此參考列出了為 Tanzu CLI 提供叢集組態選項時可指定的所有變數。
若要在 YAML 組態檔中設定這些變數,請在冒號 (:) 和變數值之間留一個空格。例如:
CLUSTER_NAME: my-cluster
組態檔中的行順序無關緊要。此處的選項按字母順序顯示。另請參閱下方的組態值優先順序一節。
本節列出了所有目標平台通用的變數。這些變數可能適用於管理叢集和/或工作負載叢集。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定基本管理叢集建立資訊。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
APISERVER_EVENT_RATE_LIMIT_CONF_BASE64 |
✔ | ✔ | 僅限以類別為基礎的叢集。啟用並設定 EventRateLimit 許可控制器,以將流量適度傳輸到 Kubernetes API 伺服器。依照 Kubernetes 說明文件中所述建立 EventRateLimit 組態檔 config.yaml ,然後執行 base64 -w 0 config.yaml 將它轉換成字串值,來設定這個內容。 |
CAPBK_BOOTSTRAP_TOKEN_TTL |
✔ | ✖ | 選用;預設值為 15m (15 分鐘)。在叢集初始化操作期間 kubeadm 使用的啟動程序 Token 的 TTL 值。 |
CLUSTER_API_SERVER_PORT |
✔ | ✔ | 選用;預設值為 6443 。如果啟用 NSX Advanced Load Balancer (vSphere),則會忽略此變數;若要為具有 NSX Advanced Load Balancer 的部署覆寫預設的 Kubernetes API 伺服器連接埠,請設定 VSPHERE_CONTROL_PLANE_ENDPOINT_PORT 。 |
CLUSTER_CIDR |
✔ | ✔ | 選用;預設值為 100.96.0.0/11 。要用於網繭的 CIDR 範圍。僅當預設範圍無法使用時,才變更預設值。 |
CLUSTER_NAME |
✔ | ✔ | 此名稱必須符合 RFC 952 中所述以及 RFC 1123 中所修訂的 DNS 主機名稱需求,且長度不得超過 42 個字元。 對於工作負載叢集,此設定將被傳遞到 tanzu cluster create 的 CLUSTER_NAME 引數覆寫。對於管理叢集,如果未指定 CLUSTER_NAME ,則會產生唯一名稱。 |
CLUSTER_PLAN |
✔ | ✔ | 必要。設定為 dev 、prod 或自訂計劃,如新計劃 nginx 所示。dev 計劃會部署具有單一控制平面節點的叢集。prod 計劃會部署具有三個控制平面節點的高可用性叢集。 |
CNI |
✖ | ✔ | 選用;預設值為 antrea 。容器網路介面。請勿覆寫管理叢集的預設值。對於工作負載叢集,可以將 CNI 設定為 antrea 、calico 或 none 。Windows 不支援 calico 選項。如需詳細資訊,請參閱使用非預設 CNI 來部署叢集。若要自訂 Antrea 組態,請參閱下面的 Antrea CNI 組態。 |
CONTROLPLANE_CERTIFICATE_ROTATION_ENABLED |
✔ | ✔ | 選用;預設值為 false 。如果您希望控制平面節點虛擬機器憑證會在憑證到期之前自動更新,請設定為 true 。如需詳細資訊,請參閱控制平面節點憑證自動更新。 |
CONTROLPLANE_CERTIFICATE_ROTATION_DAYS_BEFORE |
✔ | ✔ | 選用;預設值為 90 。如果 CONTROLPLANE_CERTIFICATE_ROTATION_ENABLED 為 true ,請將憑證到期日期之前的天數設定為自動更新叢集節點憑證。如需詳細資訊,請參閱控制平面節點憑證自動更新。 |
ENABLE_AUDIT_LOGGING |
✔ | ✔ | 選用;預設值為 false 。Kubernetes API 伺服器的稽核記錄。若要啟用稽核記錄,請設定為 true 。Tanzu Kubernetes Grid 會將這些記錄寫入 /var/log/kubernetes/audit.log 。如需詳細資訊,請參閱稽核記錄。啟用 Kubernetes 稽核可能會導致記錄量非常高。要處理此數量,VMware 建議使用記錄轉送器,例如 Fluent Bit。 |
ENABLE_AUTOSCALER |
✖ | ✔ | 選用;預設值為 false 。如果設定為 true ,則必須在下方的 Cluster Autoscaler 表中設定其他變數。 |
ENABLE_CEIP_PARTICIPATION |
✔ | ✖ | 選用;預設值為 true 。設定為 false 時,會選擇退出 VMware 客戶經驗改進計劃。您也可以在部署管理叢集後選擇加入或退出該計劃。如需相關資訊,請參閱《管理 CEIP 參與》和客戶經驗改進計劃 (「CEIP」) 中的加入或退出 VMware CEIP。 |
ENABLE_DEFAULT_STORAGE_CLASS |
✖ | ✔ | 選用;預設值為 true 。如需儲存區類別的相關資訊,請參閱動態儲存區。 |
ENABLE_MHC 等 |
✔ | ✔ | 選用;請參閱下方的機器健全狀況檢查以瞭解完整的 MHC 變數及其運作方式。對於 vSphere with Tanzu 所建立的工作負載叢集,請將 ENABLE_MHC 設定為 false 。 |
IDENTITY_MANAGEMENT_TYPE |
✔ | ✖ | 選用;預設值為 none 。對於管理叢集:將 |
INFRASTRUCTURE_PROVIDER |
✔ | ✔ | 必要。設定為 vsphere 、aws 、azure 或 tkg-service-vsphere 。 |
NAMESPACE |
✖ | ✔ | 選用;預設值為 default ,以將工作負載叢集部署到名為 default 的命名空間。 |
SERVICE_CIDR |
✔ | ✔ | 選用;預設值為 100.64.0.0/13 。要用於 Kubernetes 服務的 CIDR 範圍。僅當預設的範圍無法使用時,才變更此值。 |
如果設定 IDENTITY_MANAGEMENT_TYPE: oidc
,請設定以下變數以設定 OIDC 身分識別提供者。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定身分識別管理。
Tanzu Kubernetes Grid 使用 Pinniped 與 OIDC 整合,如關於身分識別和存取管理中所述。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
CERT_DURATION |
✔ | ✖ | 選用;預設值為 2160h 。如果將 Pinniped 設為使用由 cert-manager 管理的自我簽署憑證,請設定此變數。 |
CERT_RENEW_BEFORE |
✔ | ✖ | 選用;預設值為 360h 。如果將 Pinniped 設為使用由 cert-manager 管理的自我簽署憑證,請設定此變數。 |
OIDC_IDENTITY_PROVIDER_CLIENT_ID |
✔ | ✖ | 必要。您從 OIDC 提供者取得的 client_id 值。例如,如果您的提供者是 Okta,請登入 Okta,建立一個 Web 應用程式,然後選取 [用戶端認證 (Client Credentials)] 選項,以取得 client_id 和 secret 。此設定將儲存在一個密鑰中,Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.client.secretName 將會參照該密鑰。 |
OIDC_IDENTITY_PROVIDER_CLIENT_SECRET |
✔ | ✖ | 必要。您從 OIDC 提供者取得的 secret 值。請勿 base64 編碼此值。 |
OIDC_IDENTITY_PROVIDER_GROUPS_CLAIM |
✔ | ✖ | 選用。群組宣告的名稱。這用於在 JSON Web Token (JWT) 宣告中設定使用者群組。預設值為 groups 。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.claims.groups 。 |
OIDC_IDENTITY_PROVIDER_ISSUER_URL |
✔ | ✖ | 必要。OIDC 伺服器的 IP 或 DNS 位址。此設定對應 Pinniped custom resource 的 OIDCIdentityProvider.spec.issuer 。 |
OIDC_IDENTITY_PROVIDER_SCOPES |
✔ | ✖ | 必要。Token 回應中所要求的其他範圍清單 (以逗號分隔)。例如,"email,offline_access" 。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.authorizationConfig.additionalScopes 。 |
OIDC_IDENTITY_PROVIDER_USERNAME_CLAIM |
✔ | ✖ | 必要。使用者名稱宣告的名稱。這用於在 JWT 宣告中設定使用者的使用者名稱。視您的提供者而定,輸入宣告,例如 user_name 、email 或 code 。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.claims.username 。 |
OIDC_IDENTITY_PROVIDER_ADDITIONAL_AUTHORIZE_PARAMS |
✔ | ✖ | 選用。新增要傳送到 OIDC 身分識別提供者的自訂參數。視您的提供者而定,可能需要這些宣告才能從提供者接收重新整理 Token。例如,prompt=consent 。使用逗號分隔多個值。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.authorizationConfig.additionalAuthorizeParameters 。 |
OIDC_IDENTITY_PROVIDER_CA_BUNDLE_DATA_B64 |
✔ | ✖ | 選用。Base64 編碼的 CA 服務包用於使用 OIDC 身分識別提供者建立 TLS。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.tls.certificateAuthorityData 。 |
SUPERVISOR_ISSUER_URL |
✔ | ✖ | 不修改。執行 tanzu cluster create command 命令時,將在組態檔中自動更新此變數。此設定與 Pinniped JWTAuthenticator 自訂資源中的 JWTAuthenticator.spec.audience 和 Pinniped FederationDomain 自訂資源中的 FederationDomain.spec.issuer 相對應。 |
SUPERVISOR_ISSUER_CA_BUNDLE_DATA_B64 |
✔ | ✖ | 不修改。執行 tanzu cluster create command 命令時,將在組態檔中自動更新此變數。此設定對應 Pinniped JWTAuthenticator 自訂資源的 JWTAuthenticator.spec.tls.certificateAuthorityData 。 |
如果設定 IDENTITY_MANAGEMENT_TYPE: ldap
,請設定以下變數以設定 LDAP 身分識別提供者。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定身分識別管理。
Tanzu Kubernetes Grid 使用 Pinniped 與 LDAP 整合,如關於身分識別和存取管理中所述。以下每個變數都與 Pinniped LDAPIdentityProvider
自訂資源中的組態設定相對應。有關這些設定的完整描述以及如何配置這些設定的資訊,請參 Pinniped 說明文件中的 LDAPIdentityProvider。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
對於與 LDAP 伺服器的連線: | |||
LDAP_HOST |
✔ | ✖ | 必要。LDAP 伺服器的 IP 或 DNS 位址。如果 LDAP 伺服器正在接聽預設連接埠 636 (即安全組態),則無需指定連接埠。如果 LDAP 伺服器正在接聽其他連接埠,請提供 LDAP 伺服器的位址和連接埠,格式為 "host:port" 。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.host 。 |
