組態檔變數參考

此參考列出了為 Tanzu CLI 提供叢集組態選項時可指定的所有變數。

若要在 YAML 組態檔中設定這些變數,請在冒號 (:) 和變數值之間留一個空格。例如:

CLUSTER_NAME: my-cluster

組態檔中的行順序無關緊要。此處的選項按字母順序顯示。另請參閱下方的組態值優先順序一節。

所有目標平台的通用變數

本節列出了所有目標平台通用的變數。這些變數可能適用於管理叢集和/或工作負載叢集。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定基本管理叢集建立資訊

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
APISERVER_EVENT_RATE_LIMIT_CONF_BASE64 僅限以類別為基礎的叢集。啟用並設定 EventRateLimit 許可控制器,以將流量適度傳輸到 Kubernetes API 伺服器。依照 Kubernetes 說明文件中所述建立 EventRateLimit 組態檔 config.yaml,然後執行 base64 -w 0 config.yaml 將它轉換成字串值,來設定這個內容。
CAPBK_BOOTSTRAP_TOKEN_TTL 選用;預設值為 15m (15 分鐘)。在叢集初始化操作期間 kubeadm 使用的啟動程序 Token 的 TTL 值。
CLUSTER_API_SERVER_PORT 選用;預設值為 6443。如果啟用 NSX Advanced Load Balancer (vSphere),則會忽略此變數;若要為具有 NSX Advanced Load Balancer 的部署覆寫預設的 Kubernetes API 伺服器連接埠,請設定 VSPHERE_CONTROL_PLANE_ENDPOINT_PORT
CLUSTER_CIDR 選用;預設值為 100.96.0.0/11。要用於網繭的 CIDR 範圍。僅當預設範圍無法使用時,才變更預設值。
CLUSTER_NAME 此名稱必須符合 RFC 952 中所述以及 RFC 1123 中所修訂的 DNS 主機名稱需求,且長度不得超過 42 個字元。
對於工作負載叢集,此設定將被傳遞到 tanzu cluster createCLUSTER_NAME 引數覆寫。
對於管理叢集,如果未指定 CLUSTER_NAME,則會產生唯一名稱。
CLUSTER_PLAN 必要。設定為 devprod 或自訂計劃,如新計劃 nginx 所示。
dev 計劃會部署具有單一控制平面節點的叢集。prod 計劃會部署具有三個控制平面節點的高可用性叢集。
CNI 選用;預設值為 antrea。容器網路介面。請勿覆寫管理叢集的預設值。對於工作負載叢集,可以將 CNI 設定為 antreacaliconone。Windows 不支援 calico 選項。如需詳細資訊,請參閱使用非預設 CNI 來部署叢集。若要自訂 Antrea 組態,請參閱下面的 Antrea CNI 組態
CONTROLPLANE_CERTIFICATE_ROTATION_ENABLED 選用;預設值為 false。如果您希望控制平面節點虛擬機器憑證會在憑證到期之前自動更新,請設定為 true。如需詳細資訊,請參閱控制平面節點憑證自動更新
CONTROLPLANE_CERTIFICATE_ROTATION_DAYS_BEFORE 選用;預設值為 90。如果 CONTROLPLANE_CERTIFICATE_ROTATION_ENABLEDtrue,請將憑證到期日期之前的天數設定為自動更新叢集節點憑證。如需詳細資訊,請參閱控制平面節點憑證自動更新
ENABLE_AUDIT_LOGGING 選用;預設值為 false。Kubernetes API 伺服器的稽核記錄。若要啟用稽核記錄,請設定為 true。Tanzu Kubernetes Grid 會將這些記錄寫入 /var/log/kubernetes/audit.log。如需詳細資訊,請參閱稽核記錄
啟用 Kubernetes 稽核可能會導致記錄量非常高。要處理此數量,VMware 建議使用記錄轉送器,例如 Fluent Bit。
ENABLE_AUTOSCALER 選用;預設值為 false。如果設定為 true,則必須在下方的 Cluster Autoscaler 表中設定其他變數。
ENABLE_CEIP_PARTICIPATION 選用;預設值為 true。設定為 false 時,會選擇退出 VMware 客戶經驗改進計劃。您也可以在部署管理叢集後選擇加入或退出該計劃。如需相關資訊,請參閱《管理 CEIP 參與》客戶經驗改進計劃 (「CEIP」) 中的加入或退出 VMware CEIP
ENABLE_DEFAULT_STORAGE_CLASS 選用;預設值為 true。如需儲存區類別的相關資訊,請參閱動態儲存區
ENABLE_MHC 選用;請參閱下方的機器健全狀況檢查以瞭解完整的 MHC 變數及其運作方式。
對於 vSphere with Tanzu 所建立的工作負載叢集,請將 ENABLE_MHC 設定為 false
IDENTITY_MANAGEMENT_TYPE 選用;預設值為 none

對於管理叢集:oidcldap 設定為啟用,需要其他 OIDC 或 LDAP 設定,如下方的身分識別提供者 - OIDCLDAP 表中所列。
省略或設定為 none 以停用身分識別管理。強烈建議為生產部署啟用身分識別管理。
**附注** 您不需要在工作負載叢集的組態檔中設定 OIDC 或 LDAP 設定。

INFRASTRUCTURE_PROVIDER 必要。設定為 vsphereawsazuretkg-service-vsphere
NAMESPACE 選用;預設值為 default,以將工作負載叢集部署到名為 default 的命名空間。
SERVICE_CIDR 選用;預設值為 100.64.0.0/13。要用於 Kubernetes 服務的 CIDR 範圍。僅當預設的範圍無法使用時,才變更此值。

身分識別提供者 - OIDC

如果設定 IDENTITY_MANAGEMENT_TYPE: oidc,請設定以下變數以設定 OIDC 身分識別提供者。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定身分識別管理

Tanzu Kubernetes Grid 使用 Pinniped 與 OIDC 整合,如關於身分識別和存取管理中所述。

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
CERT_DURATION 選用;預設值為 2160h。如果將 Pinniped 設為使用由 cert-manager 管理的自我簽署憑證,請設定此變數。
CERT_RENEW_BEFORE 選用;預設值為 360h。如果將 Pinniped 設為使用由 cert-manager 管理的自我簽署憑證,請設定此變數。
OIDC_IDENTITY_PROVIDER_CLIENT_ID 必要。您從 OIDC 提供者取得的 client_id 值。例如,如果您的提供者是 Okta,請登入 Okta,建立一個 Web 應用程式,然後選取 [用戶端認證 (Client Credentials)] 選項,以取得 client_idsecret。此設定將儲存在一個密鑰中,Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.client.secretName 將會參照該密鑰。
OIDC_IDENTITY_PROVIDER_CLIENT_SECRET 必要。您從 OIDC 提供者取得的 secret 值。請勿 base64 編碼此值。
OIDC_IDENTITY_PROVIDER_GROUPS_CLAIM 選用。群組宣告的名稱。這用於在 JSON Web Token (JWT) 宣告中設定使用者群組。預設值為 groups。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.claims.groups
OIDC_IDENTITY_PROVIDER_ISSUER_URL 必要。OIDC 伺服器的 IP 或 DNS 位址。此設定對應 Pinniped custom resourceOIDCIdentityProvider.spec.issuer
OIDC_IDENTITY_PROVIDER_SCOPES 必要。Token 回應中所要求的其他範圍清單 (以逗號分隔)。例如,"email,offline_access"。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.authorizationConfig.additionalScopes
OIDC_IDENTITY_PROVIDER_USERNAME_CLAIM 必要。使用者名稱宣告的名稱。這用於在 JWT 宣告中設定使用者的使用者名稱。視您的提供者而定,輸入宣告,例如 user_nameemailcode。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.claims.username
OIDC_IDENTITY_PROVIDER_ADDITIONAL_AUTHORIZE_PARAMS 選用。新增要傳送到 OIDC 身分識別提供者的自訂參數。視您的提供者而定,可能需要這些宣告才能從提供者接收重新整理 Token。例如,prompt=consent。使用逗號分隔多個值。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.authorizationConfig.additionalAuthorizeParameters
OIDC_IDENTITY_PROVIDER_CA_BUNDLE_DATA_B64 選用。Base64 編碼的 CA 服務包用於使用 OIDC 身分識別提供者建立 TLS。此設定對應 Pinniped OIDCIdentityProvider 自訂資源的 OIDCIdentityProvider.spec.tls.certificateAuthorityData
SUPERVISOR_ISSUER_URL 不修改。執行 tanzu cluster create command 命令時,將在組態檔中自動更新此變數。此設定與 Pinniped JWTAuthenticator 自訂資源中的 JWTAuthenticator.spec.audience 和 Pinniped FederationDomain 自訂資源中的 FederationDomain.spec.issuer 相對應。
SUPERVISOR_ISSUER_CA_BUNDLE_DATA_B64 不修改。執行 tanzu cluster create command 命令時,將在組態檔中自動更新此變數。此設定對應 Pinniped JWTAuthenticator 自訂資源的 JWTAuthenticator.spec.tls.certificateAuthorityData

身分識別提供者 - LDAP

如果設定 IDENTITY_MANAGEMENT_TYPE: ldap,請設定以下變數以設定 LDAP 身分識別提供者。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定身分識別管理

Tanzu Kubernetes Grid 使用 Pinniped 與 LDAP 整合,如關於身分識別和存取管理中所述。以下每個變數都與 Pinniped LDAPIdentityProvider 自訂資源中的組態設定相對應。有關這些設定的完整描述以及如何配置這些設定的資訊,請參 Pinniped 說明文件中的 LDAPIdentityProvider

