Consulte cómo crear y configurar un espacio de nombres de vSphere en el Supervisor. Como administrador de vSphere, después de crear un espacio de nombres de vSphere, establezca límites de recursos en el espacio de nombres y los permisos para que los ingenieros de desarrollo y operaciones puedan acceder a él. Debe proporcionar a los ingenieros de desarrollo y operaciones la dirección URL del plano de control de Kubernetes donde pueden ejecutar cargas de trabajo en los espacios de nombres para los que tienen permisos.

Los espacios de nombres de Supervisores que se configuran con la pila de redes de VDS y los espacios de nombres de los clústeres configurados con NSX tienen diferentes capacidades y configuración de redes. Los espacios de nombres que se configuran en Supervisores implementados en tres zonas de vSphere también admiten diferentes conjuntos de capacidades que los espacios de nombres en Supervisores con una sola zona.
  • Supervisor de una zona configurado con NSX. Los espacios de nombres de vSphere en estos Supervisores admiten pods de vSphere, máquinas virtuales, clústeres de Tanzu Kubernetes Grid y servicios de supervisor. NSX proporciona la compatibilidad con redes de cargas de trabajo para estos espacios de nombres de vSphere.
  • Supervisor de tres zonas con NSX. Los espacios de nombres de vSphere en un Supervisor de tres zonas configurado con NSX solo admiten máquinas virtuales y clústeres de Tanzu Kubernetes Grid. No admiten pods de vSphere ni servicios de supervisor.
  • Supervisor de una zona configurado con VDS. Los espacios de nombres de vSphere en Supervisores de una zona con VDS admiten Tanzu Kubernetes Grid, máquinas virtuales y servicios de supervisor. No admiten otros pods de vSphere aparte de los que implementan los servicios de supervisor para su propio uso.
  • Supervisor de tres zonas con VDS. Los espacios de nombres de vSphere que ejecutan un Supervisor de tres zonas con VDS solo admiten máquinas virtuales y clústeres de Tanzu Kubernetes Grid. No admiten pods de vSphere ni servicios de supervisor.

Si desea obtener más información, consulte Requisitos para habilitar un supervisor de tres zonas con el equilibrador de carga de HA Proxy y Requisitos para habilitar un supervisor de clúster único con redes de VDS y el equilibrador de carga de HA Proxy en Planificación y conceptos del plano de control de IaaS de vSphere.

También puede establecer límites de recursos para el espacio de nombres, asignar permisos y aprovisionar o activar el servicio de espacio de nombres en un clúster como una plantilla. Como resultado, los ingenieros de desarrollo y operaciones pueden crear un espacio de nombres de supervisor de autoservicio e implementar cargas de trabajo dentro de él. Para obtener más información, consulte Aprovisionar una plantilla de espacio de nombres de autoservicio en vSphere IaaS control plane.

Si utiliza NSX para sus Supervisores, tiene la opción de anular la configuración de red en el nivel del espacio de nombres de vSphere. Tenga en cuenta las siguientes consideraciones si selecciona esa opción:
Tabla 1. Consideraciones sobre la planificación de la red de espacio de nombres de vSphere
Consideración Descripción
Instalación de NSX Para anular la configuración de red del Supervisor para un espacio de nombres de vSphere en particular, NSX debe incluir un clúster de Edge dedicado para puertas de enlace de nivel 0 (enrutadores) y otro clúster de Edge dedicado para puertas de enlace de nivel 1. Consulte las instrucciones de instalación de NSX proporcionadas en la guía Instalar y configurar el plano de control de IaaS de vSphere.
Se requiere IPAM Si anula la configuración de red del Supervisor para un espacio de nombres de vSphere en particular, la nueva red del espacio de nombres de vSphere debe especificar las subredes de Entrada, Salida y Red de espacio de nombres que sean únicas en el Supervisor y en cualquier otra red del espacio de nombres de vSphere. Tendrá que administrar la asignación de direcciones IP según corresponda.
Enrutamiento del Supervisor El Supervisor debe poder enrutar directamente a los nodos del clúster de TKG y a las subredes de entrada. Al seleccionar una puerta de enlace de nivel 0 para el espacio de nombres de vSphere, existen dos opciones para configurar el enrutamiento que se requiere:
  • Utilizar una puerta de enlace de enrutamiento y reenvío virtual (Virtual Routing and Forwarding, VRF) para heredar la configuración de la puerta de enlace de nivel 0 del Supervisor
  • Utilizar el protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP) para configurar rutas entre la puerta de enlace de nivel 0 del Supervisor y la puerta de enlace de nivel 0 dedicada

Consulte la documentación de las puertas de enlace de nivel 0 de NSX para conocer más detalles sobre estas opciones.