LDAP_ROOT_CA_DATA_B64 |
✔ | ✖ | 選擇性。如果使用的是 LDAPS 端點,請貼上 LDAP 伺服器憑證的 Base64 編碼內容。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.tls.certificateAuthorityData 。 |
LDAP_BIND_DN |
✔ | ✖ | 必要。DN 用於應用程式服務帳戶。例如,"cn=bind-user,ou=people,dc=example,dc=com" 。連接器會使用這些認證來搜尋使用者和群組。此服務帳戶必須至少具有唯讀權限才能執行由其他 LDAP_* 組態選項配置的查詢。包含在 Pinniped LDAPIdentityProvider 自訂資源中的 spec.bind.secretName 密鑰中。 |
LDAP_BIND_PASSWORD |
✔ | ✖ | 必要。在 LDAP_BIND_DN 中設定的應用程式服務帳戶的密鑰。包含在 Pinniped LDAPIdentityProvider 自訂資源中的 spec.bind.secretName 密鑰中。 |
對於使用者搜尋: | |||
LDAP_USER_SEARCH_BASE_DN |
✔ | ✖ | 必要。LDAP 搜尋的起始點。例如,OU=Users,OU=domain,DC=io 。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.userSearch.base 。 |
LDAP_USER_SEARCH_FILTER |
✔ | ✖ | 選擇性。供 LDAP 搜尋使用的選用篩選器。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.userSearch.filter 。從 TKG v2.3 開始,在建立管理叢集或更新現有管理叢集的 Pinniped 套件密鑰時,您必須對此值使用 Pinniped 格式。例如,&(objectClass=posixAccount)(uid={}) 。 |
LDAP_USER_SEARCH_ID_ATTRIBUTE |
✔ | ✖ | 選擇性。包含使用者識別碼的 LDAP 屬性。預設值為 dn 。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.userSearch.attributes.uid 。 |
LDAP_USER_SEARCH_NAME_ATTRIBUTE |
✔ | ✖ | 必要。儲存使用者使用名稱的 LDAP 屬性。例如,mail 。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.userSearch.attributes.username 。 |
對於群組搜尋: | |||
LDAP_GROUP_SEARCH_BASE_DN |
✔ | ✖ | 選擇性。LDAP 搜尋的起始點。例如,OU=Groups,OU=domain,DC=io 。如果未設定,會跳過群組搜尋。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.base 。 |
LDAP_GROUP_SEARCH_FILTER |
✔ | ✖ | 選擇性。供 LDAP 搜尋使用的選用篩選器。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.filer 。從 TKG v2.3 開始,在建立管理叢集或更新現有管理叢集的 Pinniped 套件密鑰時,您必須對此值使用 Pinniped 格式。例如,&(objectClass=posixGroup)(memberUid={}) 。 |
LDAP_GROUP_SEARCH_NAME_ATTRIBUTE |
✔ | ✖ | 選擇性。保存群組名稱的 LDAP 屬性。預設值為 dn 。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.attributes.groupName 。 |
LDAP_GROUP_SEARCH_USER_ATTRIBUTE |
✔ | ✖ | 選擇性。使用者記錄的屬性,以作為群組記錄的成員資格屬性值。預設值為 dn 。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.userAttributeForFilter 。 |
LDAP_GROUP_SEARCH_SKIP_ON_REFRESH |
✔ | ✖ | 選擇性。預設值為 false 。設為 true 時,使用者的群組成員資格僅在使用者每日工作階段開始時更新。建議不要將 LDAP_GROUP_SEARCH_SKIP_ON_REFRESH 設為 true ,只有在無法使群組查詢足夠快以在工作階段重新整理期間執行時才應進行此設定。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.skipGroupRefresh 。 |
設定控制平面和工作節點,以及節點執行個體執行的作業系統。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定節點設定。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
CONTROL_PLANE_MACHINE_COUNT |
✔ | ✔ | 選用。部署具有比 dev 和 prod 計劃預設值更多控制平面節點的工作負載叢集。您指定的控制平面節點數目必須為奇數。 |
CONTROL_PLANE_NODE_LABELS |
✔ | ✔ | 僅限以類別為基礎的叢集。將自訂持續性標籤指派給控制平面節點,例如 CONTROL_PLANE_NODE_LABELS: 'key1=value1,key2=value2' 。若要在以計劃為基礎的舊版叢集中設定此項,請使用 ytt 覆疊,如自訂節點標籤中所述。工作節點標籤是在其節點集區中設定,如管理不同虛擬機器類型的節點集區中所述。 |
CONTROL_PLANE_NODE_NAMESERVERS |
✔ | ✔ | 僅限 vSphere。這允許使用者指定要在控制平面節點上設定的以逗號分隔的 DNS 伺服器清單,例如 CONTROL_PLANE_NODE_NAMESERVERS: 10.132.7.1, 10.142.7.1 。在 Ubuntu 和 Photon 上支援;在 Windows 上不支援。有關使用範例,請參閱下方的節點 IPAM。 |
CONTROL_PLANE_NODE_SEARCH_DOMAINS |
✔ | ✔ | 僅限以類別為基礎的叢集。設定叢集節點的 .local 搜尋網域,例如 CONTROL_PLANE_NODE_SEARCH_DOMAINS: corp.local 。若要在 vSphere 上的以計劃為基礎的舊版叢集中設定此項,請使用 ytt 覆疊,如解析 .local 網域中所述。 |
CONTROLPLANE_SIZE |
✔ | ✔ | 選用。控制平面節點虛擬機器的大小。覆寫 SIZE 和 VSPHERE_CONTROL_PLANE_* 參數。如需可能的值,請查看 SIZE 。 |
OS_ARCH |
✔ | ✔ | 選用。節點虛擬機器作業系統的架構。預設和目前選項為 amd64 。 |
OS_NAME |
✔ | ✔ | 選用。節點虛擬機器作業系統。對於 Ubuntu LTS,預設值為 ubuntu 。也可以是 photon (對於 vSphere 上的 Photon OS) 或 amazon (對於 AWS 上的 Amazon Linux)。 |
OS_VERSION |
✔ | ✔ | 選用。OS_NAME 作業系統的版本,以上版本。對於 Ubuntu,預設值為 20.04 。對於 vSphere 上的 Photon,可以是 3 ;對於 AWS 上的 Amazon Linux,可以是 2 。 |
SIZE |
✔ | ✔ | 選用。控制平面虛擬機器和工作節點虛擬機器的大小。覆寫 VSPHERE_CONTROL_PLANE_\* 和 VSPHERE_WORKER_\* 參數。對於 vSphere,設定 small 、medium 、large 或 extra-large ,如預先定義的節點大小中所述。對於 AWS,設定執行個體類型,例如 t3.small 。對於 Azure,設定執行個體類型,例如 Standard_D2s_v3 。 |
WORKER_MACHINE_COUNT |
✔ | ✔ | 選用。部署具有比 dev 和 prod 計劃預設值更多工作節點的工作負載叢集。 |
WORKER_NODE_NAMESERVERS |
✔ | ✔ | 僅限 vSphere。這允許使用者指定要在 worker 節點上設定的以逗號分隔的 DNS 伺服器清單,例如 WORKER_NODE_NAMESERVERS: 10.132.7.1, 10.142.7.1 。在 Ubuntu 和 Photon 上支援;在 Windows 上不支援。有關使用範例,請參閱下方的節點 IPAM。 |
WORKER_NODE_SEARCH_DOMAINS |
✔ | ✔ | 僅限以類別為基礎的叢集。設定叢集節點的 .local 搜尋網域,例如 CONTROL_PLANE_NODE_SEARCH_DOMAINS: corp.local 。若要在 vSphere 上的以計劃為基礎的舊版叢集中設定此項,請使用 ytt 覆疊,如解析 .local 網域中所述。 |
WORKER_SIZE |
✔ | ✔ | 選用。工作節點虛擬機器的大小。覆寫 SIZE 和 VSPHERE_WORKER_* 參數。如需可能的值,請查看 SIZE 。 |
CUSTOM_TDNF_REPOSITORY_CERTIFICATE |
✔ | ✔ | (技術預覽) 選用。若您使用具有自我簽署憑證的自訂 tdnf 存放庫伺服器,而不是 Photon 預設 tdnf 存放庫伺服器,請進行設定。輸入 tdnf 存放庫伺服器的 base64 編碼憑證的內容。 它將刪除 |
為叢集範圍的 Pod 安全性許可 (PSA) 控制器設定 Pod 安全標準。控制平面和 worker 節點,以及節點執行個體執行的作業系統。有關詳細資訊,請參閱 Pod 安全性許可控制器。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
POD_SECURITY_STANDARD_AUDIT |
✖ | ✔ | 選用,預設值為 restricted 。為叢集範圍 PSA 控制器的 audit 模式設定安全性原則。可能的值:restricted 、baseline 和 privileged 。 |
POD_SECURITY_STANDARD_DEACTIVATED |
✖ | ✔ | 選用,預設值為 false 。設為 true 以停用叢集範圍的 PSA。 |
POD_SECURITY_STANDARD_ENFORCE |
✖ | ✔ | 選用,預設為無值。為叢集範圍 PSA 控制器的 enforce 模式設定安全性原則。可能的值:restricted 、baseline 和 privileged 。 |
POD_SECURITY_STANDARD_WARN |
✖ | ✔ | 選用,預設值為 restricted 。為叢集範圍 PSA 控制器的 warn 模式設定安全性原則。可能的值:restricted 、baseline 和 privileged 。 |
Kubernetes API 伺服器、Kubelets 和其他元件公開了各種用於調整的組態旗標,例如,用於設定加密套件以進行安全性強化的 --tls-cipher-suites
旗標、用於增加大型叢集中 etcd
逾時的 --election-timeout
旗標等。
重要這些 Kubernetes 組態變數適用於進階使用者。VMware 不保證使用這些設定的任意組合設定的叢集功能。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
APISERVER_EXTRA_ARGS |
✔ | ✔ | 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的 kube-apiserver 旗標。例如,使用 APISERVER_EXTRA_ARGS: "tls-min-version=VersionTLS12;tls-cipher-suites=TLS_RSA_WITH_AES_256_GCM_SHA384" 設定加密套件 |
CONTROLPLANE_KUBELET_EXTRA_ARGS |
✔ | ✔ | 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的控制平面 kubelet 旗標。例如,使用 CONTROLPLANE_KUBELET_EXTRA_ARGS: "max-pods=50" 限制控制平面網繭的數量 |