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
對於與 LDAP 伺服器的連線:
LDAP_HOST 必要。LDAP 伺服器的 IP 或 DNS 位址。如果 LDAP 伺服器正在接聽預設連接埠 636 (即安全組態),則無需指定連接埠。如果 LDAP 伺服器正在接聽其他連接埠,請提供 LDAP 伺服器的位址和連接埠,格式為 "host:port"。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.host
LDAP_ROOT_CA_DATA_B64 選擇性。如果使用的是 LDAPS 端點,請貼上 LDAP 伺服器憑證的 Base64 編碼內容。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.tls.certificateAuthorityData
LDAP_BIND_DN 必要。DN 用於應用程式服務帳戶。例如,"cn=bind-user,ou=people,dc=example,dc=com"。連接器會使用這些認證來搜尋使用者和群組。此服務帳戶必須至少具有唯讀權限才能執行由其他 LDAP_* 組態選項配置的查詢。包含在 Pinniped LDAPIdentityProvider 自訂資源中的 spec.bind.secretName 密鑰中。
LDAP_BIND_PASSWORD 必要。LDAP_BIND_DN 中設定的應用程式服務帳戶的密鑰。包含在 Pinniped LDAPIdentityProvider 自訂資源中的 spec.bind.secretName 密鑰中。
對於使用者搜尋:
LDAP_USER_SEARCH_BASE_DN 必要。LDAP 搜尋的起始點。例如,OU=Users,OU=domain,DC=io。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.userSearch.base
LDAP_USER_SEARCH_FILTER 選擇性。供 LDAP 搜尋使用的選用篩選器。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.userSearch.filter。從 TKG v2.3 開始,在建立管理叢集或更新現有管理叢集的 Pinniped 套件密鑰時,您必須對此值使用 Pinniped 格式。例如,&(objectClass=posixAccount)(uid={})
LDAP_USER_SEARCH_ID_ATTRIBUTE 選擇性。包含使用者識別碼的 LDAP 屬性。預設值為 dn。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.userSearch.attributes.uid
LDAP_USER_SEARCH_NAME_ATTRIBUTE 必要。儲存使用者使用名稱的 LDAP 屬性。例如,mail。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.userSearch.attributes.username
對於群組搜尋:
LDAP_GROUP_SEARCH_BASE_DN 選擇性。LDAP 搜尋的起始點。例如,OU=Groups,OU=domain,DC=io。如果未設定,會跳過群組搜尋。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.base
LDAP_GROUP_SEARCH_FILTER 選擇性。供 LDAP 搜尋使用的選用篩選器。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.filer。從 TKG v2.3 開始,在建立管理叢集或更新現有管理叢集的 Pinniped 套件密鑰時,您必須對此值使用 Pinniped 格式。例如,&(objectClass=posixGroup)(memberUid={})
LDAP_GROUP_SEARCH_NAME_ATTRIBUTE 選擇性。保存群組名稱的 LDAP 屬性。預設值為 dn。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.attributes.groupName
LDAP_GROUP_SEARCH_USER_ATTRIBUTE 選擇性。使用者記錄的屬性,以作為群組記錄的成員資格屬性值。預設值為 dn。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.userAttributeForFilter
LDAP_GROUP_SEARCH_SKIP_ON_REFRESH 選擇性。預設值為 false。設為 true 時,使用者的群組成員資格僅在使用者每日工作階段開始時更新。建議不要將 LDAP_GROUP_SEARCH_SKIP_ON_REFRESH 設為 true,只有在無法使群組查詢足夠快以在工作階段重新整理期間執行時才應進行此設定。此設定對應 Pinniped LDAPIdentityProvider 自訂資源的 LDAPIdentityProvider.spec.groupSearch.skipGroupRefresh

節點組態

設定控制平面和工作節點,以及節點執行個體執行的作業系統。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定節點設定

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
CONTROL_PLANE_MACHINE_COUNT 選用。部署具有比 devprod 計劃預設值更多控制平面節點的工作負載叢集。您指定的控制平面節點數目必須為奇數。
CONTROL_PLANE_NODE_LABELS 僅限以類別為基礎的叢集。將自訂持續性標籤指派給控制平面節點,例如 CONTROL_PLANE_NODE_LABELS: 'key1=value1,key2=value2'。若要在以計劃為基礎的舊版叢集中設定此項,請使用 ytt 覆疊,如自訂節點標籤中所述。
工作節點標籤是在其節點集區中設定,如管理不同虛擬機器類型的節點集區中所述。
CONTROL_PLANE_NODE_NAMESERVERS 僅限 vSphere。這允許使用者指定要在控制平面節點上設定的以逗號分隔的 DNS 伺服器清單,例如 CONTROL_PLANE_NODE_NAMESERVERS: 10.132.7.1, 10.142.7.1。在 Ubuntu 和 Photon 上支援;在 Windows 上不支援。有關使用範例,請參閱下方的節點 IPAM
CONTROL_PLANE_NODE_SEARCH_DOMAINS 僅限以類別為基礎的叢集。設定叢集節點的 .local 搜尋網域,例如 CONTROL_PLANE_NODE_SEARCH_DOMAINS: corp.local。若要在 vSphere 上的以計劃為基礎的舊版叢集中設定此項,請使用 ytt 覆疊,如解析 .local 網域中所述。
CONTROLPLANE_SIZE 選用。控制平面節點虛擬機器的大小。覆寫 SIZEVSPHERE_CONTROL_PLANE_* 參數。如需可能的值,請查看 SIZE
OS_ARCH 選用。節點虛擬機器作業系統的架構。預設和目前選項為 amd64
OS_NAME 選用。節點虛擬機器作業系統。對於 Ubuntu LTS,預設值為 ubuntu。也可以是 photon (對於 vSphere 上的 Photon OS) 或 amazon (對於 AWS 上的 Amazon Linux)。
OS_VERSION 選用OS_NAME 作業系統的版本,以上版本。對於 Ubuntu,預設值為 20.04。對於 vSphere 上的 Photon,可以是 3;對於 AWS 上的 Amazon Linux,可以是 2
SIZE 選用。控制平面虛擬機器和工作節點虛擬機器的大小。覆寫 VSPHERE_CONTROL_PLANE_\*VSPHERE_WORKER_\* 參數。對於 vSphere,設定 smallmediumlargeextra-large,如預先定義的節點大小中所述。對於 AWS,設定執行個體類型,例如 t3.small。對於 Azure,設定執行個體類型,例如 Standard_D2s_v3
WORKER_MACHINE_COUNT 選用。部署具有比 devprod 計劃預設值更多工作節點的工作負載叢集。
WORKER_NODE_NAMESERVERS 僅限 vSphere。這允許使用者指定要在 worker 節點上設定的以逗號分隔的 DNS 伺服器清單,例如 WORKER_NODE_NAMESERVERS: 10.132.7.1, 10.142.7.1。在 Ubuntu 和 Photon 上支援;在 Windows 上不支援。有關使用範例,請參閱下方的節點 IPAM
WORKER_NODE_SEARCH_DOMAINS 僅限以類別為基礎的叢集。設定叢集節點的 .local 搜尋網域,例如 CONTROL_PLANE_NODE_SEARCH_DOMAINS: corp.local。若要在 vSphere 上的以計劃為基礎的舊版叢集中設定此項,請使用 ytt 覆疊,如解析 .local 網域中所述。
WORKER_SIZE 選用。工作節點虛擬機器的大小。覆寫 SIZEVSPHERE_WORKER_* 參數。如需可能的值,請查看 SIZE
CUSTOM_TDNF_REPOSITORY_CERTIFICATE (技術預覽)

選用。若您使用具有自我簽署憑證的自訂 tdnf 存放庫伺服器,而不是 Photon 預設 tdnf 存放庫伺服器,請進行設定。輸入 tdnf 存放庫伺服器的 base64 編碼憑證的內容。

它將刪除 /etc/yum.repos.d/ 下的所有存放庫,並使 TKG 節點信任該憑證。

Pod 安全性許可控制器的 Pod 安全標準

為叢集範圍的 Pod 安全性許可 (PSA) 控制器設定 Pod 安全標準。控制平面和 worker 節點,以及節點執行個體執行的作業系統。有關詳細資訊,請參閱 Pod 安全性許可控制器

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
POD_SECURITY_STANDARD_AUDIT 選用,預設值為 restricted。為叢集範圍 PSA 控制器的 audit 模式設定安全性原則。可能的值:restrictedbaselineprivileged
POD_SECURITY_STANDARD_DEACTIVATED 選用,預設值為 false。設為 true 以停用叢集範圍的 PSA。
POD_SECURITY_STANDARD_ENFORCE 選用,預設為無值。為叢集範圍 PSA 控制器的 enforce 模式設定安全性原則。可能的值:restrictedbaselineprivileged
POD_SECURITY_STANDARD_WARN 選用,預設值為 restricted。為叢集範圍 PSA 控制器的 warn 模式設定安全性原則。可能的值:restrictedbaselineprivileged

Kubernetes 調整 (以類別為基礎的叢集)

Kubernetes API 伺服器、Kubelets 和其他元件公開了各種用於調整的組態旗標,例如,用於設定加密套件以進行安全性強化的 --tls-cipher-suites 旗標、用於增加大型叢集中 etcd 逾時的 --election-timeout 旗標等。

重要

這些 Kubernetes 組態變數適用於進階使用者。VMware 不保證使用這些設定的任意組合設定的叢集功能。

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
APISERVER_EXTRA_ARGS 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的 kube-apiserver 旗標。例如,使用 APISERVER_EXTRA_ARGS: "tls-min-version=VersionTLS12;tls-cipher-suites=TLS_RSA_WITH_AES_256_GCM_SHA384" 設定加密套件
CONTROLPLANE_KUBELET_EXTRA_ARGS 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的控制平面 kubelet 旗標。例如,使用 CONTROLPLANE_KUBELET_EXTRA_ARGS: "max-pods=50" 限制控制平面網繭的數量
ETCD_EXTRA_ARGS 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的 etcd 旗標。例如,如果叢集有 500 多個節點,或者儲存區效能不佳,您可以使用 ETCD_EXTRA_ARGS: "heartbeat-interval=300;election-timeout=2000" 來增加 heartbeat-intervalelection-timeout
KUBE_CONTROLLER_MANAGER_EXTRA_ARGS 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的 kube-controller-manager 旗標。例如,使用 KUBE_CONTROLLER_MANAGER_EXTRA_ARGS: "profiling=false" 關閉效能分析
KUBE_SCHEDULER_EXTRA_ARGS 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的 kube-scheduler 旗標。例如,使用 KUBE_SCHEDULER_EXTRA_ARGS: "feature-gates=ReadWriteOncePod=true" 啟用單一網繭存取模式
WORKER_KUBELET_EXTRA_ARGS 僅限以類別為基礎的叢集。指定格式為「key1=value1;key2=value2」的工作節點 kubelet 旗標。例如,使用 WORKER_KUBELET_EXTRA_ARGS: "max-pods=50" 限制工作節點網繭的數量

Cluster Autoscaler

如果 ENABLE_AUTOSCALER 設定為 true,則以下其他變數可供設定。如需 Cluster Autoscaler 的相關資訊,請參閱調整工作負載叢集

