD
  • AVI_CA_DATA_B64
  • AVI_CLOUD_NAME
  • AVI_SERVICE_ENGINE_GROUP
  • AVI_DATA_NETWORK
  • AVI_DATA_NETWORK_CIDR
  • AVI_MANAGEMENT_CLUSTER_SERVICE_ENGINE_GROUP
  • AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_NAME
  • AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_NAME
  • AVI_CONTROL_PLANE_NETWORK
  • AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_CIDR
  • AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_CIDR
  • AVI_CONTROL_PLANE_NETWORK_CIDR

AKODeploymentConfig 개체를 생성할 때 Tanzu Kubernetes Grid는 다음을 확인합니다.

  • 'clusterSelector' 필드가 비어 있지 않습니다(기본값이 아닌 AKODeploymentConfig 개체에 적용 가능)
  • spec.AdminCredentialRef, spec.CertificateAuthorityRef, spec.Controller 필드에는 AVI 컨트롤러에 연결하기 위한 올바른 입력이 있습니다.
  • spec.CloudName이 있거나, 초기화된 AVI 클라이언트를 사용합니다.
  • spec.ServiceEngineGroup이 있거나, 초기화된 AVI 클라이언트를 사용합니다.
  • spec.ControlPlaneNetwork.Name이 있거나, 초기화된 AVI 클라이언트를 사용합니다.
  • spec.DataNetwork.Name이 있거나, 초기화된 AVI 클라이언트를 사용합니다.
  • spec.ControlPlaneNetwork.Name에 IPAM 프로파일이 구성되어 있거나, 초기화된 AVI 클라이언트를 사용하지 않습니다.
  • spec.ControlPlaneNetwork.CIDR의 형식이 유효합니다.
  • spec.DataNetwork.CIDR의 형식이 유효합니다.

AKODeploymentConfig 개체를 업데이트하면 Tanzu Kubernetes Grid는 spec.ClusterSelectorspec.ControlPlaneNetwork가 변경되지 않았는지 확인합니다. install-ako-for-management-cluster AKODeploymentConfig 파일을 삭제할 수 없습니다.

check-circle-line exclamation-circle-line close-line
Scroll to top icon