Sie stellen einen oder mehrere TKG-Dienst-Cluster in einem vSphere-Namespace bereit. Auf den vSphere-Namespace angewendete Konfigurationseinstellungen werden von jedem hier bereitgestellten TKG-Dienst-Cluster übernommen.

Konfigurieren von Rollenberechtigungen für den vSphere-Namespace

Rollenberechtigungen sind auf den vSphere-Namespace beschränkt. Drei Rollenberechtigungen können Benutzern und Gruppen des TKG-Clusters zugewiesen werden: Besitzer, Schreibzugriff und Lesezugriff. In der Tabelle werden die einzelnen Rollen beschrieben. Weitere Informationen finden Sie unter Informationen zur Identitäts- und Zugriffsverwaltung für TKG-Dienst-Cluster.

Wenn Sie vCenter Single Sign-On verwenden, sind alle drei Rollen verfügbar. Informationen zum Zuweisen von SSO-Benutzern und -Gruppen zu einem vSphere-Namespace finden Sie unter Konfigurieren von vSphere-Namespace-Berechtigungen für Benutzer und Gruppen mit vCenter Single Sign-On.

Bei Verwendung eines externen OIDC-Anbieters steht die Rollenberechtigung Besitzer nicht zur Verfügung. Informationen zum Zuweisen von OIDC-Benutzern und -Gruppen zu einem vSphere-Namespace finden Sie unter Konfigurieren von vSphere-Namespace-Berechtigungen für Benutzer und Gruppen externer Identitätsanbieter.

Rolle Beschreibung

Besitzer

Mit der Rollenberechtigung Besitzer können zugewiesene Benutzer und Gruppen vSphere-Namespace-Objekte mithilfe von kubectl verwalten und TKG-Cluster betreiben. Weitere Informationen hierzu finden Sie unter Aktivieren der vSphere-Namespace-Erstellung mithilfe von Kubectl.

Schreibzugriff

Mit der Rollenberechtigung Schreibzugriff können zugewiesene Benutzer und Gruppen vSphere-Namespace-Objekte anzeigen und TKG-Cluster betreiben.

Ein vCenter Single Sign-On-Benutzer oder eine entsprechende Gruppe, der die Berechtigung Schreibzugriff gewährt wurde, ist an die Kubernetes-Rolle cluster-admin für jeden in diesem vSphere-Namespace bereitgestellten TKG-Cluster gebunden.

Lesezugriff

 Mit der Rollenberechtigung Lesezugriff können zugewiesene Benutzer und Gruppen vSphere-Namespace-Objekte anzeigen.
Hinweis: In Kubernetes ist keine gleichwertige schreibgeschützte Rolle vorhanden, an die die Berechtigung Lesezugriff gebunden werden kann. Informationen zum Gewähren von Clusterzugriff für Kubernetes-Benutzer finden Sie unter Gewähren von vCenter SSO-Zugriff auf TKG-Dienst-Cluster für Entwickler.

Konfigurieren eines dauerhaften Speichers für den vSphere-Namespace

Sie können einem vSphere-Namespace eine oder mehrere vSphere-Speicherrichtlinien zuweisen. Eine zugewiesene Speicherrichtlinie steuert die Datenspeicherplatzierung dauerhafter Volumes in der vSphere-Speicherumgebung.

In der Regel definiert ein vSphere-Administrator eine vSphere-Speicherrichtlinie. Wenn Sie vSphere-Zonen verwenden, muss die Speicherrichtlinie mit der Zonal-Topologie konfiguriert werden. Weitere Informationen finden Sie unter Erstellen einer vSphere-Speicherrichtlinie für TKG-Dienst-Cluster.

So weisen Sie einem vSphere-Namespace eine vSphere-Speicherrichtlinie zu:
  1. Wählen Sie Arbeitslastverwaltung > Namespace und den zielseitigen vSphere-Namespace aus.
  2. Wählen Sie auf der Kachel Speicher die Option Speicher hinzufügen aus.
  3. Wählen Sie eine oder mehrere Speicherrichtlinien aus den verfügbaren Optionen aus.

Für jede vSphere-Speicherrichtlinie, die Sie einem vSphere-Namespace zuweisen, erstellt das System zwei übereinstimmende Kubernetes-Speicherklassen in diesem vSphere-Namespace. Diese Speicherklassen werden auf jeden in diesem vSphere-Namespace bereitgestellten TKG-Cluster repliziert. Weitere Informationen finden Sie unter Verwenden von Speicherklassen für persistente Volumes.