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
AUTOSCALER_MAX_NODES_TOTAL 選用;預設值為 0。叢集、工作節點和控制平面中的最大節點總數。設定 Cluster Autoscaler 參數 max-nodes-total 的值。Cluster Autoscaler 不會嘗試將叢集調整到此限制之外。如果設定為 0,Cluster Autoscaler 將根據您設定的最小和最大 SIZE 設定做出調整決定。
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_ADD 選用;預設值為 10m。設定 Cluster Autoscaler 參數 scale-down-delay-after-add 的值。Cluster Autoscaler 在垂直擴充作業後等待,然後繼續縮減掃描的時間。
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_DELETE 選用;預設值為 10s。設定 Cluster Autoscaler 參數 scale-down-delay-after-delete 的值。Cluster Autoscaler 在刪除節點後等待,然後繼續縮減掃描的時間。
AUTOSCALER_SCALE_DOWN_DELAY_AFTER_FAILURE 選用;預設值為 3m。設定 Cluster Autoscaler 參數 scale-down-delay-after-failure 的值。Cluster Autoscaler 在縮減失敗後等待,然後繼續縮減掃描的時間。
AUTOSCALER_SCALE_DOWN_UNNEEDED_TIME 選用;預設值為 10m。設定 Cluster Autoscaler 參數 scale-down-unneeded-time 的值。在縮減符合條件的節點之前,Cluster Autoscaler 必須等待的時間。
AUTOSCALER_MAX_NODE_PROVISION_TIME 選用;預設值為 15m。設定 Cluster Autoscaler 參數 max-node-provision-time 的值。Cluster Autoscaler 等待佈建節點的時間長度上限。
AUTOSCALER_MIN_SIZE_0 必要,所有 IaaS。工作節點數目下限。Cluster Autoscaler 不會嘗試將節點縮減至此限制以下。對於 AWS 上的 prod 叢集,AUTOSCALER_MIN_SIZE_0 設定第一個 AZ 中的工作節點數目下限。如果未設定,則對於具有單一工作節點的叢集,預設為 WORKER_MACHINE_COUNT 值;對於具有多個工作節點的叢集,預設為 WORKER_MACHINE_COUNT_0 值。
AUTOSCALER_MAX_SIZE_0 必要,所有 IaaS。工作節點數目上限。Cluster Autoscaler 不會嘗試將節點垂直擴充到超出此限制。對於 AWS 上的 prod 叢集,AUTOSCALER_MAX_SIZE_0 會設定第一個 AZ 中的工作節點數目上限。如果未設定,則對於具有單一工作節點的叢集,預設為 WORKER_MACHINE_COUNT 值;對於具有多個工作節點的叢集,預設為 WORKER_MACHINE_COUNT_0 值。
AUTOSCALER_MIN_SIZE_1 必要,僅適用於 AWS 上的 prod 叢集。第二個 AZ 中的工作節點數目下限。Cluster Autoscaler 不會嘗試將節點縮減至此限制以下。如果未設定,則預設為 WORKER_MACHINE_COUNT_1 的值。
AUTOSCALER_MAX_SIZE_1 必要,僅適用於 AWS 上的 prod 叢集。第二個 AZ 中的工作節點數目上限。Cluster Autoscaler 不會嘗試將節點垂直擴充到超出此限制。如果未設定,則預設為 WORKER_MACHINE_COUNT_1 的值。
AUTOSCALER_MIN_SIZE_2 必要,僅適用於 AWS 上的 prod 叢集。第三個 AZ 中的工作節點數目下限。Cluster Autoscaler 不會嘗試將節點縮減至此限制以下。如果未設定,則預設為 WORKER_MACHINE_COUNT_2 的值。
AUTOSCALER_MAX_SIZE_2 必要,僅適用於 AWS 上的 prod 叢集。第三個 AZ 中的工作節點數目上限。Cluster Autoscaler 不會嘗試將節點垂直擴充到超出此限制。如果未設定,則預設為 WORKER_MACHINE_COUNT_2 的值。

Proxy 組態

如果您的環境受到網際網路限制或包含 Proxy,則可以選擇設定 Tanzu Kubernetes Grid,將來自 kubeletcontainerd 和控制平面的傳出 HTTP 和 HTTPS 流量傳送到 Proxy。

Tanzu Kubernetes Grid 允許為以下任一項目啟用 Proxy:

  • 對管理叢集以及一或多個工作負載叢集
  • 僅對管理叢集
  • 對一或多個工作負載叢集

如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定 Proxy

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
TKG_HTTP_PROXY_ENABLED

選用,若要將傳出 HTTP(S) 流量從管理叢集傳送至 Proxy (例如在網際網路受到限制的環境中),請將此選項設定為 true

TKG_HTTP_PROXY

選用,若要設定 Proxy,則設定此選項;若要停用個別叢集的 Proxy 組態,請將此選項設定為 ""。僅當 TKG_HTTP_PROXY_ENABLED = true 時適用。HTTP Proxy 的 URL,格式如下:PROTOCOL://USERNAME:PASSWORD@FQDN-OR-IP:PORT,其中:

  • 必要PROTOCOLhttp
  • 選用USERNAMEPASSWORD 是 HTTP Proxy 使用者名稱和密碼。如果 Proxy 需要驗證,請包含這些內容。
  • 必要FQDN-OR-IPPORT 是 HTTP Proxy 的 FQDN 或 IP 位址和連接埠號碼。

例如,http://user:[email protected]:1234http://myproxy.com:1234。如果設定 TKG_HTTP_PROXY,則必須同時設定 TKG_HTTPS_PROXY

TKG_HTTPS_PROXY 選用,如果要設定 Proxy,則設定此選項。僅當 TKG_HTTP_PROXY_ENABLED = true 時適用。HTTPS Proxy 的 URL。您可以將此變數設定為與 TKG_HTTP_PROXY 相同的值,也可以提供不同的值。URL 必須以 http:// 開頭。如果設定 TKG_HTTPS_PROXY,則必須同時設定 TKG_HTTP_PROXY
TKG_NO_PROXY

選用。僅當 TKG_HTTP_PROXY_ENABLED = true 時適用。

一或多個必須略過 HTTP(S) Proxy 的網路 CIDR 或主機名稱,以逗號分隔並列出,不含空格或萬用字元 (*)。將主機名稱尾碼列為 .example.com,而不是 *.example.com

例如,.noproxy.example.com,noproxy.example.com,192.168.0.0/24

在內部,Tanzu Kubernetes Grid 會將 localhost127.0.0.1CLUSTER_CIDRSERVICE_CIDR 的值、.svc.svc.cluster.local 附加到您在 TKG_NO_PROXY 中設定的值。它還會附加 Azure VNET CIDR 169.254.0.0/16168.63.129.16,以部署到 Azure。對於 vSphere,您必須將 VSPHERE_NETWORK 的 CIDR (包括控制平面端點的 IP 位址) 手動新增到 TKG_NO_PROXY

如果您將 VSPHERE_CONTROL_PLANE_ENDPOINT 設定為 FQDN,請同時將 FQDN 和 VSPHERE_NETWORK 新增到 TKG_NO_PROXY

重要事項:在 Tanzu Kubernetes Grid 於 Proxy 後執行的環境中,TKG_NO_PROXY 允許叢集虛擬機器直接與執行同一個 Proxy 後面的相同網路的基礎結構進行通訊。這可能包括但不限於基礎結構、OIDC 或 LDAP 伺服器、Harbor、VMware NSX 和 NSX Advanced Load Balancer (vSphere)。設定 TKG_NO_PROXY 以包括叢集必須存取但 Proxy 無法存取的所有此類端點。

TKG_PROXY_CA_CERT 選用。如果 Proxy 伺服器使用自我簽署憑證,則設定此選項。以 base64 編碼格式提供 CA 憑證,例如 TKG_PROXY_CA_CERT: "LS0t[...]tLS0tLQ==""
TKG_NODE_SYSTEM_WIDE_PROXY (技術預覽)

選用。將以下設定放入 /etc/environment/etc/profile 中:

匯出 HTTP_PROXY=$TKG_HTTP_PROXY
匯出 HTTPS_PROXY=$TKG_HTTPS_PROXY
匯出 NO_PROXY=$TKG_NO_PROXY

依預設,當使用者使用 SSH 以登入 TKG 節點並執行命令時,命令會使用所定義的變數。系統程序不受影響。

Antrea CNI 組態

如果 CNI 設定為 antrea,則設定其他選用變數。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定 Antrea CNI

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
ANTREA_DISABLE_UDP_TUNNEL_OFFLOAD 選用;預設值為 false。設定為 true 可停用 Antrea 的 UDP 總和檢查碼卸載。將此變數設定為 true 可避免底層網路和實體 NIC 網路驅動程式的已知問題。
ANTREA_EGRESS 選用;預設值為 true。啟用此變數可定義用於輸出叢集的網繭流量的 SNAT IP。如需詳細資訊,請參閱 Antrea 說明文件中的輸出
ANTREA_EGRESS_EXCEPT_CIDRS 選用。輸出的 CIDR 範圍不會為傳出網繭流量使用 SNAT。包括引號 ("")。例如,"10.0.0.0/6"
ANTREA_ENABLE_USAGE_REPORTING 選用;預設值為 false。啟用或停用使用狀況報告 (遙測)。
ANTREA_FLOWEXPORTER 選用;預設值為 false。設定為 true 以查看網路流量。流量匯出工具會定期輪詢 Conntrack 流量,並將流量匯出為 IPFIX 流量記錄。如需詳細資訊,請參閱 Antrea 說明文件中的 Antrea 中的網路流量可見度
ANTREA_FLOWEXPORTER_ACTIVE_TIMEOUT

選用;預設值為 "60s"。此變數提供作用中流量匯出逾時,即在逾時之後,將流量記錄傳送至作用中流量的收集器。包括引號 ("")。

附註:有效時間單位為 nsus (或 s)、mssmh

ANTREA_FLOWEXPORTER_COLLECTOR_ADDRESS 選用。此變數提供 IPFIX 收集器位址。包括引號 ("")。預設值為 "flow-aggregator.flow-aggregator.svc:4739:tls"。如需詳細資訊,請參閱 Antrea 說明文件中的 Antrea 中的網路流量可見度
ANTREA_FLOWEXPORTER_IDLE_TIMEOUT