ETCD_EXTRA_ARGS |
✔ | ✔ | 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的 etcd 旗標。例如,如果叢集有 500 多個節點,或者儲存區效能不佳,您可以使用 ETCD_EXTRA_ARGS: "heartbeat-interval=300;election-timeout=2000" 來增加 heartbeat-interval 和 election-timeout |
KUBE_CONTROLLER_MANAGER_EXTRA_ARGS |
✔ | ✔ | 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的 kube-controller-manager 旗標。例如,使用 KUBE_CONTROLLER_MANAGER_EXTRA_ARGS: "profiling=false" 關閉效能分析 |
KUBE_SCHEDULER_EXTRA_ARGS |
✔ | ✔ | 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的 kube-scheduler 旗標。例如,使用 KUBE_SCHEDULER_EXTRA_ARGS: "feature-gates=ReadWriteOncePod=true" 啟用單一網繭存取模式 |
WORKER_KUBELET_EXTRA_ARGS |
✔ | ✔ | 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的工作節點 kubelet 旗標。例如,使用 WORKER_KUBELET_EXTRA_ARGS: "max-pods=50" 限制工作節點網繭的數量 |
如果 ENABLE_AUTOSCALER
設定為 true
,則以下其他變數可供設定。如需 Cluster Autoscaler 的相關資訊,請參閱調整工作負載叢集。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
AUTOSCALER_MAX_NODES_TOTAL |
✖ | ✔ | 選用;預設值為 0 。叢集、工作節點和控制平面中的最大節點總數。設定 Cluster Autoscaler 參數 max-nodes-total 的值。Cluster Autoscaler 不會嘗試將叢集調整到此限制之外。如果設定為 0 ,Cluster Autoscaler 將根據您設定的最小和最大 SIZE 設定做出調整決定。 |
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_ADD |
✖ | ✔ | 選用;預設值為 10m 。設定 Cluster Autoscaler 參數 scale-down-delay-after-add 的值。Cluster Autoscaler 在垂直擴充作業後等待,然後繼續縮減掃描的時間。 |
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_DELETE |
✖ | ✔ | 選用;預設值為 10s 。設定 Cluster Autoscaler 參數 scale-down-delay-after-delete 的值。Cluster Autoscaler 在刪除節點後等待,然後繼續縮減掃描的時間。 |
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_FAILURE |
✖ | ✔ | 選用;預設值為 3m 。設定 Cluster Autoscaler 參數 scale-down-delay-after-failure 的值。Cluster Autoscaler 在縮減失敗後等待,然後繼續縮減掃描的時間。 |
AUTOSCALER_SCALE_DOWN_UNNEEDED_TIME |
✖ | ✔ | 選用;預設值為 10m 。設定 Cluster Autoscaler 參數 scale-down-unneeded-time 的值。在縮減符合條件的節點之前,Cluster Autoscaler 必須等待的時間。 |
AUTOSCALER_MAX_NODE_PROVISION_TIME |
✖ | ✔ | 選用;預設值為 15m 。設定 Cluster Autoscaler 參數 max-node-provision-time 的值。Cluster Autoscaler 等待佈建節點的時間長度上限。 |
AUTOSCALER_MIN_SIZE_0 |
✖ | ✔ | 必要,所有 IaaS。工作節點數目下限。Cluster Autoscaler 不會嘗試將節點縮減至此限制以下。對於 AWS 上的 prod 叢集,AUTOSCALER_MIN_SIZE_0 設定第一個 AZ 中的工作節點數目下限。如果未設定,則對於具有單一工作節點的叢集,預設為 WORKER_MACHINE_COUNT 值;對於具有多個工作節點的叢集,預設為 WORKER_MACHINE_COUNT_0 值。 |
AUTOSCALER_MAX_SIZE_0 |
✖ | ✔ | 必要,所有 IaaS。工作節點數目上限。Cluster Autoscaler 不會嘗試將節點垂直擴充到超出此限制。對於 AWS 上的 prod 叢集,AUTOSCALER_MAX_SIZE_0 會設定第一個 AZ 中的工作節點數目上限。如果未設定,則對於具有單一工作節點的叢集,預設為 WORKER_MACHINE_COUNT 值;對於具有多個工作節點的叢集,預設為 WORKER_MACHINE_COUNT_0 值。 |
AUTOSCALER_MIN_SIZE_1 |
✖ | ✔ | 必要,僅適用於 AWS 上的 prod 叢集。第二個 AZ 中的工作節點數目下限。Cluster Autoscaler 不會嘗試將節點縮減至此限制以下。如果未設定,則預設為 WORKER_MACHINE_COUNT_1 的值。 |
AUTOSCALER_MAX_SIZE_1 |
✖ | ✔ | 必要,僅適用於 AWS 上的 prod 叢集。第二個 AZ 中的工作節點數目上限。Cluster Autoscaler 不會嘗試將節點垂直擴充到超出此限制。如果未設定,則預設為 WORKER_MACHINE_COUNT_1 的值。 |
AUTOSCALER_MIN_SIZE_2 |
✖ | ✔ | 必要,僅適用於 AWS 上的 prod 叢集。第三個 AZ 中的工作節點數目下限。Cluster Autoscaler 不會嘗試將節點縮減至此限制以下。如果未設定,則預設為 WORKER_MACHINE_COUNT_2 的值。 |
AUTOSCALER_MAX_SIZE_2 |
✖ | ✔ | 必要,僅適用於 AWS 上的 prod 叢集。第三個 AZ 中的工作節點數目上限。Cluster Autoscaler 不會嘗試將節點垂直擴充到超出此限制。如果未設定,則預設為 WORKER_MACHINE_COUNT_2 的值。 |
如果您的環境受到網際網路限制或包含 Proxy,則可以選擇設定 Tanzu Kubernetes Grid,將來自 kubelet
、containerd
和控制平面的傳出 HTTP 和 HTTPS 流量傳送到 Proxy。
Tanzu Kubernetes Grid 允許為以下任一項目啟用 Proxy:
如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定 Proxy。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
TKG_HTTP_PROXY_ENABLED |
✔ | ✔ | 選用,若要將傳出 HTTP(S) 流量從管理叢集傳送至 Proxy (例如在網際網路受到限制的環境中),請將此選項設定為 |
TKG_HTTP_PROXY |
✔ | ✔ | 選用,若要設定 Proxy,則設定此選項;若要停用個別叢集的 Proxy 組態,請將此選項設定為
例如, |
TKG_HTTPS_PROXY |
✔ | ✔ | 選用,如果要設定 Proxy,則設定此選項。僅當 TKG_HTTP_PROXY_ENABLED = true 時適用。HTTPS Proxy 的 URL。您可以將此變數設定為與 TKG_HTTP_PROXY 相同的值,也可以提供不同的值。URL 必須以 http:// 開頭。如果設定 TKG_HTTPS_PROXY ,則必須同時設定 TKG_HTTP_PROXY 。 |
TKG_NO_PROXY |
✔ | ✔ | 選用。僅當 一或多個必須略過 HTTP(S) Proxy 的網路 CIDR 或主機名稱,以逗號分隔並列出,不含空格或萬用字元 ( 例如, 在內部,Tanzu Kubernetes Grid 會將 如果您將 TKG_NO_PROXY 允許叢集虛擬機器直接與執行同一個 Proxy 後面的相同網路的基礎結構進行通訊。這可能包括但不限於基礎結構、OIDC 或 LDAP 伺服器、Harbor、VMware NSX 和 NSX Advanced Load Balancer (vSphere)。設定 TKG_NO_PROXY 以包括叢集必須存取但 Proxy 無法存取的所有此類端點。 |
TKG_PROXY_CA_CERT |
✔ | ✔ | 選用。如果 Proxy 伺服器使用自我簽署憑證,則設定此選項。以 base64 編碼格式提供 CA 憑證,例如 TKG_PROXY_CA_CERT: "LS0t[...]tLS0tLQ=="" 。 |
TKG_NODE_SYSTEM_WIDE_PROXY |
✔ | ✔ | (技術預覽) 選用。將以下設定放入 匯出 HTTP_PROXY=$TKG_HTTP_PROXY 依預設,當使用者使用 SSH 以登入 TKG 節點並執行命令時,命令會使用所定義的變數。系統程序不受影響。 |
如果 CNI
設定為 antrea
,則設定其他選用變數。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定 Antrea CNI。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
ANTREA_DISABLE_UDP_TUNNEL_OFFLOAD |
✔ | ✔ | 選用;預設值為 false 。設定為 true 可停用 Antrea 的 UDP 總和檢查碼卸載。將此變數設定為 true 可避免底層網路和實體 NIC 網路驅動程式的已知問題。 |
ANTREA_EGRESS |
✔ | ✔ | 選用;預設值為 true 。啟用此變數可定義用於輸出叢集的網繭流量的 SNAT IP。如需詳細資訊,請參閱 Antrea 說明文件中的輸出。 |
ANTREA_EGRESS_EXCEPT_CIDRS |
✔ | ✔ | 選用。輸出的 CIDR 範圍不會為傳出網繭流量使用 SNAT。包括引號 ("" )。例如,"10.0.0.0/6" 。 |
ANTREA_ENABLE_USAGE_REPORTING |
✔ | ✔ | 選用;預設值為 false 。啟用或停用使用狀況報告 (遙測)。 |
ANTREA_FLOWEXPORTER |
✔ | ✔ | 選用;預設值為 false 。設定為 true 以查看網路流量。流量匯出工具會定期輪詢 Conntrack 流量,並將流量匯出為 IPFIX 流量記錄。如需詳細資訊,請參閱 Antrea 說明文件中的 Antrea 中的網路流量可見度。 |
ANTREA_FLOWEXPORTER_ACTIVE_TIMEOUT |
✔ | ✔ | 選用;預設值為 附註:有效時間單位為 |
ANTREA_FLOWEXPORTER_COLLECTOR_ADDRESS |
✔ | ✔ | 選用。此變數提供 IPFIX 收集器位址。包括引號 ("" )。預設值為 "flow-aggregator.flow-aggregator.svc:4739:tls" 。如需詳細資訊,請參閱 Antrea 說明文件中的 Antrea 中的網路流量可見度。 |
ANTREA_FLOWEXPORTER_IDLE_TIMEOUT |
✔ | ✔ | 選用;預設值為 附註:有效時間單位為 |
ANTREA_FLOWEXPORTER_POLL_INTERVAL |
✔ | ✔ | 選用;預設值為 附註:有效時間單位為 |
ANTREA_IPAM |
✔ | ✔ | 選用;預設值為 false 。設定為 true 以從 IPPool 配置 IP 位址。使用 IPPool CRD 定義了所需的 IP 範圍集 (選用 VLAN)。如需詳細資訊,請參閱 Antrea 說明文件中的 Antrea IPAM 功能。 |
ANTREA_KUBE_APISERVER_OVERRIDE |
✔ | ✔ | 選用。指定 Kubernetes API 伺服器的位址。如需詳細資訊,請參閱 Antrea 說明文件中的移除 kube-proxy。 |
ANTREA_MULTICAST |
