Proxy 伺服器允許清單
若要在網際網路受限但不是實體氣隙的環境中安裝和執行 Tanzu Kubernetes Grid (TKG),則您有兩種選擇:
- 將 Proxy 伺服器和防火牆設定為允許從 TKG 的子網路存取 TKG 映像 (TKG 元件的容器映像) 的線上來源。
- 建立所有 TKG 映像的離線複本。
對於上面的第一個選項,本主題會列出 Proxy 伺服器 (第 7 層) 為啟用 Tanzu Kubernetes Grid 而需要允許的網域。此外,也會列出第二選項替代方法,亦即離線複製及使用映像。
如需 Tanzu Kubernetes Grid 所需的連接埠和通訊協定防火牆 (第 4 層) 規則,請參閱 Tanzu Kubernetes Grid 防火牆規則。
如需如何在氣隙或網際網路受限的環境中安裝 Tanzu Kubernetes Grid,請參閱準備網際網路受限的環境。
要允許的網域
將以下網域新增到 Proxy 伺服器的允許清單,以安裝 Tanzu Kubernetes Grid,並啟用該網域以佈建工作負載叢集。
| 網域 | 登錄 | 用途 |
|---|---|---|
|
VMware 外掛程式登錄,Tanzu 標準套件存放庫 | VMware 外掛程式登錄會主控 Tanzu CLI 使用的映像、二進位檔和組態檔,以執行核心功能,例如:建立叢集和管理存取權。 Tanzu Standard 套件存放庫儲存了 Tanzu CLI 會安裝到叢集的封裝服務的映像。 |
|
VMware OCI 映像登錄 | 使用 Harbor 來託管 TKG 用來啟動管理叢集和工作負載叢集的映像。系統會掃描此登錄中的映像是否有漏洞,因此這些映像可安全地在所有環境中執行。 |
環境和基礎結構特定的登錄,例如:
|
||
允許清單的替代方法
除了允許上述的網域,替代方法是依如下所示,離線複製映像:
-
所有映像:依照準備網際網路受限的環境中所述,執行映像複製指令碼。
-
VMware 外掛程式登錄映像:從網際網路所連線的啟動機器,執行
tanzu plugin sync,並將其$HOME/.tkg資料夾傳輸到網際網路受限的機器。 -
Docker Hub 映像:使用 ytt 工具,將套件來源登錄變更為您自己的私人 Docker 登錄或 Helm Artifact Hub。有關如何下載和安裝
ytt的資訊,請參見安裝 Carvel 工具。