選用;預設值為 "15s"。此變數提供閒置流量匯出逾時,即在逾時之後,將流量記錄傳送至閒置流量的收集器。包括引號 ("")。

附註:有效時間單位為 nsus (或 s)、mssmh

ANTREA_FLOWEXPORTER_POLL_INTERVAL

選用;預設值為 "5s"。此變數決定流量匯出工具從 Conntrack 模組傾印連線的頻率。包括引號 ("")。

附註:有效時間單位為 nsus (或 s)、mssmh

ANTREA_IPAM 選用;預設值為 false。設定為 true 以從 IPPool 配置 IP 位址。使用 IPPool CRD 定義了所需的 IP 範圍集 (選用 VLAN)。如需詳細資訊,請參閱 Antrea 說明文件中的 Antrea IPAM 功能
ANTREA_KUBE_APISERVER_OVERRIDE 選用。指定 Kubernetes API 伺服器的位址。如需詳細資訊,請參閱 Antrea 說明文件中的移除 kube-proxy
ANTREA_MULTICAST 選用;預設值為 false。設定為 true 可在叢集網路內 (網繭之間) 以及外部網路與叢集網路之間,對流量進行多點傳送。
ANTREA_MULTICAST_INTERFACES 選用。用於轉送多點傳送流量之節點上的介面名稱。包括引號 ("")。例如,"eth0"
ANTREA_NETWORKPOLICY_STATS 選用;預設值為 true。啟用此變數以收集 NetworkPolicy 統計資料。統計資料包括 NetworkPolicy 允許或拒絕的工作階段、封包和位元組總數。
ANTREA_NO_SNAT 選用;預設值為 false。設定為 true 可停用來源網路位址轉譯 (SNAT)。
ANTREA_NODEPORTLOCAL 選用;預設值為 true。設定為 false 可停用 NodePortLocal 模式。如需詳細資訊,請參閱 Antrea 說明文件中的 NodePortLocal (NPL)
ANTREA_NODEPORTLOCAL_ENABLED 選用。設定為 true 可啟用 NodePortLocal 模式,如 Antrea 說明文件中的 NodePortLocal (NPL) 中所述。
ANTREA_NODEPORTLOCAL_PORTRANGE 選用;預設值為 61000-62000。如需詳細資訊,請參閱 Antrea 說明文件中的 NodePortLocal (NPL)
ANTREA_POLICY 選用;預設值為 true。啟用或停用 Antrea 原生原則 API (特定於 Antrea 的原則 CRD)。此外,啟用此變數後,Kubernetes 網路原則的實作將保持作用中狀態。如需使用網路原則的相關資訊,請參閱 Antrea 說明文件中的 Antrea 網路原則 CRD
ANTREA_PROXY 選用;預設值為 false。啟用或停用 AntreaProxy,以取代網繭到 ClusterIP 服務流量的 kube-proxy,從而提高效能並降低延遲。請注意,kube-proxy 仍用於其他類型的服務流量。如需有關使用 Proxy 的詳細資訊,請參閱 Antrea 說明文件中的 AntreaProxy
ANTREA_PROXY_ALL 選用;預設值為 false。啟用或停用 AntreaProxy 以處理所有服務流量,包括 NodePort、LoadBalancer 和 ClusterIP 流量。若要將 kube-proxy 替換為 AntreaProxy,必須啟用 ANTREA_PROXY_ALL。如需有關使用 Proxy 的詳細資訊,請參閱 Antrea 說明文件中的 AntreaProxy
ANTREA_PROXY_LOAD_BALANCER_IPS 選用;預設值為 true。設定為 false 可將負載平衡流量導向到外部 LoadBalancer。
ANTREA_PROXY_NODEPORT_ADDRS 選用NodePort 的 IPv4 或 IPv6 位址。包括引號 ("")。
ANTREA_PROXY_SKIP_SERVICES 選用。可用於指示 AntreaProxy 應忽略的服務清單的字串值陣列。這些服務的流量將不會進行負載平衡。包括引號 ("")。例如,有效的 ClusterIP (如 10.11.1.2) 或具有命名空間的服務名稱 (如 kube-system/kube-dns) 是有效值。如需詳細資訊,請參閱 Antrea 說明文件中的特殊使用案例
ANTREA_SERVICE_EXTERNALIP 選用;預設值為 false。設定為 true 可啟用控制器從 `ExternalIPPool` 資源中為類型為 `LoadBalancer` 的服務配置外部 IP。如需如何實作 `LoadBalancer` 類型的服務的詳細資訊,請參閱 Antrea 說明文件中的 LoadBalancer 類型的服務
ANTREA_TRACEFLOW 選用;預設值為 true。如需使用 Traceflow 的相關資訊,請參閱 Antrea 說明文件中的 Traceflow 使用者指南
ANTREA_TRAFFIC_ENCAP_MODE

選用;預設值為 "encap"。設定為 noEncaphybridNetworkPolicyOnly。如需使用 NoEncap 或混合流量模式的相關資訊,請參閱 Antrea 說明文件中的 NoEncap 和 Antrea 的混合流量模式

注意:noEncaphybrid 模式需要對節點網路進行特定設定,防止它們停用節點之間的網繭通訊。

noEncap 模式僅在 vSphere 上受支援,並且可以停用節點之間的網繭通訊。在網繭需要跨節點通訊的叢集中,請勿將 ANTREA_TRAFFIC_ENCAP_MODE 設定為 noEncap

ANTREA_TRANSPORT_INTERFACE 選用。節點上用於透過通道傳輸或路由流量的介面的名稱。包括引號 ("")。例如,"eth0"
ANTREA_TRANSPORT_INTERFACE_CIDRS 選用。節點上用於通道傳輸或路由流量的介面的網路 CIDR。包括引號 ("")。例如,"10.0.0.2/24"

機器健全狀況檢查

如果要為管理和工作負載叢集設定機器健全狀況檢查,請設定以下變數。如需詳細資訊,請參閱〈建立管理叢集組態檔〉中的設定機器健全狀況檢查。如需如何在部署叢集後執行機器健全狀況檢查作業的相關資訊,請參閱為工作負載叢集設定機器健全狀況檢查

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
ENABLE_MHC 以類別為基礎:✖
以計劃為基礎:✔
選用,設定為 truefalse 以在目標管理叢集或工作負載叢集的控制平面和工作節點上啟用或停用 MachineHealthCheck 控制器。或者為控制平面和工作節點保留空白,並另行設定 ENABLE_MHC_CONTROL_PLANEENABLE_MHC_WORKER_NODE。預設為空白。
控制器提供機器健全狀況監控和自動修復。
對於 vSphere with Tanzu 所建立的工作負載叢集,請設定為 false
ENABLE_MHC_CONTROL_PLANE 選用;預設值為 true。如需詳細資訊,請參閱下方資料表。
ENABLE_MHC_WORKER_NODE 選用;預設值為 true。如需詳細資訊,請參閱下方資料表。
MHC_MAX_UNHEALTHY_CONTROL_PLANE 可選;僅限以類別為基礎的叢集。預設值為 100%。如果狀況不良的機器數量超過您設定的值,則 MachineHealthCheck 控制器不會執行修復。
MHC_MAX_UNHEALTHY_WORKER_NODE 可選;僅限以類別為基礎的叢集。預設值為 100%。如果狀況不良的機器數量超過您設定的值,則 MachineHealthCheck 控制器不會執行修復。
MHC_FALSE_STATUS_TIMEOUT 以類別為基礎:✖
以計劃為基礎:✔
選用;預設值為 12m。在將 MachineHealthCheck 控制項視為狀況不良並重新建立之前,允許節點的 Ready 狀況保持 False 的時間。
MHC_UNKNOWN_STATUS_TIMEOUT 選用;預設值為 5m。在將 MachineHealthCheck 控制項視為狀況不良並重新建立之前,允許節點的 Ready 狀況保持 Unknown 的時間。
NODE_STARTUP_TIMEOUT 選用;預設值為 20mMachineHealthCheck 控制器在將機器視為狀況不良並重新建立之前,等待節點加入叢集的時間。

使用下表確定如何設定 ENABLE_MHCENABLE_MHC_CONTROL_PLANEENABLE_MHC_WORKER_NODE 變數。

ENABLE_MHC 的值 ENABLE_MHC_CONTROL_PLANE 的值 ENABLE_MHC_WORKER_NODE 的值 是否已啟用控制平面修復? 是否已啟用工作節點修復?
true / Emptytrue / Emptytrue / Emptytrue / Emptytrue / Emptytrue / Emptytrue / Emptytrue / 空白 true / false / 空白 true / false / 空白
false true / 空白 true / 空白
false true / 空白 false
false false true / 空白

私人映像存儲庫組態

如果在未連線到網際網路的環境中部署 Tanzu Kubernetes Grid 管理叢集和 Kubernetes 叢集,則需要在防火牆內設定私人映像存放庫,並在其中填入 Tanzu Kubernetes Grid 映像。有關設定私人映像存放庫的資訊,請參閱準備網際網路受限的環境

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
ADDITIONAL_IMAGE_REGISTRY_1ADDITIONAL_IMAGE_REGISTRY_2ADDITIONAL_IMAGE_REGISTRY_3 僅限以類別為基礎的工作負載和獨立管理叢集。除了由 TKG_CUSTOM_IMAGE_REPOSITORY 設定的主映像登錄以外,工作負載叢集節點最多可存取三個受信任的私人登錄 IP 位址或 FQDN。請參閱以類別為基礎的叢集的受信任登錄
ADDITIONAL_IMAGE_REGISTRY_1_CA_CERTIFICATEADDITIONAL_IMAGE_REGISTRY_2_CA_CERTIFICATEADDITIONAL_IMAGE_REGISTRY_3_CA_CERTIFICATE 僅限以類別為基礎的工作負載和獨立管理叢集。CA 憑證採用 base64 編碼格式的私人映像登錄,使用上述 ADDITIONAL_IMAGE_REGISTRY-* 設定。例如 ADDITIONAL_IMAGE_REGISTRY_1_CA_CERTIFICATE: "LS0t[...]tLS0tLQ=="..
ADDITIONAL_IMAGE_REGISTRY_1_SKIP_TLS_VERIFYADDITIONAL_IMAGE_REGISTRY_2_SKIP_TLS_VERIFYADDITIONAL_IMAGE_REGISTRY_3_SKIP_TLS_VERIFY 僅限以類別為基礎的工作負載和獨立管理叢集。對於使用上述 ADDITIONAL_IMAGE_REGISTRY-* 配置且使用自我簽署憑證但不使用 ADDITIONAL_IMAGE_REGISTRY_*_CA_CERTIFICATE 的任何專用映像登錄,設為 true。由於 Tanzu 連線 Webhook 將 Harbor CA 憑證插入叢集節點,因此在使用 Harbor 時,應始終將 ADDITIONAL_IMAGE_REGISTRY_*_SKIP_TLS_VERIFY 設定為 false
TKG_CUSTOM_IMAGE_REPOSITORY 如果在網際網路受限的環境中部署 Tanzu Kubernetes Grid,則該欄位為必要。提供包含叢集啟動載入來源 TKG 系統映像的私人登錄 IP 位址或 FQDN,以下稱為主映像登錄。例如,custom-image-repository.io/yourproject
TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY 選用。如果私人主映像登錄使用自我簽署憑證,而不使用 TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE,則設為 true。由於 Tanzu 連線 Webhook 將 Harbor CA 憑證插入叢集節點,因此在使用 Harbor 時,應始終將 TKG_CUSTOM_IMAGE_REPOSITORY_SKIP_TLS_VERIFY 設定為 false
TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE 選用。如果私人主映像登錄使用自我簽署憑證,則設定此選項。以 base64 編碼格式提供 CA 憑證,例如 TKG_CUSTOM_IMAGE_REPOSITORY_CA_CERTIFICATE: "LS0t[...]tLS0tLQ=="

