接续前篇讨论 Antrea 与 NSX Manager 整合的手动安装第一个流程,接下来要继续后面的步骤。整个流程图如下:
![]()
本篇内要由流程二:建立自签安全凭证开始。也同样提醒大家,相关的步骤于官方文件:
![]()
“Registering an Antrea Container Cluster to NSX-T Data Center”內有正式的说明。
流程二:建立自签安全凭证
流程二内我们要使用 Linux 内的 openssl 工具,建立一个在 Kubernetes Cluster 与 NSX Manager 间使用,可相互信任的自签公私钥。找一台已经安装了 openssl 工具的机器,在上面执行下列指令:
![]()
简单解释一下上面的指令。假设这边我们用 vSphere with Tanzu 建立了一个新的 Kubernetes Cluster,名称叫做 tkgs-122-cluster。接着:
![]()
由上述指令产出的私钥 tkgs-122-cluster-private.key 与凭证 tkgs-122-cluster.crt,在后续流程三与流程四都会继续用到。
流程三:在 NSX 内建立主要身份用户并加入凭证
流程三内我们需要在 NSX 管理介面内建立一个对应这个 Kubernetes Cluster 的 Principal Identity User。Principal Identity User 是 NSX 内的特殊帐户,专门用来给外部服务连接 NSX 使用,观念就等同于比如说 AWS 的 Service Account,是给外部服务使用,不是给人用的。在 Antrea 与 NSX 注册时,每个 Kubernetes Cluster 都需要有一个自己的 Principal Identity User。比如说在下图内,我建了三个 Principal Identity User,分别对应到三个不同的 Kubernetes Cluster 要注册到NSX内来使用。
![]()
进入 NSX 管理介面后,选择 System – Settings – User Management 就可以进入上述介面,在 ADD 内选择要建立一个 Principal Identity with Role,如下图,填入需求的对应值:
![]()
其中,
![]()
然后按 SAVE 储存就完成了。
本篇内说明了流程二与三的步骤,包含产出让 Kubernetes Cluster 上 NSX Agent 与 NSX Manager 间相互信任的私钥与凭证,以及在 NSX Manager 上建立一个对应此 K8S Cluster 的 Principal Identity User 服务帐户。下一篇内我们就会透过修改安装配置档并执行,确认 NSX Agent ( interworking pod ) 可正常运作,完成整个 Antrea+NSX 注册流程配置。
本文作者:Colin Jao (饶康立), VMware 资深技术顾问,主要负责 VMware NSX 产品线,目前致力于网络虚拟化、分布式安全防护技术与新应用递送方案的介绍与推广。
内容来源|公众号:VMware 中国研发中心
有任何疑问,欢迎扫描下方公众号联系我们哦~
![]()
