Erfahren Sie, wie Sie einen vSphere-Namespace auf dem Supervisor erstellen und konfigurieren. Als vSphere-Administrator legen Sie nach dem Erstellen eines vSphere-Namespace Ressourcengrenzwerte für den Namespace und Berechtigungen fest, damit DevOps-Ingenieure darauf zugreifen können. Sie stellen DevOps-Ingenieuren die URL der Kubernetes-Steuerungsebene bereit, auf der Arbeitslasten in den Namespaces ausgeführt werden können, für die die Ingenieure Berechtigungen haben.

Namespaces in Supervisoren, die mit dem VDS-Netzwerk-Stack konfiguriert sind, und Namespaces in Clustern, die mit NSX konfiguriert sind, weisen verschiedene Netzwerkkonfigurationen und -funktionen auf. Namespaces, die auf Supervisoren mit Bereitstellung in drei vSphere-Zonen konfiguriert sind, unterstützen auch andere Funktionen als Namespaces in Supervisoren mit einer Zone.
  • Supervisor mit einer Zone und NSX-Konfiguration. vSphere-Namespaces auf diesen Supervisoren unterstützen vSphere-Pods, VMs, Tanzu Kubernetes Grid-Cluster und Supervisor-Dienste. Die Unterstützung des Arbeitslastnetzwerks für diese vSphere-Namespaces wird von NSX bereitgestellt.
  • Supervisor mit drei Zonen und NSX-Konfiguration. vSphere-Namespaces auf einem Supervisor mit drei Zonen und NSX-Konfiguration unterstützen nur Tanzu Kubernetes Grid-Cluster und VMs. Sie unterstützen keine vSphere-Pods und Supervisor-Dienste.
  • Supervisor mit einer Zone und VDS-Konfiguration. vSphere-Namespaces auf Supervisoren mit einer Zone und VDS unterstützen Tanzu Kubernetes Grid, VMs und Supervisor-Dienste. Sie unterstützen keine vSphere-Pods – abgesehen von denen, die Supervisor-Dienste für die eigene Verwendung bereitstellen.
  • Supervisor mit drei Zonen und VDS-Konfiguration. vSphere-Namespaces, die auf einem Supervisor mit drei Zonen mit VDS ausgeführt werden, unterstützen nur Tanzu Kubernetes Grid-Cluster und VMs. Sie unterstützen keine vSphere-Pods und Supervisor-Dienste.

Weitere Informationen finden Sie unter Anforderungen zum Aktivieren eines Drei-Zonen-Supervisors mit HA-Proxy-Lastausgleichsdienst und Anforderungen zum Aktivieren eines einzelnen Cluster-Supervisors mit VDS-Netzwerk und HA-Proxy-Lastausgleichsdienst in Konzepte und Planung der vSphere IaaS-Steuerungsebene.

Sie können auch Ressourcengrenzwerte für den Namespace festlegen, Berechtigungen zuweisen und den Namespace-Dienst auf einem Cluster als Vorlage bereitstellen oder aktivieren. Daher können DevOps-Ingenieure einen Supervisor-Namespace im Self-Service-Modus erstellen und Arbeitslasten innerhalb des Namespace bereitstellen. Weitere Informationen finden Sie unter Bereitstellen einer Self-Service-Namespace-Vorlage in vSphere IaaS control plane.

Wenn Sie NSX für Ihre Supervisoren verwenden, haben Sie die Möglichkeit, die Netzwerkeinstellungen auf vSphere-Namespace-Ebene zu überschreiben. Stellen Sie die folgenden Überlegungen an, wenn Sie diese Option auswählen:
Tabelle 1. Überlegungen zur vSphere-Namespace-Netzwerkplanung
Überlegungen Beschreibung
NSX-Installation Um Supervisor-Netzwerkeinstellungen für einen bestimmten vSphere-Namespace zu überschreiben, muss NSX einen für Tier-0-Gateways (Router) dedizierten Edge-Cluster und einen anderen für Tier-1-Gateways dedizierten Edge-Cluster enthalten. Weitere Informationen finden Sie in den NSX-Installationsanweisungen im Handbuch Installieren und Konfigurieren der vSphere IaaS-Steuerungsebene.
IPAM erforderlich Wenn Sie Supervisor-Netzwerkeinstellungen für einen bestimmten vSphere-Namespace überschreiben, muss das neue vSphere-Namespace-Netzwerk Subnetze für Ingress, Egress und Namespace-Netzwerk angeben, die auf dem Supervisor und im Vergleich zu anderen vSphere-Namespace-Netzwerken eindeutig sind. Sie müssen die Zuteilung von IP-Adressen entsprechend verwalten.
Supervisor-Routing Der Supervisor muss direkt zu den TKG-Clusterknoten und Ingress-Subnetzen weitergeleitet werden können. Bei Auswahl eines Tier-0-Gateways für den vSphere-Namespace haben Sie zwei Optionen zum Konfigurieren des erforderlichen Routings:
  • Verwenden Sie ein VRF-Gateway (Virtual Routing and Forwarding), um die Konfiguration vom Tier-0-Gateway vom Supervisor zu übernehmen
  • Verwenden Sie das Border Gateway Protocol (BGP) zum Konfigurieren von Routen zwischen dem Tier-0-Gateway vom Supervisor und dem dedizierten Tier-0-Gateway