vSphere

下表中的選項是將工作負載叢集部署到 vSphere 時,在叢集組態檔中指定的最少選項。其中用於部署該叢集的工作負載叢集和管理叢集的大多數選項是相同的。

如需有關 vSphere 組態檔的詳細資訊,請參閱 vSphere 的管理叢集組態將工作負載叢集部署到 vSphere

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
DEPLOY_TKG_ON_VSPHERE7 選用。如果部署到 vSphere 7 或 8,請設定為 true 可略過有關在 vSphere 7 或 8 上部署的提示,或設定為 false。請參閱 vSphere with Tanzu 上的管理叢集
ENABLE_TKGS_ON_VSPHERE7 選用,如果部署到 vSphere 7 或 8,請設定為 true 以重新導向至 vSphere with Tanzu 啟用 UI 頁面,或者 false。請參閱 vSphere with Tanzu 上的管理叢集
NTP_SERVERS 僅限以類別為基礎的叢集。如果要在缺少 DHCP 選項 42 (例如,NTP_SERVERS: time.google.com) 的 vSphere 環境中部署叢集,請設定叢集的 NTP 伺服器。若要在以計劃為基礎的舊版叢集中設定此項,請使用 ytt 覆疊,如在沒有 DHCP 選項 42 的情況下設定 NTP (vSphere) 中所述。
TKG_IP_FAMILY 選用。若要將叢集部署到使用純 IPv6 的 vSphere 7 或 8,請設定為 ipv6。有關雙重堆疊網路 (實驗性),請參閱雙重堆疊叢集
VIP_NETWORK_INTERFACE 選用。設定為 eth0eth1 等。網路介面名稱,例如乙太網路介面。預設值為 eth0
VSPHERE_AZ_CONTROL_PLANE_MATCHING_LABELS 對於部署到多個 AZ 的叢集,設定金鑰/值選擇器標籤,用於指定可能部署叢集控制平面節點的 AZ。這樣,您可以設定節點,例如,在指定區域和環境中的所有 AZ 中執行,而無需單獨列出 AZ,例如:"region=us-west-1,environment=staging"。請參閱在多個可用區域之間執行叢集
VSPHERE_CONTROL_PLANE_DISK_GIB 選用。控制平面節點虛擬機器的磁碟大小 (以 GB 為單位)。包括引號 ("")。例如,"30"
VSPHERE_AZ_0VSPHERE_AZ_1VSPHERE_AZ_2 選用 叢集中的機器部署將部署到的部署區域。請參閱在多個可用區域之間執行叢集
VSPHERE_CONTROL_PLANE_ENDPOINT Kube-Vip 的必要項目。對於向叢集發出的 API 要求,靜態虛擬 IP 位址或對應到靜態位址的完整網域名稱 (FQDN)。如果要將 Kube-Vip 用於您的 API 伺服器端點,則需要這項設定,設定方法是將 AVI_CONTROL_PLANE_HA_PROVIDER 設定為 false
,如果您使用 NSX Advanced Load Balancer,則可設定 AVI_CONTROL_PLANE_HA_PROVIDER: true;您可以:
  • 如果不需要特定位址作為控制平面端點,請將此欄位保留空白
  • 將此設定為 IPAM 設定檔的 VIP 網路範圍內的特定位址,然後手動將該位址新增至靜態 IP 集區
  • 將此欄位設定為 FQDN
VSPHERE_CONTROL_PLANE_ENDPOINT_PORT 選用,如果要在 vSphere with NSX Advanced Load Balancer 上覆寫部署的 Kubernetes API 伺服器連接埠,則設定此選項。預設連接埠為 6443。若要在沒有 NSX Advanced Load Balancer 的 vSphere 上覆寫部署的 Kubernetes API 伺服器連接埠,請設定 CLUSTER_API_SERVER_PORT
VSPHERE_CONTROL_PLANE_MEM_MIB 選用。控制平面節點虛擬機器的記憶體數量 (以 MB 為單位)。包括引號 ("")。例如,"2048"
VSPHERE_CONTROL_PLANE_NUM_CPUS 選用。控制平面節點虛擬機器的 CPU 數目。包括引號 ("")。至少應為 2。例如,"2"
VSPHERE_DATACENTER 必要。要在其中部署叢集的資料中心的名稱,如 vSphere 詳細目錄中顯示的名稱。例如,/MY-DATACENTER
VSPHERE_DATASTORE 必要。叢集要使用的 vSphere 資料存放區的名稱,如 vSphere 詳細目錄中所示。例如,/MY-DATACENTER/datastore/MyDatastore
VSPHERE_FOLDER 必要。要在其中放置 Tanzu Kubernetes Grid 虛擬機器的現有虛擬機器資料夾的名稱,如 vSphere 詳細目錄中顯示的名稱。例如,如果建立了名為 TKG 的資料夾,則路徑為 /MY-DATACENTER/vm/TKG
VSPHERE_INSECURE 選用。設定為 true,略過指紋驗證。如果為 false,請設定 VSPHERE_TLS_THUMBPRINT
VSPHERE_MTU 選用。為 vSphere Standard 交換器上的管理叢集節點和工作負載叢集節點設定傳輸單元最大值 (MTU) 的大小。如果未設定,則預設值為1500。最大值為 9000。請參閱設定叢集節點 MTU
VSPHERE_NETWORK 必要。要用作 Kubernetes 服務網路的現有 vSphere 網路的名稱,如 vSphere 詳細目錄中所示。例如,VM Network
VSPHERE_PASSWORD 必要。vSphere 使用者帳戶的密碼。執行 tanzu cluster create 時,此值採用 base64 編碼。
VSPHERE_REGION 選用。vCenter 中的區域標籤,用於在具有多個資料中心或主機叢集的環境中指派 CSI 儲存區。請參閱使用 CSI 的地區和區域標籤來部署叢集
VSPHERE_RESOURCE_POOL 必要。要在其中放置此 Tanzu Kubernetes Grid 執行個體的現有資源集區的名稱,如 vSphere 詳細目錄中所示。若要使用叢集的根資源集區,請輸入完整路徑,例如,對於資料中心 MY-DATACENTER 中名為 cluster0 的叢集,完整路徑為 /MY-DATACENTER/host/cluster0/Resources
VSPHERE_SERVER 必要。要在其上部署工作負載叢集的 vCenter Server 執行個體的 IP 位址或 FQDN。
VSPHERE_SSH_AUTHORIZED_KEY 必要。貼上您在將管理叢集部署到 vSphere 中建立的 SSH 公開金鑰的內容。例如,"ssh-rsa NzaC1yc2EA [...] hnng2OYYSl+8ZyNz3fmRGX8uPYqw== [email protected]".
VSPHERE_STORAGE_POLICY_ID 選用。管理叢集的虛擬機器儲存區原則的名稱,如原則和設定檔 (Policies and Profiles) > 虛擬機器儲存區原則 (VM Storage Policies) 中所示。
如果設定了 VSPHERE_DATASTORE,則必須將其包含在儲存區原則中。否則,叢集建立程序會選擇與原則相容的資料存放區。
VSPHERE_TEMPLATE 選用。如果要對同一個 Kubernetes 版本使用多個自訂 OVA 映像 (格式為 /MY-DC/vm/MY-FOLDER-PATH/MY-IMAGE),請指定 OVA 檔案的路徑。如需詳細資訊,請參閱使用自訂 OVA 映像來部署叢集
VSPHERE_TLS_THUMBPRINT 如果 VSPHERE_INSECUREfalse,則此欄位為必要。vCenter Server 憑證的指紋。如需如何取得 vCenter Server 憑證指紋的相關資訊,請參閱取得 vSphere 憑證指紋。如果使用者要透過將 VSPHERE_INSECURE 設定為 true 來使用不安全的連線,則可以略過此值。
VSPHERE_USERNAME 必要。具有 Tanzu Kubernetes Grid 作業所需權限的 vSphere 使用者帳戶,包括網域名稱。例如,[email protected]
VSPHERE_WORKER_DISK_GIB 選用。工作節點虛擬機器的磁碟大小 (以 GB 為單位)。包括引號 ("")。例如,"50"
VSPHERE_WORKER_MEM_MIB 選用。工作節點虛擬機器的記憶體數量 (以 MB 為單位)。包括引號 ("")。例如,"4096"
VSPHERE_WORKER_NUM_CPUS 選用。工作節點虛擬機器的 CPU 數目。包括引號 ("")。至少應為 2。例如,"2"
VSPHERE_ZONE 選用。vCenter 中的區域標籤,用於在具有多個資料中心或主機叢集的環境中指派 CSI 儲存區。請參閱使用 CSI 的地區和區域標籤來部署叢集

Kube-VIP 負載平衡器 (技術預覽)

如需如何將 Kube-VIP 設定為 L4 負載平衡器服務的相關資訊,請參閱 Kube-VIP 負載平衡器

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
KUBEVIP_LOADBALANCER_ENABLE 選用;預設值為 false。設定為 truefalse。啟用 Kube-VIP 作為工作負載的負載平衡器。如果為 true,則必須設定以下其中一個變數。
KUBEVIP_LOADBALANCER_IP_RANGES 對於 LoadBalancer 類型的服務 IP,所要配置的 IP 範圍清單 (不重疊)。例如:10.0.0.1-10.0.0.23,10.0.2.1-10.0.2.24
KUBEVIP_LOADBALANCER_CIDRS 對於 LoadBalancer 類型的服務 IP,所要配置的 CIDR 清單 (不重疊)。例如:10.0.0.0/24,10.0.2/24。覆寫 KUBEVIP_LOADBALANCER_IP_RANGES 的設定。