Festlegen von Kapazitäts- und Nutzungsgrenzwerten für den vSphere-Namespace

Wenn Sie einen vSphere-Namespace konfigurieren, wird auf vCenter Server ein Ressourcenpool für den vSphere-Namespace erstellt. Standardmäßig ist dieser Ressourcenpool ohne Kapazitäts- und Nutzungskontingent konfiguriert. Ressourcen sind durch die Infrastruktur begrenzt.

In der Kachel Kapazität und Nutzung für den vSphere-Namespace können Sie die folgenden Grenzwerte konfigurieren.
CPU Die Menge der CPU-Ressourcen, die für den vSphere Namespace reserviert werden soll.
Arbeitsspeicher Die Menge an Arbeitsspeicher, die für den vSphere Namespace reserviert werden soll.
Speicher Die Gesamtmenge an Speicherplatz, die für den vSphere Namespace reserviert werden soll.
Grenzwerte für Speicherrichtlinien Legen Sie die Speichermenge fest, die für jede mit dem vSphere Namespace verknüpfte Speicherrichtlinie einzeln reserviert ist.

In der Regel müssen Sie für TKG-Clusterbereitstellungen kein Ressourcenkontingent für den vSphere-Namespace konfigurieren. Wenn Sie Kontingentgrenzen zuweisen, ist es wichtig, die potenziellen Auswirkungen auf die dort bereitgestellten TKG-Cluster zu verstehen.

CPU- und Arbeitsspeichergrenzwerte

Die für den vSphere-Namespace konfigurierten CPU- und Arbeitsspeichergrenzwerte haben keinen Einfluss auf einen dort bereitgestellten TKG-Cluster, wenn die TKG-Clusterknoten den garantierten VM-Klassentyp verwenden. Wenn die TKG-Clusterknoten jedoch den bestmöglichen VM-Klassentyp verwenden, können sich die CPU- und Arbeitsspeichergrenzwerte auf den TKG-Cluster auswirken.

Da der bestmögliche VM-Klassentyp eine Überbelegung von Ressourcen zulässt, ist es möglich, dass keine Ressourcen mehr verfügbar sind, wenn Sie CPU- und Arbeitsspeichergrenzwerte für den vSphere-Namespace festgelegt haben, in dem Sie TKG-Cluster bereitstellen. Wenn ein Konflikt auftritt und die Steuerungsebene der TKG-Cluster betroffen ist, wird die Ausführung des Clusters möglicherweise beendet. Deshalb sollten Sie für Produktionscluster immer den garantierten VM-Klassentyp verwenden. Wenn Sie den garantierten VM-Klassentyp nicht für alle Produktionsknoten verwenden können, sollten Sie den garantierten Klassentyp zumindest für die Knoten der Steuerungsebene verwenden.

Grenzwerte für Speicher- und Speicherrichtlinien

Ein für den vSphere-Namespace konfigurierter Speichergrenzwert bestimmt die Gesamtmenge des Speichers, der dem vSphere-Namespace für alle dort bereitgestellten TKG-Cluster zur Verfügung steht.

Ein für den vSphere-Namespace konfigurierter Grenzwert für Speicherrichtlinien bestimmt die Menge des für diese Speicherklasse verfügbaren Speichers für jeden TKG-Cluster, in dem die Speicherklasse repliziert wird.

Einige Arbeitslasten haben Mindestspeicheranforderungen. Informationen dazu finden Sie beispielsweise unter #GUID-9CA5FE35-8DA5-4F76-BD7F-81059CCA602E.

Verknüpfen der TKR-Inhaltsbibliothek mit dem TKG-Dienst

Zum Bereitstellen von TKG-Clustern verknüpfen Sie den TKG-Dienst mit einer Inhaltsbibliothek. Informationen zum Erstellen einer Inhaltsbibliothek für das Hosting von TKr-Images finden Sie unter Verwalten von Kubernetes-Versionen für TKG-Dienst-Cluster.

