瞭解如何更新 主管,包括 主管 執行的 Kubernetes 版本。環境中的 主管 必須始終執行受支援的 Kubernetes 版本。

vSphere IaaS control plane 有版本實體。該版本實體是語義版本字串,格式為 v1.28.3+vmware.wcp.1-vsc0.1.9-23708114,其中前置詞是 Kubernetes 版本 (v1.28.3),後置詞是隨相應 vCenter Server 版本一起發行的 主管 發行版本和內部組建編號 (vvsc0.1.9-23708114)。

vCenter Server 升級到新版本時,vSphere 命名空間 版本也會更新。每個 vSphere 命名空間 版本都包含一個新的 主管 版本和兩個受支援的早期版本。

vCenter Server 8 Update 3 一起提供的 vSphere 命名空間 版本 0.1.9 包含三個 主管 版本:
  • v1.26.8+vmware.wcp.1-vsc0.1.9-23708114
  • v1.27.5+vmware.wcp.1-vsc0.1.9-23708114
  • v1.28.3+vmware.wcp.1-vsc0.1.9-23708114
備註: 若要使用 Tanzu Kubernetes Grid 3.0,必須將 主管 更新到 vSphere 命名空間 0.1.9 隨附的三個受支援版本之一。

必要條件

  • 請參閱 vSphere IaaS control plane 版本說明,查看受支援的 主管 Kubernetes 版本。每個 vCenter Server 版本包含三個 主管 Kubernetes 版本 - 隨相應 vCenter Server 版本一起發行的最新 主管 Kubernetes 版本以及兩個先前版本 (至少在 12 個月內受支援)。
  • 安裝目前支援的 主管 Kubernetes 版本,方法是將 vCenter Server Appliance 升級到提供這些版本的 vCenter Server 版本。請參閱〈升級 vCenter Server Appliance〉
備註: 更新 主管 時,所有已佈建的 Tanzu Kubernetes Grid 叢集必須使用與 vSphere 8 Update 3 中新的 主管 K8s 版本相容的 TKr 版本。由於 Tanzu Kubernetes Grid 從 vSphere Update 3 開始成為獨立的 主管服務,因此以後 TKr 版本將取決於 Tanzu Kubernetes Grid 服務版本。
備註: 更新 主管 可能會對在此部署的 Tanzu Kubernetes 叢集觸發輪流更新。請參閱 瞭解 TKG 服務 叢集的輪流更新模型

程序

  1. 以 vSphere 管理員身分登入 vCenter Server
  2. 選取功能表 > 工作負載管理
  3. 選取命名空間 > 更新索引標籤。
  4. 選取要更新到的可用版本
    例如,選取版本 vv1.28.3+vmware.wcp.1-vsc0.1.9-23708114
    備註: 必須以遞增方式進行更新。不能略過更新,例如從 1.26 更新到 1.28。路徑應為 1.26、1.27、1.28。
  5. 選取要更新的 主管
  6. 按一下套用更新
    系統會執行一系列預先檢查,以根據要更新到的 主管 Kubernetes 版本驗證不同元件的相容性。成功完成預先檢查後,您可以更新 主管

Object Missing

This object is not available in the repository.

解決啟用或更新期間 主管 控制平面虛擬機器上的錯誤健全狀況狀態

啟用 主管、更新 主管 Kubernetes 版本,或編輯現有 主管 的設定後,指定的所有設定都將經過驗證並套用至 主管,直到設定完成。系統會對輸入的參數執行健全狀況檢查,這些參數可能會偵測組態中的錯誤,從而導致 主管 出現錯誤健全狀況狀態。您必須解決這些錯誤健全狀況狀態,才能設定或升級 主管

表 1. vCenter Server 連線錯誤

錯誤訊息

原因

解決方案

無法使用控制平面虛擬機器 <VM name> 上已設定的管理 DNS 伺服器解析 vCenter 主要網路識別碼 <FQDN>。驗證管理 DNS 伺服器 <server name> 是否可以解析 <network name>。

