감독자 및 TKG 클러스터에 대한 HTTP 프록시 설정을 구성하는 방법과 Tanzu Mission Control에 감독자 및 TKG 클러스터를 등록할 때 프록시를 구성하는 워크플로가 무엇인지 알아봅니다.

vSphere Client, 클러스터 관리 API 또는 DCLI 명령을 통해 감독자에 대한 프록시를 구성할 수 있습니다. 컨테이너 트래픽을 처리하거나 감독자 외부 네트워크에서 끌어오는 이미지를 처리해야 하는 경우 프록시를 사용할 수 있습니다. Tanzu Mission Control에서 관리 클러스터로 등록하는 온-프레미스 감독자의 경우 이미지 끌어오기 및 컨테이너 트래픽에 HTTP 프록시를 사용합니다.

새로 생성된 vSphere 7.0 업데이트 3 이상 감독자에서 프록시 설정 구성

vSphere 7.0 업데이트 3 이상 환경에서 새로 생성된 감독자의 경우 HTTP 프록시 설정이 vCenter Server에서 상속됩니다. vCenter Server에서 HTTP 프록시 설정을 구성하기 전이나 구성한 후에 감독자를 생성하든 상관없이 설정은 클러스터에 상속됩니다.

vCenter Server에서 HTTP 프록시 설정을 구성하는 방법에 대한 자세한 내용은 DNS, IP 주소 및 프록시 설정 구성을 참조하십시오.

vSphere Client, 클러스터 관리 API 또는 DCLI를 통해 개별 감독자에서 상속된 HTTP 프록시 구성을 재정의할 수도 있습니다.

vCenter Server 프록시 설정을 상속하는 것이 새로 생성된 vSphere 7.0.3 감독자의 기본 구성이므로 감독자에 프록시가 필요하지 않지만 vCenter Server에는 계속 필요한 경우 클러스터 관리 API 또는 DCLI를 사용하여 HTTP 프록시 설정을 상속하지 않을 수도 있습니다.

vSphere 7.0 업데이트 3 이상으로 업그레이드된 감독자에서 프록시 설정 구성

감독자를 vSphere 7.0 업데이트 3 이상으로 업그레이드한 경우 vCenter Server의 HTTP 프록시 설정이 자동으로 상속되지 않습니다. 이 경우 vSphere Client, vcenter/namespace-management/clusters API 또는 DCLI 명령줄을 사용하여 감독자의 프록시 설정을 구성합니다.

vSphere IaaS control plane에서 TKG 클러스터에 대한 HTTP 프록시 구성

다음 방법 중 하나를 사용하여 vSphere IaaS control plane에서 Tanzu Kubernetes 클러스터에 대한 프록시를 구성합니다.
참고: Tanzu Mission Control을 사용하여 TKG 클러스터를 관리하는 경우 vSphere IaaS control plane에서 클러스터 YAML 파일을 통해 프록시 설정을 구성할 필요가 없습니다. TKG 클러스터를 Tanzu Mission Control에 워크로드 클러스터로 추가할 때 프록시 설정을 구성할 수 있습니다.

vSphere Client를 사용하여 감독자에서 HTTP프록시 설정 구성

vSphere Client통해 감독자에 HTTP 프록시 설정을 구성하는 방법을 확인합니다. 개별 감독자vCenter Server에서 상속된 프록시 설정을 재정의하거나 프록시 설정을 전혀 사용하지 않도록 선택할 수 있습니다.

사전 요구 사항

  • 클러스터에서 클러스터 전체 구성 수정 권한이 있는지 확인합니다.

프로시저

  1. vSphere Client에서 워크로드 관리로 이동합니다.
  2. 감독자에서 감독자를 선택하고 구성을 선택합니다.
  3. 네트워크를 선택하고 프록시 구성을 확장한 후 편집을 클릭합니다.
  4. 감독자에서 프록시 설정 구성을 선택하고 프록시 설정을 입력합니다.
    옵션 설명
    TLS 인증서 프록시의 인증서를 확인하는 데 사용되는 프록시 TLS 루트 CA 번들입니다. 번들을 일반 텍스트로 입력합니다.
    프록시에서 제외된 호스트 및 IP 주소 프록시 서버가 필요하지 않고 직접 액세스할 수 있는 IPv4 주소, FQDN 또는 도메인 이름이 쉼표로 구분된 목록입니다.
    HTTPS 구성 URL, 포트, 사용자 이름 및 암호와 같은 HTTPS 설정입니다.
    HTTP 구성 URL, 포트, 사용자 이름 및 암호와 같은 HTTP 설정입니다.
  5. 확인을 클릭합니다.

결과

감독자에서 구성한 프록시 설정은 vCenter Server에서 상속된 설정을 재정의합니다.

클러스터 관리 API 및 DCLI를 사용하여 감독자에 대한 HTTP 프록시 구성

vcenter/namespace-management/clusters API 또는 DCLI를 통해 감독자 프록시 설정을 구성할 수 있습니다.

API는 감독자의 프록시 구성을 위한 세 가지 옵션을 제공합니다.

