#Импорт кластера Tencent Cloud TKE

Импортируйте существующие выделенные кластеры Tencent Cloud TKE или управляемые кластеры Tencent Cloud TKE в платформу для их централизованного управления.

#Предварительные требования

• Версия Kubernetes и параметры кластера соответствуют требованиям к версиям компонентов и параметрам для импорта стандартных Kubernetes кластеров.

• Реестр образов должен поддерживать доступ по HTTPS и предоставлять действительный TLS-сертификат, выданный публичным центром сертификации.

#Получение адреса реестра образов

• Для использования развернутого на платформе реестра образов, настроенного при глобальном развертывании кластера, выполните следующую команду на контрольном узле глобального кластера для получения адреса:

  if [ "$(kubectl get productbase -o jsonpath='{.items[].spec.registry.preferPlatformURL}')" = 'false' ]; then
      REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.registryAddress}')
  else
      REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.platformURL}' | awk -F \// '{print $NF}')
  fi
  echo "Image registry address is: $REGISTRY"

• Для использования внешнего реестра образов вручную задайте переменную REGISTRY.

  REGISTRY=<адрес внешнего реестра образов>  # Примеры допустимых значений: registry.example.cn:60080 или 192.168.134.43
  echo "Image registry address is: $REGISTRY"

#Определение необходимости дополнительной настройки реестра образов

1. Выполните следующую команду, чтобы определить, поддерживает ли указанный реестр образов доступ по HTTPS и использует ли сертификат, выданный доверенным центром сертификации:

   REGISTRY=<адрес реестра образов, полученный из раздела "Получение адреса реестра образов">
   
   if curl -s -o /dev/null --retry 3 --retry-delay 5 -- "https://${REGISTRY}/v2/"; then
       echo 'Проверка пройдена: реестр образов использует сертификат, выданный доверенным ЦС. Выполнение раздела "Доверять небезопасному реестру образов" не требуется.'
   else
       echo 'Проверка не пройдена: реестр образов не поддерживает HTTPS или сертификат не является доверенным. Пожалуйста, обратитесь к разделу "Доверять небезопасному реестру образов" для настройки.'
   fi

2. Если проверка не пройдена, обратитесь к FAQ Как доверять небезопасному реестру образов?.

#Получение KubeConfig

1. Войдите в платформу управления Tencent Cloud Container Service.

2. В разделе Детали кластера > Основная информация просмотрите информацию Cluster APIServer.

3. Выберите Доступ через Интернет или Доступ через внутреннюю сеть в зависимости от реальной сети клиента, затем скачайте Kubeconfig и сохраните его на локальном компьютере.

#Импорт кластера

1. В левой навигационной панели нажмите Управление кластерами > Кластеры.

2. Нажмите Импортировать кластер.

3. Настройте соответствующие параметры согласно следующим инструкциям.

   Параметр	Описание
   Image Registry	Реестр для хранения образов компонентов платформы, необходимых кластеру. - По умолчанию платформы: реестр образов, настроенный при глобальном развертывании. - Частный реестр: заранее созданный реестр, в котором хранятся образы компонентов, требуемых платформой. Необходимо ввести адрес частного реестра образов, порт, имя пользователя и пароль для доступа к реестру образов. - Публичный реестр: использование сервисов реестра образов, расположенных в публичной сети. Перед использованием необходимо сначала обратиться к Обновлению учетных данных публичного реестра для получения прав аутентификации в реестре.
   Cluster Information	Совет: можно заполнить вручную или загрузить файл KubeConfig для автоматического разбора и заполнения платформой. Разбор файла KubeConfig: после загрузки полученного файла KubeConfig платформа автоматически распарсит и заполнит Информацию о кластере, которую можно при необходимости изменить. Адрес кластера: адрес доступа к внешне доступному API Server кластера, используемый платформой для доступа к API Server кластера. CA сертификат: сертификат CA кластера. Примечание: при ручном вводе необходимо ввести сертификат в виде Base64-декодированной строки. Метод аутентификации: метод аутентификации для доступа к кластеру, требуется использовать токен (Token) или аутентификацию по сертификату (клиентский сертификат и ключ) с правами управления кластером.

4. Нажмите Проверить подключение для проверки сетевого соединения с импортируемым кластером и автоматического определения типа импортируемого кластера. Тип кластера будет отображён в виде бейджа в правом верхнем углу формы.

5. После успешной проверки подключения нажмите Импортировать и подтвердите.

   Совет:

   • Нажмите на иконку Детали справа от кластера в статусе Импортируется, чтобы просмотреть ход выполнения (status.conditions) кластера во всплывающем окне Ход выполнения.
   • После успешного импорта кластера вы можете просмотреть ключевую информацию о кластере в списке кластеров. Статус кластера отображается как нормальный, и доступны операции, связанные с кластером.

#Настройка сети

Обеспечьте сетевое соединение между глобальным кластером и импортируемым кластером. Необходимо руководствоваться Настройкой сети для импорта кластеров.

#FAQ

#После импорта кластера кнопка «Добавить узел» неактивна. Как добавить узлы?

Как выделенные кластеры TKE, так и управляемые кластеры TKE не поддерживают добавление узлов через интерфейс платформы. Пожалуйста, добавляйте их через бэкенд или обратитесь к поставщику кластера для добавления.

#Какие сертификаты поддерживает функция управления сертификатами для импортированных кластеров?

1. Сертификаты Kubernetes: все импортированные кластеры поддерживают только просмотр информации о сертификате APIServer в интерфейсе управления сертификатами платформы. Просмотр других сертификатов Kubernetes и автоматическая ротация не поддерживаются.

2. Сертификаты компонентов платформы: все импортированные кластеры могут просматривать информацию о сертификатах компонентов платформы в интерфейсе управления сертификатами и поддерживают автоматическую ротацию.

#Какие другие функции не поддерживаются для импортированных управляемых кластеров TKE и выделенных кластеров TKE?

• Управляемые кластеры TKE не поддерживают получение данных аудита.

• Управляемые кластеры TKE не поддерживают мониторинг, связанный с ETCD, Scheduler, Controller Manager, но поддерживают частичные графики мониторинга APIServer.

• Ни управляемые кластеры TKE, ни выделенные кластеры TKE не поддерживают получение информации, связанной с сертификатами кластера, за исключением сертификатов Kubernetes APIServer.