vSphere IaaS control plane unterstützt dauerhafte Volumes im ReadWriteMany-Modus. Mit der ReadWriteMany-Unterstützung kann ein einzelnes Volume von mehreren in einem TKG-Cluster ausgeführten Pods oder Anwendungen gleichzeitig gemountet werden. vSphere IaaS control plane verwendet CNS-Datei-Volumes, die von vSAN Dateifreigaben für die persistenten ReadWriteMany-Volumes gestützt werden. Zum Verwenden von vSAN Freigaben müssen Sie den vSAN-Dateidienst in Ihrer vSAN-Umgebung einrichten und die Unterstützung für Datei-Volumes auf Ihrem Supervisor aktivieren.

Überlegungen zu Datei-Volumes

Wenn Sie die Unterstützung für Datei-Volumes für dauerhafte Volumes in vSphere IaaS control plane aktivieren, sollten Sie die folgenden Überlegungen beachten.

  • Datei-Volumes werden nur für Arbeitslasten im Tanzu Kubernetes Grid-Cluster unterstützt. Sie werden für Arbeitslasten wie vSphere-Pods- und VM-Dienst-VMs im Supervisor-Namespace nicht unterstützt.
  • Wenn Sie ein RWX-Volume in Kubernetes anfordern, erstellt der vSAN-Dateidienst eine NFS-basierte Dateifreigabe der angeforderten Größe und der entsprechenden SPBM-Richtlinie. Pro RWX-Volume wird eine vSAN-Dateifreigabe erstellt. VMware unterstützt 100 Freigaben pro vSAN-Dateidienstcluster. Entsprechend können Sie über maximal 100 RWX-Volumes verfügen.
  • Verwenden Sie bei TKG-Clustern die TKr-Version 1.22 oder höher.

    Weitere Informationen finden Sie in den Versionshinweisen zu den VMware Tanzu Kubernetes-Versionen.

  • Wenn Sie die Unterstützung von Dateivolumes für vSphere IaaS control plane aktivieren, beachten Sie die potenziellen Sicherheitsschwächen:
    • Die Volumes werden ohne Verschlüsselung gemountet. Auf die unverschlüsselten Daten kann zugegriffen werden, während die Daten über das Netzwerk übertragen werden.
    • Zugriffssteuerungslisten (Access Control Lists, ACLs) werden für die Dateifreigaben verwendet, um den Dateifreigabezugriff innerhalb eines Supervisor-Namespace zu isolieren. Möglicherweise besteht das Risiko eines IP-Spoofing.
  • Befolgen Sie diese Richtlinien für Netzwerke:
    • Wenn Sie NSX für Netzwerke in vSphere IaaS control plane verwenden, stellen Sie sicher, dass für den Supervisor-Namespace der NAT-Modus aktiviert ist. Weitere Informationen finden Sie unter Erstellen und Konfigurieren eines vSphere-Namespace im Supervisor..
    • Achten Sie darauf, dass der vSAN-Dateidienst aus dem Arbeitslastnetzwerk routingfähig ist und dass zwischen dem Arbeitslastnetzwerk und den IP-Adressen des vSAN-Dateidiensts keine NAT erfolgt.
    • Verwenden Sie den allgemeinen DNS-Server für den vSAN-Dateidienst und vSphere IaaS control plane.
  • Wenn Sie die Unterstützung für Datei-Volumes aktiviert haben und sie später deaktivieren, bleiben vorhandene persistente ReadWriteMany-Volumes, die Sie im Cluster bereitgestellt haben, davon unberührt und können nicht verwendet werden. Sie können keine neuen persistenten ReadWriteMany-Volumes erstellen.
vSAN-Dateidienste und die TKG-Cluster

Workflow für die Aktivierung der Unterstützung für Datei-Volumes für persistente Volumes

Befolgen Sie diesen Vorgang, um die Unterstützung für Datei-Volumes zu aktivieren.

  1. Ein vSphere-Administrator richtet einen vSAN-Cluster mit konfiguriertem vSAN-Dateidienst ein.
  2. Ein vSphere-Administrator aktiviert Unterstützung für Datei-Volumes auf dem Supervisor.

    Weitere Informationen finden Sie in der Dokumentation zum Thema Installieren und Konfigurieren der vSphere IaaS-Steuerungsebene unter Ändern der Speichereinstellungen auf dem Supervisor.

  3. Ein DevOps-Ingenieur stellt ein persistentes Volume bereit und konfiguriert den PVC-accessMode als ReadWriteMany.

    Mehrere Pods können mit derselben PVC bereitgestellt werden.

    Beispiel:
    apiVersion: v1
    kind: PersistentVolumeClaim
    metadata:
      name: my-pvc
    spec:
      accessModes:
        - ReadWriteMany
      storageClassName: gold
      resources:
        requests:
            storage: 3Gi