API 설정

새로 생성된 vSphere 7.0.3 이상 감독자

vSphere 7.0.3 이상으로 업그레이드된 감독자

VC_INHERITED 이것은 새 감독자에 대한 기본 설정이며 API를 사용하여 감독자 프록시 설정을 구성할 필요가 없습니다. vCenter Server에서 관리 인터페이스를 통해 프록시 설정을 구성할 수 있습니다. 이 설정을 사용하여 HTTP 프록시 구성을 vSphere 7.0.3 이상으로 업그레이드된 감독자에 푸시합니다.
CLUSTER_CONFIGURED

다음 중 하나의 경우 이 설정을 사용하여 vCenter Server에서 상속된 HTTP 프록시 구성을 재정의합니다.

  • 감독자vCenter Server와 다른 서브넷에 있으며 다른 프록시 서버가 필요합니다.
  • 프록시 서버가 사용자 지정 CA 번들을 사용합니다.

다음 중 하나의 경우 이 설정을 사용하여 vSphere 7.0.3 이상으로 업그레이드된 개별 감독자에 대한 HTTP 프록시를 구성합니다.

  • 감독자vCenter Server와 다른 서브넷에 있고 다른 프록시 서버가 필요하므로 vCenter Server 프록시를 사용할 수 없습니다.
  • 프록시 서버가 사용자 지정 CA 번들을 사용합니다.
NONE 감독자가 인터넷에 직접 연결되어 있고 vCenter Server에 프록시가 필요한 경우 이 설정을 사용합니다. NONE 설정은 vCenter Server의 프록시 설정이 감독자에서 상속되는 것을 방지합니다.

HTTP 프록시를 감독자로 설정하거나 기존 설정을 수정하려면 vCenter Server와의 SSH 세션에서 다음 명령을 사용합니다.

vc_address=<IP address>
cluster_id=domain-c<number>
session_id=$(curl -ksX POST --user '<SSO user name>:<password>' https://$vc_address/api/session | xargs -t)
curl -k -X PATCH -H "vmware-api-session-id: $session_id" -H "Content-Type: application/json" -d '{ "cluster_proxy_config": { "proxy_settings_source": "CLUSTER_CONFIGURED", "http_proxy_config":"<proxy_url>" } }' https://$vc_address/api/vcenter/namespace-management/clusters/$cluster_id

전체 클러스터 ID에서 domain_c<number>만 전달하면 됩니다. 예를 들어 클러스터 ID ClusterComputeResource:domain-c50:5bbb510f-759f-4e43-96bd-97fd703b4edb에서 domain-c50을 가져옵니다.

VC_INHERITED 또는 NONE 설정을 사용하는 경우 명령에서 "http_proxy_config:<proxy_url>"을 생략합니다.

사용자 지정 CA 번들을 사용하려면 TSL CA 인증서를 일반 텍스트로 제공하여 명령에 "tlsRootCaBundle": "<TLS_certificate>"를 추가합니다.

HTTPS 프록시 설정의 경우 다음 명령을 사용합니다.
curl -k -X PATCH -H "vmware-api-session-id: $session_id" 
-H "Content-Type: application/json" -d '{ "cluster_proxy_config": 
{ "proxy_settings_source": "CLUSTER_CONFIGURED", "https_proxy_config":"<proxy_url>" } }' 
https://$vc_address/api/vcenter/namespace-management/clusters/$cluster_id

DCLI를 사용하여 감독자에서 HTTP 프록시 설정 구성

다음 DCLI 명령을 사용하면 CLUSTER_CONFIGURED 설정을 사용하여 감독자에 대한 HTTP 프록시 설정을 구성할 수 있습니다.

<dcli> namespacemanagement clusters update --cluster domain-c57 --cluster-proxy-config-http-proxy-config <proxy URL> --cluster-proxy-config-https-proxy-config <proxy URL> --cluster-proxy-config-proxy-settings-source CLUSTER_CONFIGURED

Tanzu Mission Control을 위해 감독자 및 TKG 클러스터에서 HTTP 프록시 설정 구성

Tanzu Mission Control에서 관리 클러스터로 등록하려는 감독자에서 HTTP 프록시를 구성하려면 다음 단계를 수행합니다.

  1. vSphere에서 vCenter Server의 HTTP 프록시 설정을 상속하거나 vSphere Client, 네임스페이스 관리 클러스터 API 또는 DCLI 명령줄을 통해 개별 감독자에서 프록시 설정을 구성하여 감독자에서 HTTP 프록시를 구성합니다.
  2. Tanzu Mission Control에서 vSphere IaaS control plane감독자에 구성한 프록시 설정을 사용하여 프록시 구성 개체를 생성합니다. Tanzu Kubernetes Grid Service 클러스터에 대한 프록시 구성 개체 생성을 참조하십시오.
  3. Tanzu Mission Control에서 감독자를 관리 클러스터로 등록할 때 이 프록시 구성 개체를 사용합니다. Tanzu Mission Control에 관리 클러스터 등록감독자 클러스터 등록 완료를 참조하십시오.

Tanzu Mission Control에서 워크로드 클러스터로 추가하거나 프로비저닝하는 TKG 클러스터에 HTTP 프록시를 구성하려면 다음을 수행합니다.

  1. Tanzu Kubernetes 클러스터에 사용할 프록시 설정으로 프록시 구성 개체를 생성합니다. Tanzu Kubernetes Grid Service 클러스터에 대한 프록시 구성 개체 생성을 참조하십시오.
  2. Tanzu Kubernetes 클러스터를 워크로드 클러스터로 추가하거나 프로비저닝할 때 해당 프록시 구성 개체를 사용합니다. 클러스터 프로비저닝Tanzu Mission Control 관리에 워크로드 클러스터 추가를 참조하십시오.