NSX Advanced Load Balancer

如需如何部署 NSX Advanced Load Balancer 的相關資訊,請參閱安裝 NSX Advanced Load Balancer

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
AVI_ENABLE 選用;預設值為 false。設定為 truefalse。啟用 NSX Advanced Load Balancer 作為工作負載的負載平衡器。如果設定為 true,則必須設定下方 NSX Advanced Load Balancer 中列出的必要變數。
AVI_ADMIN_CREDENTIAL_NAME 選用;預設值為 avi-controller-credentials。包含 NSX Advanced Load Balancer 控制器管理員使用者名稱和密碼的 Kubernetes 密碼的名稱。
AVI_AKO_IMAGE_PULL_POLICY 選用;預設值為 IfNotPresent
AVI_CA_DATA_B64 必要。用於對控制器憑證進行簽署的控制器憑證授權機構的內容。必需為 base64 編碼。擷取未編碼的自訂憑證內容,如 Avi 控制器設定:自訂憑證中所述。
AVI_CA_NAME 選用;預設值為 avi-controller-ca。持有 NSX Advanced Load Balancer Controller 憑證授權機構的 Kubernetes 密碼的名稱。
AVI_CLOUD_NAME 必要。在 NSX Advanced Load Balancer 部署中建立的雲端。例如,Default-Cloud
AVI_CONTROLLER 必要。NSX Advanced Load Balancer 控制器的 IP 或主機名稱。
AVI_CONTROL_PLANE_HA_PROVIDER 必要。設定為 true 可啟用 NSX Advanced Load Balancer 作為控制平面 API 伺服器端點,或者設定為 false 可使用 Kube-Vip 作為控制平面端點。
AVI_CONTROL_PLANE_NETWORK 選用。定義工作負載叢集控制平面的 VIP 網路。如果要為工作負載叢集設定單獨的 VIP 網路,請使用此欄位。此欄位為選用欄位,如果保留空白,它將使用與 AVI_DATA_NETWORK 相同的網路。
AVI_CONTROL_PLANE_NETWORK_CIDR 選用;預設值是與 AVI_DATA_NETWORK_CIDR 相同的網路。要用於工作負載叢集控制平面的子網 CIDR。如果要為工作負載叢集設定單獨的 VIP 網路,請使用此欄位。您可以在 NSX Advanced Load Balancer 介面的基礎結構 - 網路 (Infrastructure - Networks) 視圖中查看特定網路的子網路 CIDR。
AVI_DATA_NETWORK 必要。將浮動 IP 子網或 IP 集區指派給負載平衡器的網路名稱,以傳輸工作負載叢集上主控應用程式的流量。此網路必須與 Tanzu Kubernetes Grid 使用的 Kubernetes 網路位於您在 SERVICE_CIDR 變數中指定的相同 vCenter Server 執行個體中。這可讓 NSX Advanced Load Balancer 在 vCenter Server 中探索 Kubernetes 網路,並部署及設定服務引擎。
AVI_DATA_NETWORK_CIDR 必要。要用於負載平衡器 VIP 的子網路的 CIDR。這來自其中一個 VIP 網路的已設定子網。您可以在 NSX Advanced Load Balancer 介面的基礎結構 - 網路 (Infrastructure - Networks) 視圖中查看特定網路的子網路 CIDR。
AVI_DISABLE_INGRESS_CLASS 選用;預設值為 false。停用入口類別。
AVI_DISABLE_STATIC_ROUTE_SYNC 選用;預設值為 false。如果可從 NSX ALB 服務引擎存取網繭網路,則設定為 true
AVI_INGRESS_DEFAULT_INGRESS_CONTROLLER 選用;預設值為 false。使用 AKO 作為預設入口控制器。
附註:此變數在 TKG v2.3 中不起作用。如需因應措施,請參見版本資訊中的 某些 NSX ALB 組態變數不起作用的已知問題。
AVI_INGRESS_NODE_NETWORK_LIST 指定節點所屬的連接埠群組 (PG) 網路的名稱,以及 CNI 配置給每個節點的關聯 CIDR,以便該節點指派給其網繭。最好在 AKODeploymentConfig 檔案中對此進行更新,請參閱 ClusterIP 模式中的 L7 入口,但如果確實使用叢集組態檔,格式類似於:'[{"networkName": "vsphere-portgroup","cidrs": ["100.64.42.0/24"]}]'
AVI_INGRESS_SERVICE_TYPE 選用。指定 AKO 是在 ClusterIPNodePortNodePortLocal 模式下執行。預設值為 NodePort
AVI_INGRESS_SHARD_VS_SIZE 選用。AKO 對第 7 層入口物件使用分區邏輯。分區 VS 涉及託管由一個虛擬 IP 或 VIP 託管的多個不安全或安全入口。設定為 LARGEMEDIUMSMALL。預設值 SMALL。使用此值來控制第 7 層 VS 編號。這適用於安全/不安全的 VS,但不適用於傳遞。
AVI_LABELS 選用。設定後,僅在具有此標籤的工作負載叢集上啟用 NSX Advanced Load Balancer。包括引號 ("")。例如,AVI_LABELS: "{foo: 'bar'}"
AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_CIDR 選用。要用於管理叢集控制平面的子網的 CIDR。當您想要為管理叢集的控制平面設定單獨的 VIP 網路時使用。您可以在 NSX Advanced Load Balancer 介面的基礎結構 - 網路 (Infrastructure - Networks) 視圖中查看特定網路的子網路 CIDR。此欄位為選用欄位,如果保留空白,它將使用與 AVI_DATA_NETWORK_CIDR 相同的網路。
AVI_MANAGEMENT_CLUSTER_CONTROL_PLANE_VIP_NETWORK_NAME 選用。定義管理叢集控制平面的 VIP 網路。當您想要為管理叢集的控制平面設定單獨的 VIP 網路時使用。此欄位為選用欄位,如果保留空白,它將使用與 AVI_DATA_NETWORK 相同的網路。
AVI_MANAGEMENT_CLUSTER_SERVICE_ENGINE_GROUP 選用。指定要由管理叢集中的 AKO 使用的服務引擎群組的名稱。此欄位為選用欄位,如果保留空白,它將使用與 AVI_SERVICE_ENGINE_GROUP 相同的網路。
AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_NAME 選用;預設值是與 AVI_DATA_NETWORK 相同的網路。將浮動 IP 子網或 IP 集區指派給管理叢集和工作負載叢集控制平面的負載平衡器 (如果使用 NSX ALB 提供控制平面 HA) 的網路名稱。此網路必須與Tanzu Kubernetes Grid使用的 Kubernetes 網路 (您在管理叢集的「SERVICE_CIDR」變數中指定的) 位於相同的 vCenter Server 實例中。這可讓 NSX Advanced Load Balancer 在 vCenter Server 中探索 Kubernetes 網路,並部署及設定服務引擎。
AVI_MANAGEMENT_CLUSTER_VIP_NETWORK_CIDR 選用;預設值是與 AVI_DATA_NETWORK_CIDR 相同的網路。要用於管理叢集和工作負載叢集的控制平面 (如果使用 NSX ALB 來提供控制平面 HA) 負載平衡器 VIP 的子網 CIDR。這來自其中一個 VIP 網路的已設定子網。您可以在 NSX Advanced Load Balancer 介面的基礎結構 - 網路 (Infrastructure - Networks) 視圖中查看特定網路的子網路 CIDR。
AVI_NAMESPACE 選用;預設值為 "tkg-system-networking"。AKO Operator 的命名空間。
AVI_NSXT_T1LR 選用。在 AVI 控制器 UI 的 NSX Cloud 下,為管理叢集設定的 NSX T1 路由器路徑。當您在 NSX ALB 控制器上使用 NSX 雲端時,需要使用此項。
若要對工作負載叢集使用不同的 T1,請在建立管理叢集後,修改 AKODeploymentConfig 物件 install-ako-for-all
AVI_PASSWORD 必要。部署時為控制器管理員設定的密碼。
AVI_SERVICE_ENGINE_GROUP 必要。服務引擎群組的名稱。例如,Default-Group
AVI_USERNAME 必要。部署控制器主機時為其設定的管理員使用者名稱。

NSX 網繭路由

這些變數設定可路由 IP 位址工作負載網繭,如使用可路由 IP 網繭來部署叢集中所述。所有字串類型設定都應採用雙引號,例如,"true"

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
NSXT_POD_ROUTING_ENABLED 選用;預設值為 "false"。設定為 "true" 時,會使用以下變數來啟用 NSX 可路由的網繭。請參閱使用可路由的 IP 網繭來部署叢集
NSXT_MANAGER_HOST 如果 NSXT_POD_ROUTING_ENABLED= "true",則為必要
NSX Manager 的 IP 位址。
NSXT_ROUTER_PATH 如果 NSXT_POD_ROUTING_ENABLED= "true",則為必要。NSX Manager 中顯示的 T1 路由器路徑。
對於 NSX 的使用者名稱/密碼驗證:
NSXT_USERNAME 用於登入 NSX Manager 的使用者名稱。
NSXT_PASSWORD 用於登入 NSX Manager 的密碼。
若要使用認證對 NSX 進行驗證並將其儲存在 Kubernetes 密碼中 (也設定了上述 NSXT_USERNAMENSXT_PASSWORD):
NSXT_SECRET_NAMESPACE 選用;預設值為 "kube-system"。密碼包含 NSX 使用者名稱和密碼的命名空間。
NSXT_SECRET_NAME 選用;預設值為 "cloud-provider-vsphere-nsxt-credentials"。包含 NSX 使用者名稱和密碼的密碼的名稱。
對於 NSX 的憑證驗證:
NSXT_ALLOW_UNVERIFIED_SSL 選用;預設值為 false。如果 NSX 使用自我簽署憑證,請將此選項設定為 "true"
NSXT_ROOT_CA_DATA_B64 如果 NSXT_ALLOW_UNVERIFIED_SSL= "false",則為必要
NSX 用於 LDAP 驗證的 Base64 編碼憑證授權機構根憑證字串。
NSXT_CLIENT_CERT_KEY_DATA 本機用戶端憑證的 Base64 編碼憑證金鑰檔案字串。
NSXT_CLIENT_CERT_DATA 本機用戶端憑證的 Base64 編碼憑證檔案字串。
若要在 VMware Cloud (VMC) 上對 NSX with VMware Identity Manager 進行遠端驗證,請設定下列內容:
NSXT_REMOTE_AUTH 選用;預設值為 false。將此選項設定為 "true",以便在 VMware Cloud (VMC) 對 NSX with VMware Identity Manager 進行遠端驗證。
NSXT_VMC_AUTH_HOST 選用;預設值為空白。VMC 驗證主機。
NSXT_VMC_ACCESS_TOKEN 選用;預設值為空白。VMC 驗證存取 Token。

節點 IPAM

這些變數設定叢集內 IP 位址管理 (IPAM),如節點 IPAM 中所述。所有字串類型設定都應採用雙引號,例如,"true"

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
CONTROL_PLANE_NODE_NAMESERVERS 以逗號分隔的名稱伺服器清單,例如,"10.10.10.10",用於節點 IPAM 管理的控制平面節點位址。在 Ubuntu 和 Photon 上支援;在 Windows 上不支援。
NODE_IPAM_IP_POOL_APIVERSION 工作負載叢集使用的 InClusterIPPool 物件的 API 版本。預設值為 "ipam.cluster.x-k8s.io/v1alpha2";以前的 TKG 版本使用 v1alpha1
NODE_IPAM_IP_POOL_KIND 工作負載叢集使用的 IP 集區物件的類型。預設為 "InClusterIPPool",也可以設為 "GlobalInClusterIPPool" 與其他叢集共用同一集區。
NODE_IPAM_IP_POOL_NAME 設定工作負載叢集使用的 IP 集區的 IP 集區物件名稱。
WORKER_NODE_NAMESERVERS 以逗號分隔的名稱伺服器清單,例如,"10.10.10.10",用於節點 IPAM 管理的 worker 節點位址。在 Ubuntu 和 Photon 上支援;在 Windows 上不支援。
MANAGEMENT_NODE_IPAM_IP_POOL_GATEWAY 管理叢集中 IPAM 集區位址的預設閘道,例如「10.10.10.1」。
MANAGEMENT_NODE_IPAM_IP_POOL_ADDRESSES 可用於 IPAM 在管理叢集中分配的位址,以逗號分隔的清單,可以包含單個 IP 位址、範圍 (例如,10.0.0.2-10.0.0.100) 或 CIDR (例如,10.0.0.32/27)。
根據叢集升級需要,請包含額外的)位址以保持未使用狀態。所需的額外地址數預設為 1,由叢集對象規格的 topology.controlPlanetopology.workers 定義中的註釋 topology.cluster.x-k8s.io/upgrade-concurrency 設定。
MANAGEMENT_NODE_IPAM_IP_POOL_SUBNET_PREFIX 獨立管理叢集中 IPAM 集區位址的子網路的網路前置詞,例如,"24"