So verknüpfen Sie eine TKr-Inhaltsbibliothek mit einem vSphere-Namespace:
  1. Wählen Sie Arbeitslastverwaltung > Supervisoren > Supervisor und dann die Supervisor-Instanz aus.
  2. Wählen Sie Konfigurieren > Supervisor > Allgemein > Tanzu Kubernetes Grid Service aus.
  3. Wählen Sie Inhaltsbibliothek > Bearbeiten aus.
  4. Wählen Sie eine TKR-Inhaltsbibliothek aus.
  5. Navigieren Sie zum vSphere-Namespace und wählen Sie Namespace verwalten aus.
  6. Stellen Sie sicher, dass die ausgewählte Inhaltsbibliothek im Konfigurationsbereich unter Tanzu Kubernetes Grid Service angezeigt wird.

Es ist wichtig zu verstehen, dass die TKR-Inhaltsbibliothek nicht auf den Namespace-Geltungsbereich beschränkt ist. Alle vSphere-Namespaces verwenden dieselbe TKR-Inhaltsbibliothek, die für den Tanzu Kubernetes Grid Service (TKGS) konfiguriert ist. Änderungen an der TKR-Inhaltsbibliothek für TKGS wirken sich auf jeden vSphere-Namespace aus.

Hinweis: Die Inhaltsbibliothek, auf die in der Kachel VM-Dienst verwiesen wird, ist für die Verwendung mit eigenständigen VMs und nicht für die TKR-Inhaltsbibliothek vorgesehen. Fügen Sie die TKR-Inhaltsbibliothek nicht in dieser Kachel hinzu.

Verknüpfen von VM-Klassen mit dem vSphere-Namespace

vSphere IaaS control plane bietet mehrere standardmäßige VM-Klassen, und Sie können Ihre eigenen erstellen.

Zum Bereitstellen eines TKG-Clusters verknüpfen Sie eine oder mehrere VM-Klassen mit dem zielseitigen vSphere-Namespace. Gebundene Klassen stehen für die Verwendung durch TKG-Clusterknoten zur Verfügung, die in diesem vSphere-Namespace bereitgestellt werden.

Um die Standard-VM-Klassen mit einem vSphere-Namespace zu verknüpfen, melden Sie sich mithilfe des vCenter Server - vSphere Client an und führen Sie das folgende Verfahren durch.
  1. Wählen Sie Arbeitslastverwaltung > Namespace und den zielseitigen vSphere-Namespace aus.
  2. Wählen Sie für die Kachel VM-Dienst die Option VM-Klasse hinzufügen aus.
  3. Wählen Sie jede VM-Klasse aus, die Sie hinzufügen möchten.
    1. Zum Hinzufügen der Standard-VM-Klassen aktivieren Sie das Kontrollkästchen in der Tabellenkopfzeile auf Seite 1 der Liste, navigieren Sie zu Seite 2 und aktivieren Sie das Kontrollkästchen in der Tabellenkopfzeile auf dieser Seite. Stellen Sie sicher, dass alle Klassen ausgewählt sind.
    2. Um eine benutzerdefinierte Klasse zu erstellen, klicken Sie auf Neue VM-Klasse erstellen. Anweisungen finden Sie in der Dokumentation zu VM-Diensten.
  4. Klicken Sie auf OK, um den Vorgang abzuschließen.
  5. Bestätigen Sie, dass die Klassen hinzugefügt wurden. Die Kachel VM-Dienst zeigt VM-Klassen verwalten an.

Überprüfen der vSphere-Namespace-Konfiguration

Ein konfigurierter vSphere-Namespace umfasst Status, Berechtigungen, Speicher, Kapazität und Nutzung, TKR-Inhaltsbibliothek und VM-Klassen.
Abbildung 1. Konfiguriert vSphere-Namespace
Konfigurierter vSphere-Namespace
Die Kachel Status enthält einen Link zu den vSphere IaaS control plane CLI-Tools. Die Seite „DevOps“ wird vom Load Balancer der Supervisor-Steuerungsebene verwaltet. Stellen Sie TKG-Clusterbenutzern den Link zum Herunterladen der Kubernetes-CLI-Tools für vSphere zur Verfügung. Weitere Informationen finden Sie unter Installieren des Kubernetes-CLI-Tools für vSphere.
Abbildung 2. Seite „DevOps“ für vSphere-Namespace
DevOps-Seite für vSphere-Namespace

Informationen dazu, wie Sie die vSphere-Namespace-Konfiguration mithilfe von kubectl überprüfen, finden Sie unter Überprüfen der vSphere-Namespace-Bereitschaft zum Hosten von TKG-Dienstclustern.