  • 至少一個管理 DNS 伺服器可供連線。

  • 至少一個管理 DNS 是靜態提供的。

  • 管理 DNS 伺服器不具有 vCenter Server PNID 的任何主機名稱查閱。

  • vCenter Server PNID 是網域名稱,而非靜態 IP 位址。

  • vCenter Server PNID 的主機項目新增至管理 DNS 伺服器。

  • 確認設定的 DNS 伺服器正確無誤。

無法使用在控制平面虛擬機器 <VM name> 的管理網路上透過 DHCP 取得的 DNS 伺服器解析 vCenter 主要網路識別碼 <network name>。驗證管理 DNS 伺服器是否可以解析 <network name>。

  • 由 DHCP 伺服器 (至少一個) 提供的管理 DNS 伺服器可供連線。

  • 管理 DNS 伺服器是靜態提供的。

  • 管理 DNS 伺服器不具有 vCenter Server PNID 的任何主機名稱查閱。

  • 管理 DNS 伺服器不具有 vCenter Server PNID 的任何主機名稱查閱。

  • vCenter Server PNID 是網域名稱,而非靜態 IP 位址。

  • vCenter Server PNID 的主機項目新增至已設定 DHCP 伺服器提供的管理 DNS 伺服器。

  • 確認 DHCP 伺服器提供的 DNS 伺服器正確無誤。

無法解析控制平面虛擬機器 <VM name> 上的主機 <host name>,因為沒有已設定的管理 DNS 伺服器。

  • vCenter Server PNID 是網域名稱,而非靜態 IP 位址。

  • 沒有已設定的 DNS 伺服器。

設定管理 DNS 伺服器。

無法解析控制平面虛擬機器 <VM name> 上的主機 <host name>。主機名稱以「.local」頂層網域結尾,這需要在管理 DNS 搜尋網域中包括「local」。

vCenter Server PNID 包含 .local 做為頂層網域 (TLD),但已設定的搜尋網域不包括 local

local 新增至管理 DNS 搜尋網域。

無法從控制平面虛擬機器 <VM name> 連線至管理 DNS 伺服器 <server name>。已嘗試透過工作負載網路進行連線。

  • 管理 DNS 伺服器無法連線至 vCenter Server

  • 提供的 worker_dns 值完全包含提供的管理 DNS 值。這表示流量會透過工作負載網路路由,因為 主管 必須挑選一個網路介面,以將靜態流量導向至這些 IP。

  • 檢查工作負載網路,以確認其可路由至已設定的管理 DNS 伺服器。

  • 確認沒有衝突的 IP 位址,因為其可能會在 DNS 伺服器與工作負載網路上的某些其他伺服器之間觸發備用路由。

  • 確認已設定的 DNS 伺服器實際上是 DNS 伺服器,並且在連接埠 53 上主控其 DNS 連接埠。

  • 確認工作負載 DNS 伺服器已設定為允許從控制平面虛擬機器的 IP (工作負載網路提供的 IP) 進行連線。

  • 確認管理 DNS 伺服器的位址中沒有拼字錯誤。

  • 確認搜尋網域不包含不必要的「~」,該「~」可能會錯誤地解析主機名稱。

無法從控制平面虛擬機器 <VM name> 連線至管理 DNS 伺服器 <server name>。

無法連線到 DNS 伺服器。

  • 檢查管理網路以確認存在到管理 DNS 伺服器的路由。

  • 確認沒有衝突的 IP 位址,因為其可能會觸發 DNS 伺服器與其他伺服器之間的備用路由。

  • 確認已設定的 DNS 伺服器實際上是 DNS 伺服器,並且在連接埠 53 上主控其 DNS 連接埠。

  • 確認管理 DNS 伺服器已設定為允許從控制平面虛擬機器的 IP 進行連線。

  • 確認管理 DNS 伺服器的位址中沒有拼字錯誤。

  • 確認搜尋網域不包含不必要的「~」,其可能會錯誤地解析主機名稱。

無法從控制平面虛擬機器 <vm name> 連線到 <component name> <component address>。錯誤:error message text