✔ | ✔ | 選用;預設值為 false 。設定為 true 可在叢集網路內 (網繭之間) 以及外部網路與叢集網路之間,對流量進行多點傳送。 |
ANTREA_MULTICAST_INTERFACES |
✔ | ✔ | 選用。用於轉送多點傳送流量之節點上的介面名稱。包括引號 ("" )。例如,"eth0" 。 |
ANTREA_NETWORKPOLICY_STATS |
✔ | ✔ | 選用;預設值為 true 。啟用此變數以收集 NetworkPolicy 統計資料。統計資料包括 NetworkPolicy 允許或拒絕的工作階段、封包和位元組總數。 |
ANTREA_NO_SNAT |
✔ | ✔ | 選用;預設值為 false 。設定為 true 可停用來源網路位址轉譯 (SNAT)。 |
ANTREA_NODEPORTLOCAL |
✔ | ✔ | 選用;預設值為 true 。設定為 false 可停用 NodePortLocal 模式。如需詳細資訊,請參閱 Antrea 說明文件中的 NodePortLocal (NPL)。 |
ANTREA_NODEPORTLOCAL_ENABLED |
✔ | ✔ | 選用。設定為 true 可啟用 NodePortLocal 模式,如 Antrea 說明文件中的 NodePortLocal (NPL) 中所述。 |
ANTREA_NODEPORTLOCAL_PORTRANGE |
✔ | ✔ | 選用;預設值為 61000-62000 。如需詳細資訊,請參閱 Antrea 說明文件中的 NodePortLocal (NPL)。 |
ANTREA_POLICY |
✔ | ✔ | 選用;預設值為 true 。啟用或停用 Antrea 原生原則 API (特定於 Antrea 的原則 CRD)。此外,啟用此變數後,Kubernetes 網路原則的實作將保持作用中狀態。如需使用網路原則的相關資訊,請參閱 Antrea 說明文件中的 Antrea 網路原則 CRD。 |
ANTREA_PROXY |
✔ | ✔ | 選用;預設值為 false 。啟用或停用 AntreaProxy ,以取代網繭到 ClusterIP 服務流量的 kube-proxy ,從而提高效能並降低延遲。請注意,kube-proxy 仍用於其他類型的服務流量。如需有關使用 Proxy 的詳細資訊,請參閱 Antrea 說明文件中的 AntreaProxy。 |
ANTREA_PROXY_ALL |
✔ | ✔ | 選用;預設值為 false 。啟用或停用 AntreaProxy 以處理所有服務流量,包括 NodePort、LoadBalancer 和 ClusterIP 流量。若要將 kube-proxy 替換為 AntreaProxy ,必須啟用 ANTREA_PROXY_ALL 。如需有關使用 Proxy 的詳細資訊,請參閱 Antrea 說明文件中的 AntreaProxy。 |
ANTREA_PROXY_LOAD_BALANCER_IPS |
✔ | ✔ | 選用;預設值為 true 。設定為 false 可將負載平衡流量導向到外部 LoadBalancer。 |
ANTREA_PROXY_NODEPORT_ADDRS |
✔ | ✔ | 選用。NodePort 的 IPv4 或 IPv6 位址。包括引號 ("" )。 |
ANTREA_PROXY_SKIP_SERVICES |
✔ | ✔ | 選用。可用於指示 AntreaProxy 應忽略的服務清單的字串值陣列。這些服務的流量將不會進行負載平衡。包括引號 ("" )。例如,有效的 ClusterIP (如 10.11.1.2 ) 或具有命名空間的服務名稱 (如 kube-system/kube-dns ) 是有效值。如需詳細資訊,請參閱 Antrea 說明文件中的特殊使用案例。 |
ANTREA_SERVICE_EXTERNALIP |
✔ | ✔ | 選用;預設值為 false 。設定為 true 可啟用控制器從 `ExternalIPPool` 資源中為類型為 `LoadBalancer` 的服務配置外部 IP。如需如何實作 `LoadBalancer` 類型的服務的詳細資訊,請參閱 Antrea 說明文件中的 LoadBalancer 類型的服務。 |
ANTREA_TRACEFLOW |
✔ | ✔ | 選用;預設值為 true 。如需使用 Traceflow 的相關資訊,請參閱 Antrea 說明文件中的 Traceflow 使用者指南。 |
ANTREA_TRAFFIC_ENCAP_MODE |
✔ | ✔ | 選用;預設值為 注意:
|
ANTREA_TRANSPORT_INTERFACE |
✔ | ✔ | 選用。節點上用於透過通道傳輸或路由流量的介面的名稱。包括引號 ("" )。例如,"eth0" 。 |
ANTREA_TRANSPORT_INTERFACE_CIDRS |
✔ | ✔ | 選用。節點上用於通道傳輸或路由流量的介面的網路 CIDR。包括引號 ("" )。例如,"10.0.0.2/24" 。 |
如果要為管理和工作負載叢集設定機器健全狀況檢查,請設定以下變數。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定機器健全狀況檢查。如需如何在部署叢集後執行機器健全狀況檢查作業的相關資訊,請參閱為工作負載叢集設定機器健全狀況檢查。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
ENABLE_MHC |
✔ | 以類別為基礎:✖ 以計劃為基礎:✔ |
選用,設定為 true 或 false 以在目標管理叢集或工作負載叢集的控制平面和工作節點上啟用或停用 MachineHealthCheck 控制器。或者為控制平面和工作節點保留空白,並另行設定 ENABLE_MHC_CONTROL_PLANE 和 ENABLE_MHC_WORKER_NODE 。預設為空白。控制器提供機器健全狀況監控和自動修復。 對於 vSphere with Tanzu 所建立的工作負載叢集,請設定為 false 。 |
ENABLE_MHC_CONTROL_PLANE |
✔ | 選用;預設值為 true 。如需詳細資訊,請參閱下方資料表。 |
|
ENABLE_MHC_WORKER_NODE |
✔ | 選用;預設值為 true 。如需詳細資訊,請參閱下方資料表。 |
|
MHC_MAX_UNHEALTHY_CONTROL_PLANE |
✔ | ✖ | 可選;僅限以類別為基礎的叢集。預設值為 100% 。如果狀況不良的機器數量超過您設定的值,則 MachineHealthCheck 控制器不會執行修復。 |
MHC_MAX_UNHEALTHY_WORKER_NODE |
✔ | ✖ | 可選;僅限以類別為基礎的叢集。預設值為 100% 。如果狀況不良的機器數量超過您設定的值,則 MachineHealthCheck 控制器不會執行修復。 |
MHC_FALSE_STATUS_TIMEOUT |
✔ | 以類別為基礎:✖ 以計劃為基礎:✔ |
選用;預設值為 12m 。在將 MachineHealthCheck 控制項視為狀況不良並重新建立之前,允許節點的 Ready 狀況保持 False 的時間。 |
MHC_UNKNOWN_STATUS_TIMEOUT |
✔ | 選用;預設值為 5m 。在將 MachineHealthCheck 控制項視為狀況不良並重新建立之前,允許節點的 Ready 狀況保持 Unknown 的時間。 |
|
NODE_STARTUP_TIMEOUT |
✔ | 選用;預設值為 20m 。MachineHealthCheck 控制器在將機器視為狀況不良並重新建立之前,等待節點加入叢集的時間。 |
使用下表確定如何設定 ENABLE_MHC
、ENABLE_MHC_CONTROL_PLANE
和 ENABLE_MHC_WORKER_NODE
變數。
ENABLE_MHC 的值 |
ENABLE_MHC_CONTROL_PLANE 的值 |
ENABLE_MHC_WORKER_NODE 的值 |
是否已啟用控制平面修復? | 是否已啟用工作節點修復? |
---|---|---|---|---|
true / Emptytrue / Emptytrue / Emptytrue / Emptytrue / Emptytrue / Emptytrue / Emptytrue / Emptytrue / 空白 |
true / false / 空白 |
true / false / 空白 |
是 | 是 |
false |
true / 空白 |
true / 空白 |
是 | 是 |
false |
true / 空白 |
false |
是 | 否 |
false |
false |
true / 空白 |
否 | 是 |
如果在未連線到網際網路的環境中部署 Tanzu Kubernetes Grid 管理叢集和 Kubernetes 叢集,則需要在防火牆內設定私人映像存放庫,並在其中填入 Tanzu Kubernetes Grid 映像。有關設定私人映像存放庫的資訊,請參閱準備網際網路受限的環境。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
ADDITIONAL_IMAGE_REGISTRY_1 、ADDITIONAL_IMAGE_REGISTRY_2 、ADDITIONAL_IMAGE_REGISTRY_3 |
✔ | ✔ | 僅限以類別為基礎的工作負載和獨立管理叢集。除了由 TKG_CUSTOM_IMAGE_REPOSITORY 設定的主映像登錄以外,工作負載叢集節點最多可存取三個受信任的私人登錄 IP 位址或 FQDN。請參閱以類別為基礎的叢集的受信任登錄。 |
ADDITIONAL_IMAGE_REGISTRY_1_CA_CERTIFICATE 、ADDITIONAL_IMAGE_REGISTRY_2_CA_CERTIFICATE 、ADDITIONAL_IMAGE_REGISTRY_3_CA_CERTIFICATE |
✔ | ✔ | 僅限以類別為基礎的工作負載和獨立管理叢集。CA 憑證採用 base64 編碼格式的私人映像登錄,使用上述 ADDITIONAL_IMAGE_REGISTRY-* 設定。例如 ADDITIONAL_IMAGE_REGISTRY_1_CA_CERTIFICATE: "LS0t[...]tLS0tLQ==" .. |
ADDITIONAL_IMAGE_REGISTRY_1_SKIP_TLS_VERIFY 、ADDITIONAL_IMAGE_REGISTRY_2_SKIP_TLS_VERIFY 、ADDITIONAL_IMAGE_REGISTRY_3_SKIP_TLS_VERIFY |
✔ | ✔ | 僅限以類別為基礎的工作負載和獨立管理叢集。對於使用上述 ADDITIONAL_IMAGE_REGISTRY-* 配置且使用自我簽署憑證但不使用 ADDITIONAL_IMAGE_REGISTRY_*_CA_CERTIFICATE 的任何專用映像登錄,設為 true 。由於 Tanzu 連線 Webhook 將 Harbor CA 憑證插入叢集節點,因此在使用 Harbor 時,應始終將 ADDITIONAL_IMAGE_REGISTRY_*_SKIP_TLS_VERIFY 設定為 false 。 |
TKG_CUSTOM_IMAGE_REPOSITORY |
✔ | ✔ | 如果在網際網路受限的環境中部署 Tanzu Kubernetes Grid,則該欄位為必要。提供包含叢集啟動載入來源 TKG 系統映像的私人登錄 IP 位址或 FQDN,以下稱為主映像登錄。例如,custom-image-repository.io/yourproject 。 |
TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY |
✔ | ✔ | 選用。如果私人主映像登錄使用自我簽署憑證,而不使用 TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE ,則設為 true 。由於 Tanzu 連線 Webhook 將 Harbor CA 憑證插入叢集節點,因此在使用 Harbor 時,應始終將 TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY 設定為 false 。 |
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE |
✔ | ✔ | 選用。如果私人主映像登錄使用自我簽署憑證,則設定此選項。以 base64 編碼格式提供 CA 憑證,例如 TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE: "LS0t[...]tLS0tLQ==" 。 |
下表中的選項是將工作負載叢集部署到 vSphere 時,在叢集組態檔中指定的最少選項。其中用於部署該叢集的工作負載叢集和管理叢集的大多數選項是相同的。