Weitere Informationen zu diesen Optionen finden Sie in der Dokumentation zu NSX Tier-0-Gateways.

Voraussetzungen

  • Stellen Sie einen Supervisor bereit.
  • Erstellen Sie Benutzer und Gruppen für DevOps-Ingenieure und Entwickler, die Zugriff auf den vSphere-Namespace benötigen. Erstellen Sie die Benutzer oder Gruppen in Identitätsquellen, die mit vCenter Single Sign-On verbunden sind, oder in einem OIDC-Anbieter, der mit dem Supervisor konfiguriert ist.
  • Erstellen von Speicherrichtlinien für persistenten Speicher. Wenn sich der Namespace in einem Supervisor mit drei Zonen befindet, verwenden Sie topologiefähige Richtlinien. Sie können dem Namespace mit drei Zonen keine Speicherrichtlinien zuweisen, die nicht topologiefähig sind.
  • Erstellen Sie VM-Klassen und Inhaltsbibliotheken für eigenständige VMs.
  • Erforderliche Rechte:
    • Namespaces.Clusterweite Konfiguration ändern
    • Namespaces.Namespace-Konfiguration ändern

Prozedur

  1. Wählen Sie im vSphere Client-Startmenü die Option Arbeitslastverwaltung aus.
  2. Wählen Sie die Registerkarte Namespaces aus.
  3. Klicken Sie auf Namespace erstellen.
  4. Wählen Sie den Supervisor aus, in dem Sie den vSphere-Namespace platzieren möchten.
  5. Geben Sie einen Namen für den Namespace ein.
    Der Name muss in einem DNS-konformen Format vorliegen.
  6. Wählen Sie im Dropdown-Menü Netzwerk ein Arbeitslastnetzwerk für den vSphere-Namespace aus.
    Hinweis: Dieser Schritt ist nur dann verfügbar, wenn Sie den Namespace auf einem Cluster erstellen, der mit dem vSphere-Netzwerk-Stack konfiguriert ist.
  7. Wenn Sie den NSX-Netzwerk-Stack für Ihren Supervisor konfiguriert haben, können Sie Cluster-Netzwerkeinstellungen überschreiben auswählen, um die Supervisor-Netzwerkeinstellungen zu überschreiben und Netzwerkeinstellungen für den Namespace zu konfigurieren.
    Konfigurieren Sie die folgenden Netzwerkeinstellungen für den Namespace:
    Option Beschreibung
    Tier-0-Gateway Wählen Sie das Tier-0-Gateway aus, das mit dem Namespace-Tier-1-Gateway verknüpft werden soll.

    Wenn Sie ein Tier-0-Gateway auswählen, wird das Tier-0-Gateway, das Sie beim Aktivieren des Clusters konfiguriert haben, überschrieben. Daher müssen Sie die CIDR-Bereiche erneut konfigurieren.

