接續前篇討論 Antrea 與 NSX Manager 整合的手動安裝第一個流程,接下來要繼續後面的步驟。整個流程圖如下:
本篇內要由流程二:建立自籤安全憑證開始。也同樣提醒大家,相關的步驟於官方文件:
“Registering an Antrea Container Cluster to NSX-T Data Center”內有正式的說明。
流程二:建立自籤安全憑證
流程二內我們要使用 Linux 內的 openssl 工具,建立一個在 Kubernetes Cluster 與 NSX Manager 間使用,可相互信任的自籤公私鑰。找一臺已經安裝了 openssl 工具的機器,在上面執行下列指令:
簡單解釋一下上面的指令。假設這邊我們用 vSphere with Tanzu 建立了一個新的 Kubernetes Cluster,名稱叫做 tkgs-122-cluster。接着:
由上述指令產出的私鑰 tkgs-122-cluster-private.key 與憑證 tkgs-122-cluster.crt,在後續流程三與流程四都會繼續用到。
流程三:在 NSX 內建立主要身份用戶並加入憑證
流程三內我們需要在 NSX 管理介面內建立一個對應這個 Kubernetes Cluster 的 Principal Identity User。Principal Identity User 是 NSX 內的特殊帳戶,專門用來給外部服務連接 NSX 使用,觀念就等同於比如說 AWS 的 Service Account,是給外部服務使用,不是給人用的。在 Antrea 與 NSX 註冊時,每個 Kubernetes Cluster 都需要有一個自己的 Principal Identity User。比如說在下圖內,我建了三個 Principal Identity User,分別對應到三個不同的 Kubernetes Cluster 要註冊到NSX內來使用。
進入 NSX 管理介面後,選擇 System – Settings – User Management 就可以進入上述介面,在 ADD 內選擇要建立一個 Principal Identity with Role,如下圖,填入需求的對應值:
其中,
然後按 SAVE 儲存就完成了。
本篇內說明了流程二與三的步驟,包含產出讓 Kubernetes Cluster 上 NSX Agent 與 NSX Manager 間相互信任的私鑰與憑證,以及在 NSX Manager 上建立一個對應此 K8S Cluster 的 Principal Identity User 服務帳戶。下一篇內我們就會透過修改安裝配置檔並執行,確認 NSX Agent ( interworking pod ) 可正常運作,完成整個 Antrea+NSX 註冊流程配置。
本文作者:Colin Jao (饒康立), VMware 資深技術顧問,主要負責 VMware NSX 產品線,目前致力於網絡虛擬化、分佈式安全防護技術與新應用遞送方案的介紹與推廣。
內容來源|公衆號:VMware 中國研發中心
有任何疑問,歡迎掃描下方公衆號聯繫我們哦~