如需有關 vSphere 組態檔的詳細資訊,請參閱 vSphere 的管理叢集組態和將工作負載叢集部署到 vSphere。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
DEPLOY_TKG_ON_VSPHERE7 |
✔ | ✔ | 選用。如果部署到 vSphere 7 或 8,請設定為 true 可略過有關在 vSphere 7 或 8 上部署的提示,或設定為 false 。請參閱 vSphere with Tanzu 上的管理叢集。 |
ENABLE_TKGS_ON_VSPHERE7 |
✔ | ✔ | 選用,如果部署到 vSphere 7 或 8,請設定為 true 以重新導向至 vSphere with Tanzu 啟用 UI 頁面,或者 false 。請參閱 vSphere with Tanzu 上的管理叢集。 |
NTP_SERVERS |
✔ | ✔ | 僅限以類別為基礎的叢集。如果要在缺少 DHCP 選項 42 (例如,NTP_SERVERS: time.google.com ) 的 vSphere 環境中部署叢集,請設定叢集的 NTP 伺服器。若要在以計劃為基礎的舊版叢集中設定此項,請使用 ytt 覆疊,如在沒有 DHCP 選項 42 的情況下設定 NTP (vSphere) 中所述。 |
TKG_IP_FAMILY |
✔ | ✔ | 選用。若要將叢集部署到使用純 IPv6 的 vSphere 7 或 8,請設定為 ipv6 。有關雙重堆疊網路 (實驗性),請參閱雙重堆疊叢集。 |
VIP_NETWORK_INTERFACE |
✔ | ✔ | 選用。設定為 eth0 、eth1 等。網路介面名稱,例如乙太網路介面。預設值為 eth0 。 |
VSPHERE_AZ_CONTROL_PLANE_MATCHING_LABELS |
✔ | ✔ | 對於部署到多個 AZ 的叢集,設定金鑰/值選擇器標籤,用於指定可能部署叢集控制平面節點的 AZ。這樣,您可以設定節點,例如,在指定區域和環境中的所有 AZ 中執行,而無需單獨列出 AZ,例如:"region=us-west-1,environment=staging" 。請參閱在多個可用區域之間執行叢集 |
VSPHERE_AZ_0 、VSPHERE_AZ_1 、VSPHERE_AZ_2 |
✔ | ✔ | 選用 叢集中的機器部署將部署到的部署區域。請參閱在多個可用區域之間執行叢集 |
VSPHERE_CONTROL_PLANE_DISK_GIB |
✔ | ✔ | 選用。控制平面節點虛擬機器的磁碟大小 (以 GB 為單位)。包括引號 ("" )。例如,"30" 。 |
VSPHERE_CONTROL_PLANE_ENDPOINT |
✔ | ✔ | Kube-Vip 的必要項目。對於向叢集發出的 API 要求,靜態虛擬 IP 位址或對應到靜態位址的完整網域名稱 (FQDN)。如果要將 Kube-Vip 用於您的 API 伺服器端點,則需要這項設定,設定方法是將 AVI_CONTROL_PLANE_HA_PROVIDER 設定為 false ,如果您使用 NSX Advanced Load Balancer,則可設定 AVI_CONTROL_PLANE_HA_PROVIDER: true ;您可以:
|
VSPHERE_CONTROL_PLANE_ENDPOINT_PORT |
✔ | ✔ | 選用,如果要在 vSphere with NSX Advanced Load Balancer 上覆寫部署的 Kubernetes API 伺服器連接埠,則設定此選項。預設連接埠為 6443 。若要在沒有 NSX Advanced Load Balancer 的 vSphere 上覆寫部署的 Kubernetes API 伺服器連接埠,請設定 CLUSTER_API_SERVER_PORT 。 |
VSPHERE_CONTROL_PLANE_MEM_MIB |
✔ | ✔ | 選用。控制平面節點虛擬機器的記憶體數量 (以 MB 為單位)。包括引號 ("" )。例如,"2048" 。 |
VSPHERE_CONTROL_PLANE_NUM_CPUS |
✔ | ✔ | 選用。控制平面節點虛擬機器的 CPU 數目。包括引號 ("" )。至少應為 2。例如,"2" 。 |
VSPHERE_DATACENTER |
✔ | ✔ | 必要。要在其中部署叢集的資料中心的名稱,如 vSphere 詳細目錄中顯示的名稱。例如,/MY-DATACENTER 。 |
VSPHERE_DATASTORE |
✔ | ✔ | 必要。叢集要使用的 vSphere 資料存放區的名稱,如 vSphere 詳細目錄中所示。例如,/MY-DATACENTER/datastore/MyDatastore 。 |
VSPHERE_FOLDER |
✔ | ✔ | 必要。要在其中放置 Tanzu Kubernetes Grid 虛擬機器的現有虛擬機器資料夾的名稱,如 vSphere 詳細目錄中顯示的名稱。例如,如果建立了名為 TKG 的資料夾,則路徑為 /MY-DATACENTER/vm/TKG 。 |
VSPHERE_INSECURE |
✔ | ✔ | 選用。設定為 true ,略過指紋驗證。如果為 false,請設定 VSPHERE_TLS_THUMBPRINT 。 |
VSPHERE_MTU |
✔ | ✔ | 選用。為 vSphere Standard 交換器上的管理叢集節點和工作負載叢集節點設定傳輸單元最大值 (MTU) 的大小。如果未設定,則預設值為1500。最大值為 9000。請參閱設定叢集節點 MTU。 |
VSPHERE_NETWORK |
✔ | ✔ | 必要。要用作 Kubernetes 服務網路的現有 vSphere 網路的名稱,如 vSphere 詳細目錄中所示。例如,VM Network 。 |
VSPHERE_PASSWORD |
✔ | ✔ | 必要。vSphere 使用者帳戶的密碼。執行 tanzu cluster create 時,此值採用 base64 編碼。 |
VSPHERE_REGION |
✔ | ✔ | 選用。vCenter 中的區域標記,用於:
|
VSPHERE_RESOURCE_POOL |
✔ | ✔ | 必要。要在其中放置此 Tanzu Kubernetes Grid 執行個體的現有資源集區的名稱,如 vSphere 詳細目錄中所示。若要使用叢集的根資源集區,請輸入完整路徑,例如,對於資料中心 MY-DATACENTER 中名為 cluster0 的叢集,完整路徑為 /MY-DATACENTER/host/cluster0/Resources 。 |
VSPHERE_SERVER |
✔ | ✔ | 必要。要在其上部署工作負載叢集的 vCenter Server 執行個體的 IP 位址或 FQDN。 |
VSPHERE_SSH_AUTHORIZED_KEY |
✔ | ✔ | 必要。貼上您在將管理叢集部署到 vSphere 中建立的 SSH 公開金鑰的內容。例如,"ssh-rsa NzaC1yc2EA [...] hnng2OYYSl+8ZyNz3fmRGX8uPYqw== [email protected]". |
VSPHERE_STORAGE_POLICY_ID |
✔ | ✔ | 選用。管理叢集的虛擬機器儲存區原則的名稱,如原則和設定檔 (Policies and Profiles) > 虛擬機器儲存區原則 (VM Storage Policies) 中所示。 如果設定了 VSPHERE_DATASTORE ,則必須將其包含在儲存區原則中。否則,叢集建立程序會選擇與原則相容的資料存放區。 |
VSPHERE_TEMPLATE |
✖ | ✔ | 選用。如果要對同一個 Kubernetes 版本使用多個自訂 OVA 映像 (格式為 /MY-DC/vm/MY-FOLDER-PATH/MY-IMAGE ),請指定 OVA 檔案的路徑。如需詳細資訊,請參閱使用自訂 OVA 映像來部署叢集。 |
VSPHERE_TLS_THUMBPRINT |
✔ | ✔ | 如果 VSPHERE_INSECURE 為 false ,則此欄位為必要。vCenter Server 憑證的指紋。如需如何取得 vCenter Server 憑證指紋的相關資訊,請參閱取得 vSphere 憑證指紋。如果使用者要透過將 VSPHERE_INSECURE 設定為 true 來使用不安全的連線,則可以略過此值。 |
VSPHERE_USERNAME |
✔ | ✔ | 必要。具有 Tanzu Kubernetes Grid 作業所需權限的 vSphere 使用者帳戶,包括網域名稱。例如,[email protected] 。 |
VSPHERE_WORKER_DISK_GIB |
✔ | ✔ | 選用。工作節點虛擬機器的磁碟大小 (以 GB 為單位)。包括引號 ("" )。例如,"50" 。 |
VSPHERE_WORKER_MEM_MIB |
✔ | ✔ | 選用。工作節點虛擬機器的記憶體數量 (以 MB 為單位)。包括引號 ("" )。例如,"4096" 。 |
VSPHERE_WORKER_NUM_CPUS |
✔ | ✔ | 選用。工作節點虛擬機器的 CPU 數目。包括引號 ("" )。至少應為 2。例如,"2" 。 |
VSPHERE_ZONE |
✔ | ✔ | 選用。vCenter 中的區標記,用於:
|
如需如何將 Kube-VIP 設定為 L4 負載平衡器服務的相關資訊,請參閱 Kube-VIP 負載平衡器。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
KUBEVIP_LOADBALANCER_ENABLE |
✖ | ✔ | 選用;預設值為 false 。設定為 true 或 false 。啟用 Kube-VIP 作為工作負載的負載平衡器。如果為 true ,則必須設定以下其中一個變數。 |
KUBEVIP_LOADBALANCER_IP_RANGES |
✖ | ✔ | 對於 LoadBalancer 類型的服務 IP,所要配置的 IP 範圍清單 (不重疊)。例如:10.0.0.1-10.0.0.23,10.0.2.1-10.0.2.24 。 |
KUBEVIP_LOADBALANCER_CIDRS |
✖ | ✔ | 對於 LoadBalancer 類型的服務 IP,所要配置的 CIDR 清單 (不重疊)。例如:10.0.0.0/24,10.0.2/24 。覆寫 KUBEVIP_LOADBALANCER_IP_RANGES 的設定。 |
如需如何部署 NSX Advanced Load Balancer 的相關資訊,請參閱安裝 NSX Advanced Load Balancer。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
AVI_ENABLE |
✔ | ✖ | 選用;預設值為 false 。設定為 true 或 false 。啟用 NSX Advanced Load Balancer 作為工作負載的負載平衡器。如果設定為 true ,則必須設定下方 NSX Advanced Load Balancer 中列出的必要變數。 |
AVI_ADMIN_CREDENTIAL_NAME |
✔ | ✖ | 選用;預設值為 avi-controller-credentials 。包含 NSX Advanced Load Balancer 控制器管理員使用者名稱和密碼的 Kubernetes 密碼的名稱。 |
AVI_AKO_IMAGE_PULL_POLICY |
✔ | ✖ | 選用;預設值為 IfNotPresent 。 |
AVI_CA_DATA_B64 |
✔ | ✖ | 必要。用於對控制器憑證進行簽署的控制器憑證授權機構的內容。必需為 base64 編碼。擷取未編碼的自訂憑證內容,如 Avi 控制器設定:自訂憑證中所述。 |
AVI_CA_NAME |
✔ | ✖ | 選用;預設值為 avi-controller-ca 。持有 NSX Advanced Load Balancer Controller 憑證授權機構的 Kubernetes 密碼的名稱。 |
AVI_CLOUD_NAME |
✔ | ✖ | 必要。在 NSX Advanced Load Balancer 部署中建立的雲端。例如,Default-Cloud 。 |
AVI_CONTROLLER |
✔ | ✖ | 必要。NSX Advanced Load Balancer 控制器的 IP 或主機名稱。 |
AVI_CONTROL_PLANE_HA_PROVIDER |
✔ | ✔ | 必要。設定為 true 可啟用 NSX Advanced Load Balancer 作為控制平面 API 伺服器端點,或者設定為 false 可使用 Kube-Vip 作為控制平面端點。 |
AVI_CONTROL_PLANE_NETWORK |