啟用了 GPU 的叢集

這些變數在 PCI 傳遞模式下設定啟用了 GPU 的工作負載叢集,如部署啟用了 GPU 的工作負載叢集中所述。所有字串類型設定都應採用雙引號,例如,"true"

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
VSPHERE_CONTROL_PLANE_CUSTOM_VMX_KEYS 在所有控制平面機器上設定自訂 VMX 金鑰。使用格式 Key1=Value1,Key2=Value2。請參閱部署啟用了 GPU 的工作負載叢集
VSPHERE_CONTROL_PLANE_HARDWARE_VERSION GPU 裝置處於 PCI 傳遞模式的控制平面虛擬機器的硬體版本。所需的最低版本為 17。該值的格式為 vmx-17,其中結尾數字是虛擬機器的硬體版本。有關不同硬體版本的功能支援,請參閱 vSphere 說明文件中的透過虛擬機器相容性設定可用的硬體功能
VSPHERE_CONTROL_PLANE_PCI_DEVICES 在所有控制平面機器上設定 PCI 傳遞。使用 <vendor_id>:<device_id> 格式。例如,VSPHERE_WORKER_PCI_DEVICES: "0x10DE:0x1EB8"。若要尋找廠商和裝置識別碼,請參閱部署啟用了 GPU 的工作負載叢集
VSPHERE_IGNORE_PCI_DEVICES_ALLOW_LIST 如果要使用 NVIDIA Tesla T4 GPU,則設定為 false; 如果要使用 NVIDIA V100 GPU,則設定為 true
VSPHERE_WORKER_CUSTOM_VMX_KEYS 在所有工作機器上設定自訂 VMX 金鑰。使用格式 Key1=Value1,Key2=Value2。如需範例,請參閱部署啟用了 GPU 的工作負載叢集
VSPHERE_WORKER_HARDWARE_VERSION GPU 裝置處於 PCI 傳遞模式的工作虛擬機器的硬體版本。所需的最低版本為 17。該值的格式為 vmx-17,其中結尾數字是虛擬機器的硬體版本。有關不同硬體版本的功能支援,請參閱 vSphere 說明文件中的透過虛擬機器相容性設定可用的硬體功能
VSPHERE_WORKER_PCI_DEVICES 在所有工作機器上設定 PCI 傳遞。使用 <vendor_id>:<device_id> 格式。例如,VSPHERE_WORKER_PCI_DEVICES: "0x10DE:0x1EB8"。若要尋找廠商和裝置識別碼,請參閱部署啟用了 GPU 的工作負載叢集
WORKER_ROLLOUT_STRATEGY 選擇性。設定 MachineDeployment 推出政策。預設值為 RollingUpdate。如果設定為 OnDelete,則在更新時,會先刪除現有的工作機器,之後再建立替換的工作機器。如果工作節點在使用所有可用的 PCI 裝置,則必須將此設定為 OnDelete

AWS

下表中的變數是將工作負載叢集部署到 AWS 時,在叢集組態檔中指定的選項。其中用於部署該叢集的工作負載叢集和管理叢集的許多選項是相同的。

如需有關 AWS 組態檔的詳細資訊,請參閱管理 AWS 的叢集組態AWS 叢集組態檔

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
AWS_ACCESS_KEY_ID 選用。AWS 帳戶的存取金鑰識別碼。這是一個用於對 AWS 進行驗證的選項。請參閱設定 AWS 帳戶認證
只能使用 AWS_PROFILEAWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY 的組合,但不能同時使用兩者。
AWS_CONTROL_PLANE_OS_DISK_SIZE_GIB 選用。控制平面節點的磁碟大小。覆寫由 CONTROL_PLANE_MACHINE_TYPESIZECONTROLPLANE_SIZE 設定的虛擬機器類型的預設磁碟大小。
AWS_LOAD_BALANCER_SCHEME_INTERNAL 選用。對於管理叢集,將負載平衡器配置設定為內部,從而阻止透過網際網路進行存取。對於工作負載叢集, 可確保管理叢集在共用 VPC 或對等時,于內部存取工作負載叢集的負載平衡器。請參閱將內部負載平衡器用於 Kubernetes API 伺服器
AWS_NODE_AZ 必要。所選區域中要用作此管理叢集可用區域的 AWS 可用區域的名稱。可用區域名稱與 AWS 區域名稱相同,具有單一小寫字母尾碼,例如 abc。例如,us-west-2a。若要部署具有三個控制平面節點的 prod 管理叢集,也必須設定 AWS_NODE_AZ_1AWS_NODE_AZ_2。其中每個可用區域中的字母尾碼必須是唯一的。例如,us-west-2aus-west-2bus-west-2c
AWS_NODE_OS_DISK_SIZE_GIB 選用。工作節點的磁碟大小。覆寫由 NODE_MACHINE_TYPESIZEWORKER_SIZE 設定的虛擬機器類型的預設磁碟大小。
AWS_NODE_AZ_1AWS_NODE_AZ_2 選用。如果要部署具有三個控制平面節點的 prod 管理叢集,請設定這些變數。兩個可用區域必須與 AWS_NODE_AZ 位於相同的區域中。如需詳細資訊,請參閱上方的 AWS_NODE_AZ。例如,us-west-2aap-northeast-2b 等。
AWS_PRIVATE_NODE_CIDR_1 選用。如果建議的範圍 10.0.2.0/24 不可用,請以 CIDR 格式輸入其他 IP 範圍。Tanzu Kubernetes Grid 部署管理叢集時,會在 AWS_NODE_AZ_1 中建立此子網路。如需詳細資訊,請參閱上方的 AWS_PRIVATE_NODE_CIDR
AWS_PRIVATE_NODE_CIDR_2 選用。如果建議的範圍 10.0.4.0/24 不可用,請以 CIDR 格式輸入其他 IP 範圍。Tanzu Kubernetes Grid 部署管理叢集時,會在 AWS_NODE_AZ_2 中建立此子網路。如需詳細資訊,請參閱上方的 AWS_PRIVATE_NODE_CIDR
AWS_PROFILE 選用。Tanzu Kubernetes Grid 用於存取其 AWS 帳戶的由 aws configure 管理的 AWS 認證設定檔。這是對 AWS 進行驗證的慣用選項。請參閱設定 AWS 帳戶認證
只能使用 AWS_PROFILEAWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY 的組合,但不能同時使用兩者。
AWS_PUBLIC_NODE_CIDR_1 選用。如果建議的範圍 10.0.3.0/24 不可用,請以 CIDR 格式輸入其他 IP 範圍。Tanzu Kubernetes Grid 部署管理叢集時,會在 AWS_NODE_AZ_1 中建立此子網路。如需詳細資訊,請參閱上方的 AWS_PUBLIC_NODE_CIDR
AWS_PUBLIC_NODE_CIDR_2 選用。如果建議的範圍 10.0.5.0/24 不可用,請以 CIDR 格式輸入其他 IP 範圍。Tanzu Kubernetes Grid 部署管理叢集時,會在 AWS_NODE_AZ_2 中建立此子網路。如需詳細資訊,請參閱上方的 AWS_PUBLIC_NODE_CIDR
AWS_PRIVATE_SUBNET_ID 選用。如果將 AWS_VPC_ID 設定為使用現有 VPC,請輸入 AWS_NODE_AZ 中已存在的私人子網路的識別碼。此設定是選用的。如果未設定,tanzu management-cluster create 會自動識別私人子網路。若要部署具有三個控制平面節點的 prod 管理叢集,也必須設定 AWS_PRIVATE_SUBNET_ID_1AWS_PRIVATE_SUBNET_ID_2
AWS_PRIVATE_SUBNET_ID_1 選用AWS_NODE_AZ_1 中存在的私人子網路的識別碼。如果未設定該變數,tanzu management-cluster create 會自動識別私人子網路。如需詳細資訊,請參閱上方的 AWS_PRIVATE_SUBNET_ID
AWS_PRIVATE_SUBNET_ID_2 選用AWS_NODE_AZ_2 中存在的私人子網路的識別碼。如果未設定該變數,tanzu management-cluster create 會自動識別私人子網路。如需詳細資訊,請參閱上方的 AWS_PRIVATE_SUBNET_ID
AWS_PUBLIC_SUBNET_ID 選用。如果將 AWS_VPC_ID 設定為使用現有 VPC,請輸入 AWS_NODE_AZ 中已存在的公用子網路的識別碼。此設定是選用的。如果未設定,tanzu management-cluster create 會自動識別公用子網路。若要部署具有三個控制平面節點的 prod 管理叢集,也必須設定 AWS_PUBLIC_SUBNET_ID_1AWS_PUBLIC_SUBNET_ID_2
AWS_PUBLIC_SUBNET_ID_1 選用AWS_NODE_AZ_1 中存在的公用子網路的識別碼。如果未設定該變數,tanzu management-cluster create 會自動識別公用子網路。如需詳細資訊,請參閱上方的 AWS_PUBLIC_SUBNET_ID
AWS_PUBLIC_SUBNET_ID_2 選用AWS_NODE_AZ_2 中存在的公用子網路的識別碼。如果未設定該變數,tanzu management-cluster create 會自動識別公用子網路。如需詳細資訊,請參閱上方的 AWS_PUBLIC_SUBNET_ID
AWS_REGION 必要。要在其中部署叢集的 AWS 區域的名稱。例如,us-west-2。您也可以在 AWS GovCloud 中指定 us-gov-eastus-gov-west 區域。如果已將其他區域設定為環境變數 (例如,在將管理叢集部署到 AWS 中),則必須取消設定該環境變數。例如,us-west-2ap-northeast-2 等。
AWS_SECRET_ACCESS_KEY 選用。AWS 帳戶的秘密存取金鑰。這是一個用於對 AWS 進行驗證的選項。請參閱設定 AWS 帳戶認證
只能使用 AWS_PROFILEAWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY 的組合,但不能同時使用兩者。
AWS_SECURITY_GROUP_APISERVER_LB 選用。自訂安全群組以及要套用至叢集的自訂規則。請參閱設定自訂安全群組
AWS_SECURITY_GROUP_BASTION
AWS_SECURITY_GROUP_CONTROLPLANE
AWS_SECURITY_GROUP_APISERVER_LB
AWS_SECURITY_GROUP_NODE
AWS_SESSION_TOKEN 選用。如果需要使用臨時存取金鑰,請提供授與您的帳戶的 AWS 工作階段 Token。如需有關使用臨時存取金鑰的詳細資訊,請參閱瞭解並取得 AWS 認證。為您的 AWS 帳戶提供工作階段 Token。或者,您也可以將帳戶認證指定為本機環境變數,或在 AWS 預設認證提供者鏈結中指定。
AWS_SSH_KEY_NAME 必要。在 AWS 帳戶中登錄的 SSH 私密金鑰的名稱。
AWS_VPC_ID 選用。若要使用所選 AWS 區域中已存在的 VPC,請輸入 VPC 的識別碼,然後設定 AWS_PUBLIC_SUBNET_IDAWS_PRIVATE_SUBNET_ID
BASTION_HOST_ENABLED 選用。依預設,此選項在全域 Tanzu Kubernetes Grid 組態中設定為 "true"。指定 "true" 以部署 AWS Bastion 主機,或者指定 "false" 重複使用現有的 Bastion 主機。如果可用區域中不存在 Bastion 主機,並且已將 AWS_VPC_ID 設定為使用現有 VPC,請將 BASTION_HOST_ENABLED 設定為 "true"
CONTROL_PLANE_MACHINE_TYPE 如果未設定與雲端無關的 SIZECONTROLPLANE_SIZE,則為必要。要用於叢集控制平面節點的 Amazon EC2 執行個體類型,例如 t3.smallm5.large
NODE_MACHINE_TYPE 如果未設定與雲端無關的 SIZEWORKER_SIZE,則為必要。要用於叢集工作節點的 Amazon EC2 執行個體類型,例如 t3.smallm5.large