  • 發生一般網路故障。

  • 連線至到 vCenter Server 的實際連線時發生錯誤。

  • 確認已設定元件 (例如 vCenter Server、HAProxy、NSX Manager 或 NSX Advanced Load Balancer) 的主機名稱或 IP 位址正確無誤。

  • 驗證管理網路上的所有外部網路設定,例如衝突的 IP、防火牆規則及其他。

控制平面虛擬機器 <VM name> 無法驗證 vCenter 的 <vCenter Server name> 憑證。vCenter Server 憑證無效。

vCenter Server 提供的憑證的格式無效,因此不受信任。

  • 重新啟動 wcpsvc,以確認控制平面虛擬機器中的「受信任的根」服務包具有最新的 vCenter Server 根憑證。

  • 確認 vCenter Server 憑證實際上是有效的憑證。

控制平面虛擬機器<VM name> 不信任 vCenter <vCenter Server name> 憑證。

  • vCenter Server 表示的 vmca.pem 憑證與設定給控制平面虛擬機器的憑證不同。

  • 受信任的根憑證在 vCenter Server 應用裝置中已被取代,但 wcpsvc 未重新啟動。

  • 重新啟動 wcpsvc,以確認控制平面虛擬機器中的「受信任的根」服務包是最新的,且具有最新的 vCenter Server 根憑證。
表 2. NSX Manager 連線錯誤

控制平面虛擬機器 <VM name> 無法驗證 NSX 伺服器 <NSX server name> 憑證。伺服器 <NSX-T address> 傳回的指紋與在 vCenter <vCenter Server name> 中登錄的預期用戶端憑證指紋不相符。

登錄至 主管 的 SSL 指紋與 NSX Manager 表示的憑證的 SHA-1 雜湊不相符。

  • 在 NSX Manager 上重新啟用 NSX 與 vCenter Server 執行個體之間的信任。

  • vCenter Server 上重新啟動 wcpsvc

無法從控制平面虛擬機器 <vm name> 連線到 <component name> <component address>。錯誤:error message text

發生一般網路故障。

  • 驗證 NSX Manager 管理網路上的任何外部網路設定、衝突的 IP、防火牆規則及其他。

  • 確認 NSX 延伸中的 NSX Manager IP 正確無誤。

  • 確認 NSX Manager 正在執行。
表 3. 負載平衡器錯誤

控制平面虛擬機器 <vm name> 不信任負載平衡器的 (<load balancer>- <load balancer endpoint>) 憑證。

負載平衡器表示的憑證與設定給控制平面虛擬機器的憑證不同。

確認您已為負載平衡器設定正確的管理 TLS 憑證。

控制平面虛擬機器 <vm name> 無法驗證負載平衡器的 (<load balancer>- <load balancer endpoint>) 憑證。憑證無效。

負載平衡器表示的憑證格式無效或已到期。

更正已設定負載平衡器的伺服器憑證。

控制平面虛擬機器 <vm name> 無法使用使用者名稱 <user name> 和提供的密碼向負載平衡器 (<load balancer>- <load balancer endpoint>) 進行驗證。

負載平衡器的使用者名稱或密碼不正確。

驗證為負載平衡器設定的使用者名稱和密碼是否正確。

嘗試從控制平面虛擬機器 <vm name> 連線至負載平衡器 (<load balancer>- <load balancer endpoint>) 時,發生 HTTP 錯誤。

控制平面虛擬機器可以連線至負載平衡器端點,但端點不會傳回成功的 (200) http 回應

確認負載平衡器狀況良好並接受要求。

無法從控制平面虛擬機器 <vm name> 連線至 <load balancer> (<load balancer endpoint>)。錯誤:<error text>

  • 發生一般網路故障。

  • 通常,這表示負載平衡器無法運作,或部分防火牆封鎖了連線。

  • 確認負載平衡器端點可存取

  • 確認沒有防火牆封鎖與負載平衡器的連線。