✔ | ✖ | 選用。定義工作負載叢集控制平面的 VIP 網路。如果要為工作負載叢集設定單獨的 VIP 網路,請使用此欄位。此欄位為選用欄位,如果保留空白,它將使用與 AVI_DATA_NETWORK 相同的網路。 |
AVI_CONTROL_PLANE_NETWORK_CIDR |
✔ | ✖ | 選用;預設值是與 AVI_DATA_NETWORK_CIDR 相同的網路。要用於工作負載叢集控制平面的子網 CIDR。如果要為工作負載叢集設定單獨的 VIP 網路,請使用此欄位。您可以在 NSX Advanced Load Balancer 介面的基礎結構 - 網路 (Infrastructure - Networks) 視圖中查看特定網路的子網路 CIDR。 |
AVI_DATA_NETWORK |
✔ | ✖ | 必要。將浮動 IP 子網或 IP 集區指派給負載平衡器的網路名稱,以傳輸工作負載叢集上主控應用程式的流量。此網路必須與 Tanzu Kubernetes Grid 使用的 Kubernetes 網路位於您在 SERVICE_CIDR 變數中指定的相同 vCenter Server 執行個體中。這可讓 NSX Advanced Load Balancer 在 vCenter Server 中探索 Kubernetes 網路,並部署及設定服務引擎。 |
AVI_DATA_NETWORK_CIDR |
✔ | ✖ | 必要。要用於負載平衡器 VIP 的子網路的 CIDR。這來自其中一個 VIP 網路的已設定子網。您可以在 NSX Advanced Load Balancer 介面的基礎結構 - 網路 (Infrastructure - Networks) 視圖中查看特定網路的子網路 CIDR。 |
AVI_DISABLE_INGRESS_CLASS |
✔ | ✖ | 選用;預設值為 false 。停用入口類別。附註:此變數在 TKG v2.3 中不起作用。如需因應措施,請參見版本資訊中的 某些 NSX ALB 組態變數不起作用的已知問題。 |
AVI_DISABLE_STATIC_ROUTE_SYNC |
✔ | ✖ | 選用;預設值為 false 。如果可從 NSX ALB 服務引擎存取網繭網路,則設定為 true 。附註:此變數在 TKG v2.3 中不起作用。如需因應措施,請參見版本資訊中的 某些 NSX ALB 組態變數不起作用的已知問題。 |
AVI_INGRESS_DEFAULT_INGRESS_CONTROLLER |
✔ | ✖ | 選用;預設值為 false 。使用 AKO 作為預設入口控制器。附註:此變數在 TKG v2.3 中不起作用。如需因應措施,請參見版本資訊中的 某些 NSX ALB 組態變數不起作用的已知問題。 |
AVI_INGRESS_NODE_NETWORK_LIST |
✔ | ✖ | 指定節點所屬的連接埠群組 (PG) 網路的名稱,以及 CNI 配置給每個節點的關聯 CIDR,以便該節點指派給其網繭。最好在 AKODeploymentConfig 檔案中對此進行更新,請參閱 ClusterIP 模式中的 L7 入口,但如果確實使用叢集組態檔,格式類似於:'[{"networkName": "vsphere-portgroup","cidrs": ["100.64.42.0/24"]}]' |
AVI_INGRESS_SERVICE_TYPE |
✔ | ✖ | 選用。指定 AKO 是在 ClusterIP 、NodePort 或 NodePortLocal 模式下執行。預設值為 NodePort 。 |
AVI_INGRESS_SHARD_VS_SIZE |
✔ | ✖ | 選用。AKO 對第 7 層入口物件使用分區邏輯。分區 VS 涉及託管由一個虛擬 IP 或 VIP 託管的多個不安全或安全入口。設定為 LARGE 、MEDIUM 或 SMALL 。預設值 SMALL 。使用此值來控制第 7 層 VS 編號。這適用於安全/不安全的 VS,但不適用於傳遞。 |
AVI_LABELS |
✔ | ✔ | 選用。設定後,僅在具有此標籤的工作負載叢集上啟用 NSX Advanced Load Balancer。包括引號 ("" )。例如,AVI_LABELS: "{foo: 'bar'}" 。 |
AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_CIDR |
✔ | ✖ | 選用。要用於管理叢集控制平面的子網的 CIDR。當您想要為管理叢集的控制平面設定單獨的 VIP 網路時使用。您可以在 NSX Advanced Load Balancer 介面的基礎結構 - 網路 (Infrastructure - Networks) 視圖中查看特定網路的子網路 CIDR。此欄位為選用欄位,如果保留空白,它將使用與 AVI_DATA_NETWORK_CIDR 相同的網路。 |
AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_NAME |
✔ | ✖ | 選用。定義管理叢集控制平面的 VIP 網路。當您想要為管理叢集的控制平面設定單獨的 VIP 網路時使用。此欄位為選用欄位,如果保留空白,它將使用與 AVI_DATA_NETWORK 相同的網路。 |
AVI_MANAGEMENT_CLUSTER_SERVICE_ENGINE_GROUP |
✔ | ✖ | 選用。指定要由管理叢集中的 AKO 使用的服務引擎群組的名稱。此欄位為選用欄位,如果保留空白,它將使用與 AVI_SERVICE_ENGINE_GROUP 相同的網路。 |
AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_NAME |
✔ | ✖ | 選用;預設值是與 AVI_DATA_NETWORK 相同的網路。將浮動 IP 子網或 IP 集區指派給管理叢集和工作負載叢集控制平面的負載平衡器 (如果使用 NSX ALB 提供控制平面 HA) 的網路名稱。此網路必須與Tanzu Kubernetes Grid使用的 Kubernetes 網路 (您在管理叢集的「SERVICE_CIDR」變數中指定的) 位於相同的 vCenter Server 實例中。這可讓 NSX Advanced Load Balancer 在 vCenter Server 中探索 Kubernetes 網路,並部署及設定服務引擎。 |
AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_CIDR |
✔ | ✖ | 選用;預設值是與 AVI_DATA_NETWORK_CIDR 相同的網路。要用於管理叢集和工作負載叢集的控制平面 (如果使用 NSX ALB 來提供控制平面 HA) 負載平衡器 VIP 的子網 CIDR。這來自其中一個 VIP 網路的已設定子網。您可以在 NSX Advanced Load Balancer 介面的基礎結構 - 網路 (Infrastructure - Networks) 視圖中查看特定網路的子網路 CIDR。 |
AVI_NAMESPACE |
✔ | ✖ | 選用;預設值為 "tkg-system-networking" 。AKO Operator 的命名空間。 |
AVI_NSXT_T1LR |
✔ | ✖ | 選用。在 AVI 控制器 UI 的 NSX Cloud 下,為管理叢集設定的 NSX T1 路由器路徑。當您在 NSX ALB 控制器上使用 NSX 雲端時,需要使用此項。若要對工作負載叢集使用不同的 T1,請在建立管理叢集後,修改 AKODeploymentConfig 物件 install-ako-for-all 。 |
AVI_PASSWORD |
✔ | ✖ | 必要。部署時為控制器管理員設定的密碼。 |
AVI_SERVICE_ENGINE_GROUP |
✔ | ✖ | 必要。服務引擎群組的名稱。例如,Default-Group 。 |
AVI_USERNAME |
✔ | ✖ | 必要。部署控制器主機時為其設定的管理員使用者名稱。 |
這些變數設定可路由 IP 位址工作負載網繭,如使用可路由 IP 網繭來部署叢集中所述。所有字串類型設定都應採用雙引號,例如,"true"
。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
NSXT_POD_ROUTING_ENABLED |
✖ | ✔ | 選用;預設值為 "false" 。設定為 "true" 時,會使用以下變數來啟用 NSX 可路由的網繭。請參閱使用可路由的 IP 網繭來部署叢集。 |
NSXT_MANAGER_HOST |
✖ | ✔ | 如果 NSXT_POD_ROUTING_ENABLED= "true" ,則為必要。NSX Manager 的 IP 位址。 |
NSXT_ROUTER_PATH |
✖ | ✔ | 如果 NSXT_POD_ROUTING_ENABLED= "true" ,則為必要。NSX Manager 中顯示的 T1 路由器路徑。 |
對於 NSX 的使用者名稱/密碼驗證: | |||
NSXT_USERNAME |
✖ | ✔ | 用於登入 NSX Manager 的使用者名稱。 |
NSXT_PASSWORD |
✖ | ✔ | 用於登入 NSX Manager 的密碼。 |
若要使用認證對 NSX 進行驗證並將其儲存在 Kubernetes 密碼中 (也設定了上述 NSXT_USERNAME 和 NSXT_PASSWORD ): |
|||
NSXT_SECRET_NAMESPACE |
✖ | ✔ | 選用;預設值為 "kube-system" 。密碼包含 NSX 使用者名稱和密碼的命名空間。 |
NSXT_SECRET_NAME |
✖ | ✔ | 選用;預設值為 "cloud-provider-vsphere-nsxt-credentials" 。包含 NSX 使用者名稱和密碼的密碼的名稱。 |
對於 NSX 的憑證驗證: | |||
NSXT_ALLOW_UNVERIFIED_SSL |
✖ | ✔ | 選用;預設值為 false 。如果 NSX 使用自我簽署憑證,請將此選項設定為 "true" 。 |
NSXT_ROOT_CA_DATA_B64 |
✖ | ✔ | 如果 NSXT_ALLOW_UNVERIFIED_SSL= "false" ,則為必要。NSX 用於 LDAP 驗證的 Base64 編碼憑證授權機構根憑證字串。 |
NSXT_CLIENT_CERT_KEY_DATA |
✖ | ✔ | 本機用戶端憑證的 Base64 編碼憑證金鑰檔案字串。 |
NSXT_CLIENT_CERT_DATA |
✖ | ✔ | 本機用戶端憑證的 Base64 編碼憑證檔案字串。 |
若要在 VMware Cloud (VMC) 上對 NSX with VMware Identity Manager 進行遠端驗證,請設定下列內容: | |||
NSXT_REMOTE_AUTH |
✖ | ✔ | 選用;預設值為 false 。將此選項設定為 "true" ,以便在 VMware Cloud (VMC) 對 NSX with VMware Identity Manager 進行遠端驗證。 |
NSXT_VMC_AUTH_HOST |
✖ | ✔ | 選用;預設值為空白。VMC 驗證主機。 |
NSXT_VMC_ACCESS_TOKEN |
✖ | ✔ | 選用;預設值為空白。VMC 驗證存取 Token。 |
這些變數設定叢集內 IP 位址管理 (IPAM),如節點 IPAM 中所述。所有字串類型設定都應採用雙引號,例如,"true"
。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
CONTROL_PLANE_NODE_NAMESERVERS |
✔ | ✔ | 以逗號分隔的名稱伺服器清單,例如,"10.10.10.10" ,用於節點 IPAM 管理的控制平面節點位址。在 Ubuntu 和 Photon 上支援;在 Windows 上不支援。 |
NODE_IPAM_IP_POOL_APIVERSION |
✖ | ✔ | 工作負載叢集使用的 InClusterIPPool 物件的 API 版本。預設值為 "ipam.cluster.x-k8s.io/v1alpha2" ;以前的 TKG 版本使用 v1alpha1 。 |
NODE_IPAM_IP_POOL_KIND |
✖ | ✔ | 工作負載叢集使用的 IP 集區物件的類型。預設為 "InClusterIPPool" ,也可以設為 "GlobalInClusterIPPool" 與其他叢集共用同一集區。 |
NODE_IPAM_IP_POOL_NAME |
✖ | ✔ | 設定工作負載叢集使用的 IP 集區的 IP 集區物件名稱。 |
WORKER_NODE_NAMESERVERS |
✔ | ✔ | 以逗號分隔的名稱伺服器清單,例如,"10.10.10.10" ,用於節點 IPAM 管理的 worker 節點位址。在 Ubuntu 和 Photon 上支援;在 Windows 上不支援。 |
