为 TKG 服务集群配置 vSphere 命名空间

为 vSphere 命名空间配置角色权限

角色权限适用范围限于 vSphere 命名空间。可以向 TKG 集群用户和组分配三个角色权限：所有者、可编辑和可查看。下表介绍了每个角色。有关详细信息，请参见关于 TKG 服务集群的身份和访问管理。

如果使用的是 vCenter Single Sign-On，则所有三个角色均可用。要将 SSO 用户和组分配给 vSphere 命名空间，请参见为 vCenter Single Sign-On 用户和组配置 vSphere 命名空间权限。

如果使用的是外部 OIDC 提供程序，则所有者角色权限不可用。要将 OIDC 用户和组分配给 vSphere 命名空间，请参见为外部身份提供程序用户和组配置 vSphere 命名空间权限。

角色	描述
所有者	所有者角色权限允许分配的用户和组使用 kubectl 管理 vSphere 命名空间对象并操作 TKG 集群。请参见使用 Kubectl 启用 vSphere 命名空间创建。
可编辑	可编辑角色权限允许分配的用户和组查看 vSphere 命名空间对象并操作 TKG 集群。被授予可编辑权限的 vCenter Single Sign-On 用户/组将绑定到该 vSphere 命名空间中部署的每个 TKG 集群的 Kubernetes cluster-admin 角色。
可查看	可查看角色权限允许分配的用户和组查看 vSphere 命名空间对象。注： Kubernetes 中没有可查看权限可以绑定到的等效只读角色。要授予 Kubernetes 用户对集群的访问权限，请参见向开发人员授予对 TKG 服务集群的 vCenter SSO 访问权限。

角色

描述

所有者

所有者角色权限允许分配的用户和组使用 kubectl 管理 vSphere 命名空间对象并操作 TKG 集群。请参见使用 Kubectl 启用 vSphere 命名空间创建。

可编辑

可编辑角色权限允许分配的用户和组查看 vSphere 命名空间对象并操作 TKG 集群。

被授予可编辑权限的 vCenter Single Sign-On 用户/组将绑定到该 vSphere 命名空间中部署的每个 TKG 集群的 Kubernetes cluster-admin 角色。

可查看

可查看角色权限允许分配的用户和组查看 vSphere 命名空间对象。

注： Kubernetes 中没有可查看权限可以绑定到的等效只读角色。要授予 Kubernetes 用户对集群的访问权限，请参见向开发人员授予对 TKG 服务集群的 vCenter SSO 访问权限。

为 vSphere 命名空间配置持久存储

您可以将一个或多个 vSphere 存储策略分配给 vSphere 命名空间。分配的存储策略用于控制持久卷在 vSphere 存储环境中的数据存储位置。

通常，vSphere 管理员定义 vSphere 存储策略。如果使用的是 vSphere 区域，则必须为存储策略配置 Zonal 拓扑。请参见为 TKG 服务集群创建 vSphere 存储策略。

要将 vSphere 存储策略分配给 vSphere 命名空间，请执行以下操作：

选择工作负载管理 > 命名空间和目标 vSphere 命名空间。
从存储图标中，选择添加存储。
从可用选项中选择一个或多个存储策略。

对于分配给 vSphere 命名空间的每个 vSphere 存储策略，系统会在该 vSphere 命名空间中创建两个匹配的 Kubernetes 存储类。这些存储类将复制到在该 vSphere 命名空间中部署的每个 TKG 集群。请参见对持久卷使用存储类。

为 vSphere 命名空间设置容量和使用情况限制

配置 vSphere 命名空间时，会在 vCenter Server 上为 vSphere 命名空间创建一个资源池。默认情况下，不会为此资源池配置任何容量和使用情况配额；资源受基础架构的限制。

在 vSphere 命名空间的容量和使用情况图标中，您可以配置以下限制。


CPU	为 vSphere 命名空间预留的 CPU 资源量。
内存	要为vSphere命名空间预留的内存量。
存储	为 vSphere 命名空间预留的存储空间总量。
存储策略限制	设置专用于与 vSphere 命名空间关联的每个存储策略的存储量。

通常，对于 TKG 集群部署，无需在 vSphere 命名空间上配置资源配额。如果确实要分配配额限制，请务必了解这些限制可能对其中部署的 TKG 集群产生的影响。

