Tanzu Kubernetes GridVMware Cloud on AWS 提供的托管服务。可在一个或多个 SDDC 集群中激活 Tanzu Kubernetes Grid,以在 SDDC vCenter Server 中配置 Tanzu 支持。

云中的 Tanzu 服务

vSphere 一样,VMware Cloud on AWS SDDC 中 Tanzu 服务的工作方式与内部部署数据中心的工作方式非常相似。由于某些 vSphereTanzu 组件由 VMware 管理,因此在将 Tanzu Kubernetes GridVMware Cloud on AWS 配合使用时,不需要使用您熟悉的一些内部部署管理工作流。

有关 VMware Cloud on AWSTanzu Kubernetes Grid 管理的信息,可参考 VMware Tanzu 文档,但在阅读这些主题时,需要大致注意几项差异:
  • VMware Cloud on AWS 用户不具有对 ESXi 主机硬件的物理访问权限且无法登录到 ESXi 主机操作系统。需要执行此类访问的过程由 VMware 员工执行。
  • 不会从内部部署 vCenter Server 和 SDDC 中的 vCenter Server 复制全局权限。全局权限不适用于 VMware 为您管理的对象,如 SDDC 主机和数据存储。
  • VMware Cloud on AWS 中,只能通过 VMC 控制台 激活 Tanzu 工作负载控制平面。
除了我们简要描述的差异之外, VMware Tanzu 文档中的许多主题专为内部部署用户而编写,不包含使用 VMware Cloud on AWS 中的 Tanzu 服务时所需的部分信息。
表 1. 内部部署与 SDDC Tanzu 之间的主题内容差异
主题 内容要点
VMware Cloud on AWSTanzu Kubernetes Grid 预置备了无法修改的 VMware Cloud on AWS 自定义内容库。
vSphere with Tanzu 用户角色和工作流 SDDC 中的 vCenter Server 包括预定义 CloudAdmin 角色,而此角色在内部部署 vCenter 中不存在。此角色具有在 SDDC 上创建和管理工作负载所需的特权,但不允许访问 VMware 支持和管理的 SDDC 管理组件,例如主机、集群和管理虚拟机。
将工作负载部署到 vSphere Pod VMware Cloud on AWSTanzu Kubernetes Grid 不支持 vSphere Pod。
置备自助命名空间模板 VMware Cloud on AWS 不支持创建 Tanzu 主管命名空间模板。
Kubernetes 版本的 vSphere 命名空间是在 Tanzu Kubernetes Grid 激活期间自动配置的。

工作负载控制平面、命名空间分段和第 1 层网关

每个 vSphere 命名空间都需要一个 SDDC 网络分段。为了保持命名空间之间的网络隔离,工作负载控制平面会在 SDDC 网络中为您创建的每个命名空间创建一个第 1 层路由器。这些路由器在 SDDC 网络与安全选项卡的第 1 层网关页面中列出,用于处理连接到命名空间分段的容器之间的东西向流量,并通过命名空间输出和输入点路由南北向流量。它们的功能与 SDDC 中的计算网关 (CGW) 非常相似,但与作为 SDDC 一部分创建并在 SDDC 生命周期内持续存在的 CGW 不同,这些基于命名空间的第 1 层网关随同它们支持的 Tanzu 命名空间一同创建和销毁。

有关 SDDC 网络架构的详细信息,请参见《VMware Cloud on AWS 网络和安全性》指南中的 NSX 网络概念,并阅读 VMware 技术区文章 TKG 托管服务网络

Tanzu 激活如何影响 SDDC 网络

VMware Cloud on AWS SDDC 中激活 Tanzu Kubernetes Grid 时,系统会创建多个额外的第 1 层路由器以供工作负载控制平面使用。激活后,vSphere 将为您创建的每个命名空间创建额外的第 1 层路由器。SDDC 的第 1 层网关页面中列出了有关这些路由器的只读详细信息。

在使用 AWS Direct Connect 的 SDDC 中,将向 DX 连接通告输入 CIDR 和输出 CIDR。在属于 SDDC 组的 SDDC 中,将向 VTGW 通告这些 CIDR。