MANAGEMENT_NODE_IPAM_IP_POOL_GATEWAY |
✔ | ✖ | 管理叢集中 IPAM 集區位址的預設閘道,例如「10.10.10.1」。 |
MANAGEMENT_NODE_IPAM_IP_POOL_ADDRESSES |
✔ | ✖ | 可用於 IPAM 在管理叢集中分配的位址,以逗號分隔的清單,可以包含單個 IP 位址、範圍 (例如,10.0.0.2-10.0.0.100 ) 或 CIDR (例如,10.0.0.32/27 )。根據叢集升級需要,請包含額外的)位址以保持未使用狀態。所需的額外地址數預設為 1,由叢集對象規格的 topology.controlPlane 和 topology.workers 定義中的註釋 topology.cluster.x-k8s.io/upgrade-concurrency 設定。 |
MANAGEMENT_NODE_IPAM_IP_POOL_SUBNET_PREFIX |
✔ | ✖ | 獨立管理叢集中 IPAM 集區位址的子網路的網路前置詞,例如,"24" |
這些變數在 PCI 傳遞模式下設定啟用了 GPU 的工作負載叢集,如部署啟用了 GPU 的工作負載叢集中所述。所有字串類型設定都應採用雙引號,例如,"true"
。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
VSPHERE_CONTROL_PLANE_CUSTOM_VMX_KEYS |
✔ | ✔ | 在所有控制平面機器上設定自訂 VMX 金鑰。使用格式 Key1=Value1,Key2=Value2 。請參閱部署啟用了 GPU 的工作負載叢集。 |
VSPHERE_CONTROL_PLANE_HARDWARE_VERSION |
✔ | ✔ | GPU 裝置處於 PCI 傳遞模式的控制平面虛擬機器的硬體版本。所需的最低版本為 17。該值的格式為 vmx-17 ,其中結尾數字是虛擬機器的硬體版本。有關不同硬體版本的功能支援,請參閱 vSphere 說明文件中的透過虛擬機器相容性設定可用的硬體功能。 |
VSPHERE_CONTROL_PLANE_PCI_DEVICES |
✔ | ✔ | 在所有控制平面機器上設定 PCI 傳遞。使用 <vendor_idgt;:<device_id> 格式。例如,VSPHERE_WORKER_PCI_DEVICES: "0x10DE:0x1EB8" 。若要尋找廠商和裝置識別碼,請參閱部署啟用了 GPU 的工作負載叢集。 |
VSPHERE_IGNORE_PCI_DEVICES_ALLOW_LIST |
✔ | ✔ | 如果要使用 NVIDIA Tesla T4 GPU,則設定為 false ; 如果要使用 NVIDIA V100 GPU,則設定為 true 。 |
VSPHERE_WORKER_CUSTOM_VMX_KEYS |
✔ | ✔ | 在所有工作機器上設定自訂 VMX 金鑰。使用格式 Key1=Value1,Key2=Value2 。如需範例,請參閱部署啟用了 GPU 的工作負載叢集。 |
VSPHERE_WORKER_HARDWARE_VERSION |
✔ | ✔ | GPU 裝置處於 PCI 傳遞模式的工作虛擬機器的硬體版本。所需的最低版本為 17。該值的格式為 vmx-17 ,其中結尾數字是虛擬機器的硬體版本。有關不同硬體版本的功能支援,請參閱 vSphere 說明文件中的透過虛擬機器相容性設定可用的硬體功能。 |
VSPHERE_WORKER_PCI_DEVICES |
✔ | ✔ | 在所有工作機器上設定 PCI 傳遞。使用 <vendor_idgt;:<device_id> 格式。例如,VSPHERE_WORKER_PCI_DEVICES: "0x10DE:0x1EB8" 。若要尋找廠商和裝置識別碼,請參閱部署啟用了 GPU 的工作負載叢集。 |
WORKER_ROLLOUT_STRATEGY |
✔ | ✔ | 選擇性。設定 MachineDeployment 推出政策。預設值為 RollingUpdate 。如果設定為 OnDelete ,則在更新時,會先刪除現有的工作機器,之後再建立替換的工作機器。如果工作節點在使用所有可用的 PCI 裝置,則必須將此設定為 OnDelete 。 |
下表中的變數是將工作負載叢集部署到 AWS 時,在叢集組態檔中指定的選項。其中用於部署該叢集的工作負載叢集和管理叢集的許多選項是相同的。
如需有關 AWS 組態檔的詳細資訊,請參閱管理 AWS 的叢集組態和 AWS 叢集組態檔。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
AWS_ACCESS_KEY_ID |
✔ | ✔ | 選用。AWS 帳戶的存取金鑰識別碼。這是一個用於對 AWS 進行驗證的選項。請參閱設定 AWS 帳戶認證。 只能使用 AWS_PROFILE 或 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 的組合,但不能同時使用兩者。 |
AWS_CONTROL_PLANE_OS_DISK_SIZE_GIB |
✔ | ✔ | 選用。控制平面節點的磁碟大小。覆寫由 CONTROL_PLANE_MACHINE_TYPE 、SIZE 或 CONTROLPLANE_SIZE 設定的虛擬機器類型的預設磁碟大小。 |
AWS_LOAD_BALANCER_SCHEME_INTERNAL |
✔ | ✔ | 選用。對於管理叢集,將負載平衡器配置設定為內部,從而阻止透過網際網路進行存取。對於工作負載叢集, 可確保管理叢集在共用 VPC 或對等時,于內部存取工作負載叢集的負載平衡器。請參閱將內部負載平衡器用於 Kubernetes API 伺服器。 |
AWS_NODE_AZ |
✔ | ✔ | 必要。所選區域中要用作此管理叢集可用區域的 AWS 可用區域的名稱。可用區域名稱與 AWS 區域名稱相同,具有單一小寫字母尾碼,例如 a 、b 、c 。例如,us-west-2a 。若要部署具有三個控制平面節點的 prod 管理叢集,也必須設定 AWS_NODE_AZ_1 和 AWS_NODE_AZ_2 。其中每個可用區域中的字母尾碼必須是唯一的。例如,us-west-2a 、us-west-2b 和 us-west-2c 。 |
AWS_NODE_OS_DISK_SIZE_GIB |
✔ | ✔ | 選用。工作節點的磁碟大小。覆寫由 NODE_MACHINE_TYPE 、SIZE 或 WORKER_SIZE 設定的虛擬機器類型的預設磁碟大小。 |
AWS_NODE_AZ_1 和 AWS_NODE_AZ_2 |
✔ | ✔ | 選用。如果要部署具有三個控制平面節點的 prod 管理叢集,請設定這些變數。兩個可用區域必須與 AWS_NODE_AZ 位於相同的區域中。如需詳細資訊,請參閱上方的 AWS_NODE_AZ 。例如,us-west-2a 、ap-northeast-2b 等。 |
AWS_PRIVATE_NODE_CIDR_1 |
✔ | ✔ | 選用。如果建議的範圍 10.0.2.0/24 不可用,請以 CIDR 格式輸入其他 IP 範圍。Tanzu Kubernetes Grid 部署管理叢集時,會在 AWS_NODE_AZ_1 中建立此子網路。如需詳細資訊,請參閱上方的 AWS_PRIVATE_NODE_CIDR 。 |
AWS_PRIVATE_NODE_CIDR_2 |
✔ | ✔ | 選用。如果建議的範圍 10.0.4.0/24 不可用,請以 CIDR 格式輸入其他 IP 範圍。Tanzu Kubernetes Grid 部署管理叢集時,會在 AWS_NODE_AZ_2 中建立此子網路。如需詳細資訊,請參閱上方的 AWS_PRIVATE_NODE_CIDR 。 |
AWS_PROFILE |
✔ | ✔ | 選用。Tanzu Kubernetes Grid 用於存取其 AWS 帳戶的由 aws configure 管理的 AWS 認證設定檔。這是對 AWS 進行驗證的慣用選項。請參閱設定 AWS 帳戶認證。只能使用 AWS_PROFILE 或 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 的組合,但不能同時使用兩者。 |
AWS_PUBLIC_NODE_CIDR_1 |
✔ | ✔ | 選用。如果建議的範圍 10.0.3.0/24 不可用,請以 CIDR 格式輸入其他 IP 範圍。Tanzu Kubernetes Grid 部署管理叢集時,會在 AWS_NODE_AZ_1 中建立此子網路。如需詳細資訊,請參閱上方的 AWS_PUBLIC_NODE_CIDR 。 |
AWS_PUBLIC_NODE_CIDR_2 |
✔ | ✔ | 選用。如果建議的範圍 10.0.5.0/24 不可用,請以 CIDR 格式輸入其他 IP 範圍。Tanzu Kubernetes Grid 部署管理叢集時,會在 AWS_NODE_AZ_2 中建立此子網路。如需詳細資訊,請參閱上方的 AWS_PUBLIC_NODE_CIDR 。 |
AWS_PRIVATE_SUBNET_ID |
✔ | ✔ | 選用。如果將 AWS_VPC_ID 設定為使用現有 VPC,請輸入 AWS_NODE_AZ 中已存在的私人子網路的識別碼。此設定是選用的。如果未設定,tanzu management-cluster create 會自動識別私人子網路。若要部署具有三個控制平面節點的 prod 管理叢集,也必須設定 AWS_PRIVATE_SUBNET_ID_1 和 AWS_PRIVATE_SUBNET_ID_2 。 |
AWS_PRIVATE_SUBNET_ID_1 |
✔ | ✔ | 選用。AWS_NODE_AZ_1 中存在的私人子網路的識別碼。如果未設定該變數,tanzu management-cluster create 會自動識別私人子網路。如需詳細資訊,請參閱上方的 AWS_PRIVATE_SUBNET_ID 。 |
AWS_PRIVATE_SUBNET_ID_2 |
✔ | ✔ | 選用。AWS_NODE_AZ_2 中存在的私人子網路的識別碼。如果未設定該變數,tanzu management-cluster create 會自動識別私人子網路。如需詳細資訊,請參閱上方的 AWS_PRIVATE_SUBNET_ID 。 |
AWS_PUBLIC_SUBNET_ID |
✔ | ✔ | 選用。如果將 AWS_VPC_ID 設定為使用現有 VPC,請輸入 AWS_NODE_AZ 中已存在的公用子網路的識別碼。此設定是選用的。如果未設定,tanzu management-cluster create 會自動識別公用子網路。若要部署具有三個控制平面節點的 prod 管理叢集,也必須設定 AWS_PUBLIC_SUBNET_ID_1 和 AWS_PUBLIC_SUBNET_ID_2 。 |
AWS_PUBLIC_SUBNET_ID_1 |
✔ | ✔ | 選用。AWS_NODE_AZ_1 中存在的公用子網路的識別碼。如果未設定該變數,tanzu management-cluster create 會自動識別公用子網路。如需詳細資訊,請參閱上方的 AWS_PUBLIC_SUBNET_ID 。 |
AWS_PUBLIC_SUBNET_ID_2 |
✔ | ✔ | 選用。AWS_NODE_AZ_2 中存在的公用子網路的識別碼。如果未設定該變數,tanzu management-cluster create 會自動識別公用子網路。如需詳細資訊,請參閱上方的 AWS_PUBLIC_SUBNET_ID 。 |
AWS_REGION |
✔ | ✔ | 必要。要在其中部署叢集的 AWS 區域的名稱。例如,us-west-2 。您也可以在 AWS GovCloud 中指定 us-gov-east 和 us-gov-west 區域。如果已將其他區域設定為環境變數 (例如,在將管理叢集部署到 AWS 中),則必須取消設定該環境變數。例如,us-west-2 、ap-northeast-2 等。 |
AWS_SECRET_ACCESS_KEY |
✔ | ✔ | 選用。AWS 帳戶的秘密存取金鑰。這是一個用於對 AWS 進行驗證的選項。請參閱設定 AWS 帳戶認證。 只能使用 AWS_PROFILE 或 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 的組合,但不能同時使用兩者。 |
AWS_SECURITY_GROUP_APISERVER_LB |
✔ | ✔ | 選用。自訂安全群組以及要套用至叢集的自訂規則。請參閱設定自訂安全群組。 |
AWS_SECURITY_GROUP_BASTION |
|||
AWS_SECURITY_GROUP_CONTROLPLANE |
|||
AWS_SECURITY_GROUP_APISERVER_LB |
|||
AWS_SECURITY_GROUP_NODE |
|||