Microsoft Azure

下表中的變數是將工作負載叢集部署到 Azure 時,在叢集組態檔中指定的選項。其中用於部署該叢集的工作負載叢集和管理叢集的許多選項是相同的。

如需有關 Azure 組態檔的詳細資訊,請參閱 Azure 的管理叢集組態Azure 叢集組態檔

變數 可在 中設定... 說明
管理叢集 YAML 工作負載叢集 YAML
AZURE_CLIENT_ID 必要。在 Azure 中登錄的 Tanzu Kubernetes Grid 應用程式的用戶端識別碼。
AZURE_CLIENT_SECRET 必要。來自在 Azure 上登錄 Tanzu Kubernetes Grid 應用程式的 Azure 用戶端密碼。
AZURE_CUSTOM_TAGS 選用。要套用至為叢集建立的 Azure 資源的標籤的逗號分隔清單。標籤是索引鍵-值配對,例如 "foo=bar, plan=prod"。如需有關標記 Azure 資源的詳細資訊,請參閱 Microsoft Azure 說明文件中的使用標籤組織 Azure 資源和管理階層以及 Azure 資源的標籤支援
AZURE_ENVIRONMENT 選用;預設值為 AzurePublicCloud。支援的雲端包括 AzurePublicCloudAzureChinaCloudAzureGermanCloudAzureUSGovernmentCloud
AZURE_IDENTITY_NAME 選用,如果要在不同的 Azure 帳戶上使用叢集,則設定此選項。要用於建立以使用不同 Azure 帳戶上的叢集的 AzureClusterIdentity 的名稱。如需詳細資訊,請參閱〈將工作負載叢集部署到 Azure〉中的不同 Azure 帳戶上的叢集
AZURE_IDENTITY_NAMESPACE 選用,如果要在不同的 Azure 帳戶上使用叢集,則設定此選項。為使用不同 Azure 帳戶上的叢集而建立的 AzureClusterIdentity 的命名空間。如需詳細資訊,請參閱〈將工作負載叢集部署到 Azure〉中的不同 Azure 帳戶上的叢集
AZURE_LOCATION 必要。要在其中部署叢集的 Azure 區域的名稱。例如,eastus
AZURE_RESOURCE_GROUP 選用;預設值為 CLUSTER_NAME 設定。要用於叢集的 Azure 資源群組的名稱。對每個叢集都必須是唯一的。依預設 AZURE_RESOURCE_GROUPAZURE_VNET_RESOURCE_GROUP 是相同的。
AZURE_SSH_PUBLIC_KEY_B64 必要。在將管理叢集部署到 Microsoft Azure 中建立的 SSH 公開金鑰已轉換為 base64 並移除了換行。例如,c3NoLXJzYSBB [...] vdGFsLmlv
AZURE_SUBSCRIPTION_ID 必要。Azure 訂閱的訂閱識別碼。
AZURE_TENANT_ID 必要。Azure 帳戶的承租人識別碼。
網路
AZURE_CONTROL_PLANE_OUTBOUND_LB_FRONTEND_IP_COUNT 選用;預設值為 1。將此選項設定為將多個前端 IP 位址新增到控制平面負載平衡器,以用於具有大量預期輸出連線的環境。
AZURE_ENABLE_ACCELERATED_NETWORKING 選用;預設值為 true。設定為 false,以在具有 4 個以上 CPU 的虛擬機器上停用 Azure 加速網路。
AZURE_ENABLE_CONTROL_PLANE_OUTBOUND_LB 選用。如果 AZURE_ENABLE_PRIVATE_CLUSTERtrue,且您要啟用控制平面的輸出負載平衡器上的公用 IP 位址,請將此項設定為 true
AZURE_ENABLE_NODE_OUTBOUND_LB 選用。如果 AZURE_ENABLE_PRIVATE_CLUSTERtrue,而且您要啟用工作節點的輸出負載平衡器上的公用 IP 位址,則將此選項設定為 true
AZURE_ENABLE_PRIVATE_CLUSTER 選用。將此選項設定為 true 以將叢集設定為私人,並將 Azure 內部負載平衡器 (ILB) 用於其傳入流量。如需詳細資訊,請參閱 Azure 私人叢集
AZURE_FRONTEND_PRIVATE_IP 選用。如果 AZURE_ENABLE_PRIVATE_CLUSTERtrue,而且您要覆寫預設的內部負載平衡器位址 10.0.0.100,則設定此選項。
AZURE_NODE_OUTBOUND_LB_FRONTEND_IP_COUNT 選用;預設值為 1。將此選項設定為將多個前端 IP 位址新增到工作節點負載平衡器,以用於具有大量預期輸出連線的環境。
AZURE_NODE_OUTBOUND_LB_IDLE_TIMEOUT_IN_MINUTES 選用;預設值為 4。將此選項設定為可指定透過工作節點輸出負載平衡器保持開啟的輸出 TCP 連線的分鐘數。
AZURE_VNET_CIDR 選用,如果要將叢集部署到新的 VNet 和子網路並覆寫預設值,則設定此選項。依預設,AZURE_VNET_CIDR 設定為 10.0.0.0/16AZURE_CONTROL_PLANE_SUBNET_CIDR 設定為 10.0.0.0/24AZURE_NODE_SUBNET_CIDR 設定為 10.0.1.0/24
AZURE_CONTROL_PLANE_SUBNET_CIDR
AZURE_NODE_SUBNET_CIDR
AZURE_VNET_NAME 選用,如果要將叢集部署到現有的 VNet 和子網路,或者要為新的 VNet 和子網路指派名稱,則設定此選項
AZURE_CONTROL_PLANE_SUBNET_NAME
AZURE_NODE_SUBNET_NAME
AZURE_VNET_RESOURCE_GROUP 選用;預設值為 AZURE_RESOURCE_GROUP 的值。
控制平面虛擬機器
AZURE_CONTROL_PLANE_DATA_DISK_SIZE_GIB 選用。資料磁碟和作業系統磁碟的大小,如 Azure 說明文件磁碟角色所述,用於控制平面虛擬機器 (以 GB 為單位)。範例:128256。控制平面節點始終使用資料磁碟進行佈建。
AZURE_CONTROL_PLANE_OS_DISK_SIZE_GIB
AZURE_CONTROL_PLANE_MACHINE_TYPE 選用;預設值為 Standard_D2s_v3。控制平面節點虛擬機器的 Azure 虛擬機器大小,選擇以適應預期的工作負載。Azure 執行個體類型的最低要求是 2 個 CPU 和 8 GB 記憶體。有關可能的值,請參閱 Tanzu Kubernetes Grid 安裝程式介面。
AZURE_CONTROL_PLANE_OS_DISK_STORAGE_ACCOUNT_TYPE 選用。控制平面虛擬機器磁碟的 Azure 儲存區帳戶類型。範例:Premium_LRS
工作節點虛擬機器
AZURE_ENABLE_NODE_DATA_DISK 選用;預設值為 false。設定為 true,可為每個工作節點虛擬機器佈建一個資料磁碟,如 Azure 說明文件磁碟角色所述。
AZURE_NODE_DATA_DISK_SIZE_GIB 選用。如果 AZURE_ENABLE_NODE_DATA_DISKtrue,則設定此變數。工作虛擬機器的資料磁碟大小 (如 Azure 說明文件磁碟角色所述),以 GB 為單位。範例:128256
AZURE_NODE_OS_DISK_SIZE_GIB 選用。工作虛擬機器的作業系統磁碟大小 (如 Azure 說明文件磁碟角色所述),以 GB 為單位。範例:128256
AZURE_NODE_MACHINE_TYPE 選用。工作節點虛擬機器的 Azure 虛擬機器大小,選擇以適應預期的工作負載。預設值為 Standard_D2s_v3。有關可能的值,請參閱 Tanzu Kubernetes Grid 安裝程式介面。
AZURE_NODE_OS_DISK_STORAGE_ACCOUNT_TYPE 選用。如果 AZURE_ENABLE_NODE_DATA_DISKtrue,則設定此變數。工作虛擬機器磁碟的 Azure 儲存區帳戶類型。範例:Premium_LRS

組態值優先順序

Tanzu CLI 建立叢集時,它會從多個來源讀取本主題中列出的變數的值。如果這些來源發生衝突,則會依以下遞減優先順序來解決衝突:

處理層 (依遞減優先順序來排序) 來源 範例
1.在安裝程式介面中設定的管理叢集組態變數 在由 --ui 選項啟動的安裝程式介面中輸入,並寫入到叢集組態檔中。檔案位置預設為 ~/.config/tanzu/tkg/clusterconfigs/ 已選取 Standard_D2s_v3 的 [工作節點執行個體類型 (Worker Node Instance Type)] 下拉式清單
2.在本機環境中設定的叢集組態變數 在 Shell 中設定。 export AZURE_NODE_MACHINE_TYPE=Standard_D2s_v3
3.使用 tanzu config set env. 在 Tanzu CLI 中設定的叢集組態變數。 在 shell 中設定;儲存在全域 Tanzu CLI 組態檔 ~/.config/tanzu/config.yaml 中。 tanzu config set env.AZURE_NODE_MACHINE_TYPE Standard_D2s_v3
4.在叢集組態檔中設定的叢集組態變數 在傳遞至 tanzu management-cluster createtanzu cluster create--file 選項中設定。檔案預設為 ~/.config/tanzu/tkg/cluster-config.yaml AZURE_NODE_MACHINE_TYPE: Standard_D2s_v3
5.原廠預設組態值 providers/config_default.yaml 中設定。請勿修改此檔案。 AZURE_NODE_MACHINE_TYPE: "Standard_D2s_v3"
check-circle-line exclamation-circle-line close-line
Scroll to top icon