    Hinweis: Der Supervisor muss direkt zu den TKG-Clusterknoten und Ingress-Subnetzen weitergeleitet werden können.
    • Wenn Sie ein VRF-Gateway auswählen, das mit dem Tier-0-Gateway verknüpft ist, werden das Netzwerk und die Subnetze automatisch konfiguriert.
    • Wenn Sie den NAT-Modus ausgewählt haben, müssen Sie die Subnetz-, Ingress- und Egress-CIDRs konfigurieren.
    • Wenn Sie den NAT-Modus deaktivieren, müssen Sie nur das Subnetz und die Ingress-CIDRs konfigurieren.
    Hinweis: Nachdem Sie ein Tier-0-Gateway ausgewählt haben, können Sie es nicht mehr ändern.
    NAT-Modus Der NAT-Modus ist standardmäßig aktiviert.
    Wenn Sie diese Option deaktivieren, sind alle Arbeitslasten wie die IP-Adressen der vSphere-Pods, VMs und Tanzu Kubernetes Grid-Clusterknoten von außerhalb des Tier-0-Gateways direkt zugänglich, und Sie müssen die Egress-CIDRs nicht konfigurieren.
    Hinweis: Nachdem Sie einen Namespace-Modus aktiviert haben, können Sie ihn nicht mehr ändern.
    Größe des Lastausgleichsdiensts Wählen Sie die Größe der Lastausgleichsdienstinstanz auf dem Tier-1-Gateway für den Namespace aus.
    Namespace-Netzwerk Geben Sie einen oder mehrere IP-CIDRs ein, um Subnetze / Segmente zu erstellen und IP-Adressen für Arbeitslasten zuzuweisen, die mit Namespaces verbunden sind.
    Hinweis: Geben Sie den CIDR-Bereich ein, wenn Sie ihn nicht für den Cluster konfiguriert haben. Sie können zusätzliche CIDRs konfigurieren, nachdem Sie den Namespace erstellt haben, indem Sie die Namespace-Netzwerkeinstellungen bearbeiten.
    Namespace-Subnetzpräfix Geben Sie das Subnetzpräfix ein, das die Größe des für Namespace-Segmente reservierten Subnetzes angibt. Der Standardwert ist „28“.
    Hinweis: Nachdem Sie das Subnetzpräfix angegeben haben, können Sie es nicht mehr ändern.
    Ingress Geben Sie eine CIDR-Anmerkung ein, die den Ingress-IP-Bereich für die virtuellen IP-Adressen festlegt, die vom Lastausgleichsdienst für vSphere-Pods oder Tanzu Kubernetes Grid-Cluster veröffentlicht werden.

    Sie können zusätzliche CIDRs konfigurieren, nachdem Sie den Namespace erstellt haben, indem Sie die Namespace-Netzwerkeinstellungen bearbeiten.
    Egress Geben Sie eine CIDR-Anmerkung ein, die den Egress-IP-Bereich für die SNAT-IP-Adressen bestimmt.

    Sie können zusätzliche CIDRs konfigurieren, nachdem Sie den Namespace erstellt haben, indem Sie die Namespace-Netzwerkeinstellungen bearbeiten.
  8. Geben Sie eine Beschreibung ein und klicken Sie auf Erstellen.
    Der Namespace wird im Supervisor erstellt.
  9. Legen Sie Berechtigungen für Benutzer fest, die auf den Namespace zugreifen können.
    Als vSphere-Administrator legen Sie Berechtigungen für einen vSphere-Namespace für Entwickler und DevOps-Ingenieure fest, die auf den Namespace zugreifen müssen. Ein Benutzerkonto kann auf mehrere Namespaces zugreifen. Benutzer, die Mitglieder der Administratorengruppen sind, haben Zugriff auf alle Namespaces auf dem Supervisor.
    1. Wählen Sie im Bereich Berechtigungen die Option Berechtigungen hinzufügen.
    2. Wählen Sie eine Identitätsquelle, einen Benutzer oder eine Gruppe und eine Rolle aus und klicken Sie auf OK.
      Rolle Beschreibung
      Kann ansehen Schreibgeschützter Zugriff für den Benutzer oder die Gruppe. Der Benutzer oder die Gruppe kann sich bei der Supervisor-Steuerungsebene anmelden und die Arbeitslasten, die in der vSphere-Namespace ausgeführt werden, wie z. B. vSphere-Pods- und Tanzu Kubernetes Grid-Cluster und VMs, auflisten.
      Kann bearbeiten Der Benutzer oder die Gruppe kann vSphere-Pods, Tanzu Kubernetes Grid Cluster und VMs erstellen, lesen, aktualisieren und löschen. Benutzer, die Teil der Administratorengruppe sind, verfügen über Bearbeitungsberechtigungen für alle Namespaces im Supervisor.
      Besitzer

      Benutzerkonten mit Besitzerberechtigungen können die folgenden Aktionen durchführen:

      • Bereitstellen und Verwalten von Arbeitslasten im Namespace.
      • Freigeben des Namespace für andere Benutzer oder Gruppen.
      • Erstellen und löschen Sie mithilfe von kubectl zusätzliche vSphere-Namespaces. Wenn Benutzer mit Besitzerberechtigungen den Namensraum freigeben, können sie anderen Benutzern oder Gruppen Ansichts-, Bearbeitungs- oder Besitzerberechtigungen zuweisen.
      Hinweis: Die Besitzerrolle wird für Benutzer unterstützt, die in der vCenter Single Sign-On-Identitätsquelle verfügbar sind. Sie können die Rolle „Besitzer“ nicht mit einem Benutzer / einer Gruppe eines externen Identitätsanbieters verwenden.
      Wenn Sie der Rolle Kann ansehen oder Kann bearbeiten einen Benutzer oder eine Gruppe zuweisen, erstellt das System ein RoleBinding-Objekt und ordnet es einem ClusterRole-Objekt zu. Beispielsweise wird ein Benutzer oder eine Gruppe, der/die der Kann bearbeiten-Rolle zugewiesen ist, über ein RoleBinding-Objekt dem Kubernetes- edit-ClusterRole-Objekt zugewiesen. Benutzer mit der Rolle edit können Cluster bereitstellen und betreiben. Sie können diese Zuordnung mithilfe des Befehls kubectl get rolebinding im Ziel- vSphere-Namespace anzeigen. 
      kubectl get rolebinding -n tkg2-cluster-namespace
NAME                                                           ROLE                         AGE
wcp:tkg-cluster-namespace:group:vsphere.local:administrators   ClusterRole/edit             33d
wcp:tkg-cluster-namespace:user:vsphere.local:administrator     ClusterRole/edit             33d

      Wenn Sie der Besitzerrolle einen Benutzer oder eine Gruppe zuweisen, erstellt das System ein ClusterRoleBinding-Objekt und ordnet es einem ClusterRole-Objekt zu, mit dessen Hilfe der Benutzer oder die Gruppe vSphere-Namespaces mithilfe von kubectl erstellen und löschen kann. Um diese Zuordnung anzuzeigen, können Sie eine SSH-Verbindung zu einem Supervisor-Steuerungsebenenknoten herstellen.

  10. Weisen Sie dem Namespace Speicherplatz zu.
    Speicherrichtlinien, die Sie dem Namespace zuweisen, stellen dem DevOps-Team dauerhaften Speicher zur Verfügung.
    1. Wählen Sie im Bereich Speicher die Option Speicher hinzufügen aus.
    2. Wählen Sie eine Speicherrichtlinie aus, um die Datenspeicherplatzierung dauerhafter Volumes zu steuern, und klicken Sie auf OK.
    Nach der Zuweisung der Speicherrichtlinie erstellt vSphere IaaS control plane im vSphere-Namespace eine übereinstimmende Kubernetes-Speicherklasse. Bei Verwendung von Tanzu Kubernetes Grid wird die Speicherklasse automatisch aus dem Namespace in den Tanzu Kubernetes Grid-Cluster repliziert. Wenn Sie dem Namespace mehrere Speicherrichtlinien zuweisen, wird für jede Speicherrichtlinie eine separate Speicherklasse erstellt.
  11. Wählen Sie im Bereich „Kapazität und Nutzung“ Grenzwerte bearbeiten aus und konfigurieren Sie Ressourceneinschränkungen für den Namespace.
    Option Bezeichnung
    CPU Die Menge der CPU-Ressourcen, die für den Namespace reserviert werden soll.
    Arbeitsspeicher Die Menge an Arbeitsspeicher, die für den Namespace reserviert werden soll.
    Speicher Die Gesamtmenge an Speicherplatz, die für den Namespace reserviert werden soll.
    Grenzwerte für Speicherrichtlinien Legen Sie die Speichermenge fest, die für jede mit dem Namespace verknüpfte Speicherrichtlinie einzeln reserviert ist.
    Ein Ressourcenpool für den Namespace wird in vCenter Server erstellt. Die Speicherbeschränkung bestimmt die Gesamtmenge des Speichers, die dem Namespace zur Verfügung steht, während Speicherrichtlinien die Platzierung dauerhafter Volumes für vSphere-Pods in den zugeordneten Speicherklassen bestimmen.
  12. Richten Sie den VM-Dienst für eigenständige VMs ein.
    Weitere Informationen finden Sie unter Bereitstellen und Verwalten von virtuellen Maschinen in vSphere IaaS control plane.

Nächste Maßnahme

Teilen Sie die Kubernetes-Steuerungsebenen-URL mit DevOps-Ingenieuren und geben Sie den Benutzernamen an, den sie für die Anmeldung beim Supervisor über die Kubernetes-CLI-Tools für vSphere verwenden können. Sie können einem DevOps-Ingenieur Zugriff auf mehr als einen Namespace gewähren. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit vSphere IaaS-Steuerungsebenen-Clustern.
Hinweis: Dieses Dienste und Arbeitslasten der vSphere IaaS-Steuerungsebene-Handbuch enthält keine Informationen zum Ausführen von Arbeitslasten auf einem Tanzu Kubernetes Grid-Cluster. Informationen zum Arbeiten mit Tanzu Kubernetes Grid-Clustern finden Sie unter Verwenden von Tanzu Kubernetes Grid auf dem Supervisor mit vSphere IaaS-Steuerungsebene.