AWS_SESSION_TOKEN |
✔ | ✔ | 選用。如果需要使用臨時存取金鑰,請提供授與您的帳戶的 AWS 工作階段 Token。如需有關使用臨時存取金鑰的詳細資訊,請參閱瞭解並取得 AWS 認證。為您的 AWS 帳戶提供工作階段 Token。或者,您也可以將帳戶認證指定為本機環境變數,或在 AWS 預設認證提供者鏈結中指定。 |
AWS_SSH_KEY_NAME |
✔ | ✔ | 必要。在 AWS 帳戶中登錄的 SSH 私密金鑰的名稱。 |
AWS_VPC_ID |
✔ | ✔ | 選用。若要使用所選 AWS 區域中已存在的 VPC,請輸入 VPC 的識別碼,然後設定 AWS_PUBLIC_SUBNET_ID 和 AWS_PRIVATE_SUBNET_ID 。 |
BASTION_HOST_ENABLED |
✔ | ✔ | 選用。依預設,此選項在全域 Tanzu Kubernetes Grid 組態中設定為 "true" 。指定 "true" 以部署 AWS Bastion 主機,或者指定 "false" 重複使用現有的 Bastion 主機。如果可用區域中不存在 Bastion 主機,並且已將 AWS_VPC_ID 設定為使用現有 VPC,請將 BASTION_HOST_ENABLED 設定為 "true" 。 |
CONTROL_PLANE_MACHINE_TYPE |
✔ | ✔ | 如果未設定與雲端無關的 SIZE 或 CONTROLPLANE_SIZE ,則為必要。要用於叢集控制平面節點的 Amazon EC2 執行個體類型,例如 t3.small 或 m5.large 。 |
NODE_MACHINE_TYPE |
✔ | ✔ | 如果未設定與雲端無關的 SIZE 或 WORKER_SIZE ,則為必要。要用於叢集工作節點的 Amazon EC2 執行個體類型,例如 t3.small 或 m5.large 。 |
下表中的變數是將工作負載叢集部署到 Azure 時,在叢集組態檔中指定的選項。其中用於部署該叢集的工作負載叢集和管理叢集的許多選項是相同的。
如需有關 Azure 組態檔的詳細資訊,請參閱 Azure 的管理叢集組態和 Azure 叢集組態檔。
變數 | 可在 中設定... | 說明 | |
---|---|---|---|
管理叢集 YAML | 工作負載叢集 YAML | ||
AZURE_CLIENT_ID |
✔ | ✔ | 必要。在 Azure 中登錄的 Tanzu Kubernetes Grid 應用程式的用戶端識別碼。 |
AZURE_CLIENT_SECRET |
✔ | ✔ | 必要。來自在 Azure 上登錄 Tanzu Kubernetes Grid 應用程式的 Azure 用戶端密碼。 |
AZURE_CUSTOM_TAGS |
✔ | ✔ | 選用。要套用至為叢集建立的 Azure 資源的標籤的逗號分隔清單。標籤是索引鍵-值配對,例如 "foo=bar, plan=prod" 。如需有關標記 Azure 資源的詳細資訊,請參閱 Microsoft Azure 說明文件中的使用標籤組織 Azure 資源和管理階層以及 Azure 資源的標籤支援。 |
AZURE_ENVIRONMENT |
✔ | ✔ | 選用;預設值為 AzurePublicCloud 。支援的雲端包括 AzurePublicCloud 、AzureChinaCloud 、AzureGermanCloud 、AzureUSGovernmentCloud 。 |
AZURE_IDENTITY_NAME |
✔ | ✔ | 選用,如果要在不同的 Azure 帳戶上使用叢集,則設定此選項。要用於建立以使用不同 Azure 帳戶上的叢集的 AzureClusterIdentity 的名稱。如需詳細資訊,請參閱〈將工作負載叢集部署到 Azure〉中的不同 Azure 帳戶上的叢集。 |
AZURE_IDENTITY_NAMESPACE |
✔ | ✔ | 選用,如果要在不同的 Azure 帳戶上使用叢集,則設定此選項。為使用不同 Azure 帳戶上的叢集而建立的 AzureClusterIdentity 的命名空間。如需詳細資訊,請參閱〈將工作負載叢集部署到 Azure〉中的不同 Azure 帳戶上的叢集。 |
AZURE_LOCATION |
✔ | ✔ | 必要。要在其中部署叢集的 Azure 區域的名稱。例如,eastus 。 |
AZURE_RESOURCE_GROUP |
✔ | ✔ | 選用;預設值為 CLUSTER_NAME 設定。要用於叢集的 Azure 資源群組的名稱。對每個叢集都必須是唯一的。依預設 AZURE_RESOURCE_GROUP 和 AZURE_VNET_RESOURCE_GROUP 是相同的。 |
AZURE_SSH_PUBLIC_KEY_B64 |
✔ | ✔ | 必要。在將管理叢集部署到 Microsoft Azure 中建立的 SSH 公開金鑰已轉換為 base64 並移除了換行。例如,c3NoLXJzYSBB [...] vdGFsLmlv 。 |
AZURE_SUBSCRIPTION_ID |
✔ | ✔ | 必要。Azure 訂閱的訂閱識別碼。 |
AZURE_TENANT_ID |
✔ | ✔ | 必要。Azure 帳戶的承租人識別碼。 |
網路 | |||
AZURE_CONTROL_PLANE_OUTBOUND_LB_FRONTEND_IP_COUNT |
✔ | ✔ | 選用;預設值為 1 。將此選項設定為將多個前端 IP 位址新增到控制平面負載平衡器,以用於具有大量預期輸出連線的環境。 |
AZURE_ENABLE_ACCELERATED_NETWORKING |
✔ | ✔ | 選用;預設值為 true 。設定為 false ,以在具有 4 個以上 CPU 的虛擬機器上停用 Azure 加速網路。 |
AZURE_ENABLE_CONTROL_PLANE_OUTBOUND_LB |
✔ | ✔ | 選用。如果 AZURE_ENABLE_PRIVATE_CLUSTER 為 true ,且您要啟用控制平面的輸出負載平衡器上的公用 IP 位址,請將此項設定為 true 。 |
AZURE_ENABLE_NODE_OUTBOUND_LB |
✔ | ✔ | 選用。如果 AZURE_ENABLE_PRIVATE_CLUSTER 為 true ,而且您要啟用工作節點的輸出負載平衡器上的公用 IP 位址,則將此選項設定為 true 。 |
AZURE_ENABLE_PRIVATE_CLUSTER |
✔ | ✔ | 選用。將此選項設定為 true 以將叢集設定為私人,並將 Azure 內部負載平衡器 (ILB) 用於其傳入流量。如需詳細資訊,請參閱 Azure 私人叢集。 |
AZURE_FRONTEND_PRIVATE_IP |
✔ | ✔ | 選用。如果 AZURE_ENABLE_PRIVATE_CLUSTER 為 true ,而且您要覆寫預設的內部負載平衡器位址 10.0.0.100 ,則設定此選項。 |
AZURE_NODE_OUTBOUND_LB_FRONTEND_IP_COUNT |
✔ | ✔ | 選用;預設值為 1 。將此選項設定為將多個前端 IP 位址新增到工作節點負載平衡器,以用於具有大量預期輸出連線的環境。 |
AZURE_NODE_OUTBOUND_LB_IDLE_TIMEOUT_IN_MINUTES |
✔ | ✔ | 選用;預設值為 4 。將此選項設定為可指定透過工作節點輸出負載平衡器保持開啟的輸出 TCP 連線的分鐘數。 |
AZURE_VNET_CIDR |
✔ | ✔ | 選用,如果要將叢集部署到新的 VNet 和子網路並覆寫預設值,則設定此選項。依預設,AZURE_VNET_CIDR 設定為 10.0.0.0/16 ,AZURE_CONTROL_PLANE_SUBNET_CIDR 設定為 10.0.0.0/24 ,AZURE_NODE_SUBNET_CIDR 設定為 10.0.1.0/24 。 |
AZURE_CONTROL_PLANE_SUBNET_CIDR |
|||
AZURE_NODE_SUBNET_CIDR |
|||
AZURE_VNET_NAME |
✔ | ✔ | 選用,如果要將叢集部署到現有的 VNet 和子網路,或者要為新的 VNet 和子網路指派名稱,則設定此選項。 |
AZURE_CONTROL_PLANE_SUBNET_NAME |
|||
AZURE_NODE_SUBNET_NAME |
|||
AZURE_VNET_RESOURCE_GROUP |
✔ | ✔ | 選用;預設值為 AZURE_RESOURCE_GROUP 的值。 |
控制平面虛擬機器 | |||
AZURE_CONTROL_PLANE_DATA_DISK_SIZE_GIB |
✔ | ✔ | 選用。資料磁碟和作業系統磁碟的大小,如 Azure 說明文件磁碟角色所述,用於控制平面虛擬機器 (以 GB 為單位)。範例:128 、256 。控制平面節點始終使用資料磁碟進行佈建。 |
AZURE_CONTROL_PLANE_OS_DISK_SIZE_GIB |
|||
AZURE_CONTROL_PLANE_MACHINE_TYPE |
✔ | ✔ | 選用;預設值為 Standard_D2s_v3 。控制平面節點虛擬機器的 Azure 虛擬機器大小,選擇以適應預期的工作負載。Azure 執行個體類型的最低要求是 2 個 CPU 和 8 GB 記憶體。有關可能的值,請參閱 Tanzu Kubernetes Grid 安裝程式介面。 |
AZURE_CONTROL_PLANE_OS_DISK_STORAGE_ACCOUNT_TYPE |
✔ | ✔ | 選用。控制平面虛擬機器磁碟的 Azure 儲存區帳戶類型。範例:Premium_LRS 。 |
工作節點虛擬機器 | |||
AZURE_ENABLE_NODE_DATA_DISK |
✔ | ✔ | 選用;預設值為 false 。設定為 true ,可為每個工作節點虛擬機器佈建一個資料磁碟,如 Azure 說明文件磁碟角色所述。 |
AZURE_NODE_DATA_DISK_SIZE_GIB |
✔ | ✔ | 選用。如果 AZURE_ENABLE_NODE_DATA_DISK 為 true ,則設定此變數。工作虛擬機器的資料磁碟大小 (如 Azure 說明文件磁碟角色所述),以 GB 為單位。範例:128 、256 。 |
AZURE_NODE_OS_DISK_SIZE_GIB |
✔ | ✔ | 選用。工作虛擬機器的作業系統磁碟大小 (如 Azure 說明文件磁碟角色所述),以 GB 為單位。範例:128 、256 。 |
AZURE_NODE_MACHINE_TYPE |
✔ | ✔ | 選用。工作節點虛擬機器的 Azure 虛擬機器大小,選擇以適應預期的工作負載。預設值為 Standard_D2s_v3 。有關可能的值,請參閱 Tanzu Kubernetes Grid 安裝程式介面。 |
AZURE_NODE_OS_DISK_STORAGE_ACCOUNT_TYPE |
✔ | ✔ | 選用。如果 AZURE_ENABLE_NODE_DATA_DISK 為 true ,則設定此變數。工作虛擬機器磁碟的 Azure 儲存區帳戶類型。範例:Premium_LRS 。 |
Tanzu CLI 建立叢集時,它會從多個來源讀取本主題中列出的變數的值。如果這些來源發生衝突,則會依以下遞減優先順序來解決衝突:
處理層 (依遞減優先順序來排序) | 來源 | 範例 |
---|---|---|
1.在安裝程式介面中設定的管理叢集組態變數 | 在由 --ui 選項啟動的安裝程式介面中輸入,並寫入到叢集組態檔中。檔案位置預設為 ~/.config/tanzu/tkg/clusterconfigs/ 。 |
|
2.在本機環境中設定的叢集組態變數 | 在 Shell 中設定。 | export AZURE_NODE_MACHINE_TYPE=Standard_D2s_v3 |
3.使用 tanzu config set env. 在 Tanzu CLI 中設定的叢集組態變數。 |
在 shell 中設定;儲存在全域 Tanzu CLI 組態檔 ~/.config/tanzu/config.yaml 中。 |
tanzu config set env.AZURE_NODE_MACHINE_TYPE Standard_D2s_v3 |
4.在叢集組態檔中設定的叢集組態變數 | 在傳遞至 tanzu management-cluster create 或 tanzu cluster create 的 --file 選項中設定。檔案預設為 ~/.config/tanzu/tkg/cluster-config.yaml 。 |
AZURE_NODE_MACHINE_TYPE: Standard_D2s_v3 |
5.原廠預設組態值 | 在 providers/config_default.yaml 中設定。請勿修改此檔案。 |
AZURE_NODE_MACHINE_TYPE: "Standard_D2s_v3" |