CPU 和内存限制

如果 TKG 集群节点使用的是保证虚拟机类类型，则在 vSphere 命名空间上配置的 CPU 和内存限制对其中部署的 TKG 集群没有任何影响。但是，如果 TKG 集群节点使用的是最大努力虚拟机类类型，则 CPU 和内存限制可能会影响 TKG 集群。

由于最大努力虚拟机类类型允许超额分配资源，因此，如果对要置备 TKG 集群的 vSphere 命名空间设置了 CPU 和内存限制，资源可能会耗尽。如果发生争用，并且 TKG 集群控制平面受到影响，集群可能会停止运行。因此，对于生产集群，应始终使用保证虚拟机类类型。如果无法对所有生产节点使用保证虚拟机类类型，则应至少对控制平面节点使用保证虚拟机类。

存储和存储策略限制

在 vSphere 命名空间上配置的存储限制决定了 vSphere 命名空间中可用于其中部署的所有 TKG 集群的存储总量。

在 vSphere 命名空间上配置的存储策略限制决定了该存储类中可用于复用该存储类的每个 TKG 集群的存储量。

某些工作负载具有最低存储要求。有关示例，请参见#GUID-9CA5FE35-8DA5-4F76-BD7F-81059CCA602E。

将 TKR 内容库与 TKG 服务关联

要置备 TKG 集群，请将 TKG 服务与内容库相关联。要创建用于托管 TKr 映像的内容库，请参见管理用于 TKG 服务集群的 Kubernetes 版本。

要将 TKr 内容库与 vSphere 命名空间相关联，请执行以下操作：

选择工作负载管理 > 主管 > 主管（选择主管实例）。
选择配置 > 主管 > 常规 > Tanzu Kubernetes Grid Service。
选择内容库 > 编辑。
选择 TKR 内容库。
导航到 vSphere 命名空间，然后选择管理命名空间。
确认所选内容库显示在 Tanzu Kubernetes Grid Service 配置窗格中。

请务必了解，TKR 内容库不属于命名空间范围。所有 vSphere 命名空间使用为 Tanzu Kubernetes Grid 服务 (TKGS) 配置的相同 TKR 内容库。编辑 TKGS 的 TKR 内容库将应用于每个 vSphere 命名空间。

注：虚拟机服务图标中提及的内容库用于独立虚拟机，而不是 TKR 内容库。请勿将 TKR 内容库添加到此图标中。

将虚拟机类与 vSphere 命名空间关联

vSphere IaaS control plane 提供了多个默认的虚拟机类，您也可以创建自己的类。

要置备 TKG 集群，请将一个或多个虚拟机类与目标 vSphere 命名空间相关联。绑定的类可供该 vSphere 命名空间中部署的 TKG 集群节点使用。

要将默认虚拟机类与 vSphere 命名空间关联，请使用 vSphere Client 登录到 vCenter Server 虚拟机并完成以下过程。

选择工作负载管理 > 命名空间和目标 vSphere 命名空间。
对于虚拟机服务图标，请选择添加虚拟机类。
选择要添加的每个虚拟机类。
1. 要添加默认虚拟机类，请选择列表第 1 页表标题中的复选框，导航到第 2 页，然后选中该页面上表标题中的复选框。验证是否选择了所有类。
2. 要创建自定义类，请单击创建新虚拟机类。有关说明，请参阅虚拟机服务文档。
单击确定以完成该操作。
确认已添加类。虚拟机服务图块将显示管理虚拟机类。

验证 vSphere 命名空间配置

配置的 vSphere 命名空间包括状态、权限、存储、容量和使用情况、 TKR 内容库以及虚拟机类。

状态图标包含指向 vSphere IaaS control plane CLI 工具的链接。DevOps 页面由主管控制平面负载均衡器提供支持。向 TKG 集群用户提供下载适用于 vSphere 的 Kubernetes CLI 工具的链接。请参见安装适用于 vSphere 的 Kubernetes CLI 工具。

要使用 kubectl 验证 vSphere 命名空间配置，请参见验证 vSphere 命名空间是否已准备好托管 TKG 服务集群。

为 vSphere 命名空间 配置角色权限

为 vSphere 命名空间 配置持久存储

为 vSphere 命名空间 设置容量和使用情况限制

将 TKR 内容库与 TKG 服务 关联

将虚拟机类与 vSphere 命名空间 关联