vSphere IaaS control plane unterstützt dauerhafte Volumes im ReadWriteMany-Modus. Mit der ReadWriteMany-Unterstützung kann ein einzelnes Volume von mehreren in einem TKG-Cluster ausgeführten Pods oder Anwendungen gleichzeitig gemountet werden. vSphere IaaS control plane verwendet CNS-Datei-Volumes, die von vSAN Dateifreigaben für die persistenten ReadWriteMany-Volumes gestützt werden. Zum Verwenden von vSAN Freigaben müssen Sie den vSAN-Dateidienst in Ihrer vSAN-Umgebung einrichten und die Unterstützung für Datei-Volumes auf Ihrem Supervisor aktivieren.
Überlegungen zu Datei-Volumes
Wenn Sie die Unterstützung für Datei-Volumes für dauerhafte Volumes in vSphere IaaS control plane aktivieren, sollten Sie die folgenden Überlegungen beachten.
- Datei-Volumes werden nur für Arbeitslasten im Tanzu Kubernetes Grid-Cluster unterstützt. Sie werden für Arbeitslasten wie vSphere-Pods- und VM-Dienst-VMs im Supervisor-Namespace nicht unterstützt.
- Wenn Sie ein RWX-Volume in Kubernetes anfordern, erstellt der vSAN-Dateidienst eine NFS-basierte Dateifreigabe der angeforderten Größe und der entsprechenden SPBM-Richtlinie. Pro RWX-Volume wird eine vSAN-Dateifreigabe erstellt. VMware unterstützt 100 Freigaben pro vSAN-Dateidienstcluster. Entsprechend können Sie über maximal 100 RWX-Volumes verfügen.
- Verwenden Sie bei TKG-Clustern die TKr-Version 1.22 oder höher.
Weitere Informationen finden Sie in den Versionshinweisen zu den VMware Tanzu Kubernetes-Versionen.
- Wenn Sie die Unterstützung von Dateivolumes für vSphere IaaS control plane aktivieren, beachten Sie die potenziellen Sicherheitsschwächen:
- Die Volumes werden ohne Verschlüsselung gemountet. Auf die unverschlüsselten Daten kann zugegriffen werden, während die Daten über das Netzwerk übertragen werden.
- Zugriffssteuerungslisten (Access Control Lists, ACLs) werden für die Dateifreigaben verwendet, um den Dateifreigabezugriff innerhalb eines Supervisor-Namespace zu isolieren. Möglicherweise besteht das Risiko eines IP-Spoofing.
- Befolgen Sie diese Richtlinien für Netzwerke:
- Wenn Sie NSX für Netzwerke in vSphere IaaS control plane verwenden, stellen Sie sicher, dass für den Supervisor-Namespace der NAT-Modus aktiviert ist. Weitere Informationen finden Sie unter Erstellen und Konfigurieren eines vSphere-Namespace im Supervisor..
- Achten Sie darauf, dass der vSAN-Dateidienst aus dem Arbeitslastnetzwerk routingfähig ist und dass zwischen dem Arbeitslastnetzwerk und den IP-Adressen des vSAN-Dateidiensts keine NAT erfolgt.
- Verwenden Sie den allgemeinen DNS-Server für den vSAN-Dateidienst und vSphere IaaS control plane.
- Wenn Sie die Unterstützung für Datei-Volumes aktiviert haben und sie später deaktivieren, bleiben vorhandene persistente ReadWriteMany-Volumes, die Sie im Cluster bereitgestellt haben, davon unberührt und können nicht verwendet werden. Sie können keine neuen persistenten ReadWriteMany-Volumes erstellen.
Workflow für die Aktivierung der Unterstützung für Datei-Volumes für persistente Volumes
Befolgen Sie diesen Vorgang, um die Unterstützung für Datei-Volumes zu aktivieren.
- Ein vSphere-Administrator richtet einen vSAN-Cluster mit konfiguriertem vSAN-Dateidienst ein.
- Entsprechende Informationen finden Sie im Thema über das Aktivieren des vSAN-Dateidiensts und im Thema über das Konfigurieren des Dateidiensts.
- Informationen zu bestimmten Einstellungen in der Umgebung mit vSAN Stretched Cluster finden Sie im Thema über den vSAN-Dateidienst mit Stretched Cluster.
- Ein vSphere-Administrator aktiviert Unterstützung für Datei-Volumes auf dem Supervisor.
Weitere Informationen finden Sie in der Dokumentation zum Thema Installieren und Konfigurieren der vSphere IaaS-Steuerungsebene unter Ändern der Speichereinstellungen auf dem Supervisor.
- Ein DevOps-Ingenieur stellt ein persistentes Volume bereit und konfiguriert den PVC-
accessModealsReadWriteMany.Mehrere Pods können mit derselben PVC bereitgestellt werden.
Beispiel:apiVersion: v1 kind: PersistentVolumeClaim metadata: name: my-pvc spec: accessModes: - ReadWriteMany storageClassName: gold resources: requests: storage: 3Gi