Requisitos previos

  • Implemente un Supervisor.
  • Cree usuarios y grupos para desarrolladores e ingenieros de desarrollo y operaciones, quienes necesitarán acceso al espacio de nombres de vSphere. Cree los usuarios o los grupos en orígenes de identidad que estén conectados a vCenter Single Sign-On o en un proveedor de OIDC configurado con el Supervisor.
  • Cree directivas de almacenamiento para el almacenamiento persistente. Si el espacio de nombres se encuentra en un Supervisor de tres zonas, utilice directivas con reconocimiento de topología. No se pueden asignar directivas de almacenamiento sin reconocimiento de topología al espacio de nombres de tres zonas.
  • Cree clases de máquina virtual y bibliotecas de contenido para máquinas virtuales independientes.
  • Privilegios necesarios:
    • Espacio de nombres.Modificar configuración de todo el clúster
    • Espacio de nombres.Modificar configuración del espacio de nombres

Procedimiento

  1. En el menú Inicio de vSphere Client, seleccione Administración de cargas de trabajo.
  2. Seleccione la pestaña Espacios de nombres.
  3. Haga clic en Crear espacio de nombres.
  4. Seleccione el Supervisor donde quiere ubicar el espacio de nombres de vSphere.
  5. Introduzca un nombre para el espacio de nombres.
    El nombre debe tener un formato compatible con DNS.
  6. En el menú desplegable Red, seleccione una red de cargas de trabajo para el espacio de nombres de vSphere.
    Nota: Este paso solo está disponible si se crea el espacio de nombres en un clúster que se haya configurado con la pila de redes de vSphere.
  7. Si configuró la pila de redes de NSX para el Supervisor, puede seleccionar Anular configuración de red de clúster para anular la configuración de red del Supervisor y configurar los ajustes de red para el espacio de nombres.
    Configure los siguientes ajustes de red para el espacio de nombres:
    Opción Descripción
    Puerta de enlace de nivel 0 Seleccione la puerta de enlace de nivel 0 que se asociará con la puerta de enlace de nivel 1 del espacio de nombres.

    Al seleccionar una puerta de enlace de nivel 0, se anula la puerta de enlace de nivel 0 que configuró al habilitar el clúster, por lo que debe volver a configurar los rangos de CIDR.

    Nota: El Supervisor debe poder enrutar directamente a los nodos del clúster de TKG y a las subredes de entrada.
    • Si selecciona una puerta de enlace VRF vinculada a la puerta de enlace de nivel 0, la red y las subredes se configuran automáticamente.
    • Si seleccionó el modo NAT, debe configurar los CIDR de subred, entrada y salida.
    • Si anula la selección del modo NAT, solo debe configurar la subred y los CIDR de entrada.
    Nota: Una vez que seleccione una puerta de enlace de nivel 0, no podrá cambiarla.
    Modo NAT El modo NAT está seleccionado de forma predeterminada.
    Si anula la selección de esta opción, todas las cargas de trabajo, como las direcciones IP del nodo de pods de vSphere, máquinas virtuales y clústeres de Tanzu Kubernetes Grid, son accesibles directamente desde fuera de la puerta de enlace de nivel 0 y no es necesario configurar los CIDR de salida.
    Nota: Una vez habilitado el modo de espacio de nombres, no se pueden hacer cambios.
    Tamaño del equilibrador de carga Seleccione el tamaño de la instancia del equilibrador de carga en la puerta de enlace de nivel 1 para el espacio de nombres.
    Red de espacio de nombres Introduzca uno o varios CIDR de IP para crear subredes/segmentos y asignar direcciones IP para cargas de trabajo conectadas a espacios de nombres.
    Nota: Introduzca el rango de CIDR si no lo configuró para el clúster. Puede configurar CIDR adicionales después de crear el espacio de nombres editando la configuración de red del espacio de nombres.
    Prefijo de subred de espacio de nombres Introduzca el prefijo de subred que especifica el tamaño de la subred reservada para los segmentos de espacios de nombres. El valor predeterminado es 28.
    Nota: Una vez que especifique el prefijo de subred, no podrá cambiarlo.
    Ingreso Introduzca una anotación CIDR que determine el rango de IP de entrada para las direcciones IP virtuales publicadas por el servicio de equilibrador de carga para clústeres de pods de vSphere o Tanzu Kubernetes Grid.

    Puede configurar CIDR adicionales después de crear el espacio de nombres editando la configuración de red del espacio de nombres.
    Egreso Introduzca una anotación CIDR que determine el rango de IP de egreso para las direcciones IP SNAT.

    Puede configurar CIDR adicionales después de crear el espacio de nombres editando la configuración de red del espacio de nombres.
  8. Introduzca una descripción y haga clic en Crear.
    El espacio de nombres se crea en el Supervisor.
  9. Establezca permisos para los usuarios que puedan acceder al espacio de nombres.
    Como administrador de vSphere, establezca permisos en un espacio de nombres de vSphere para desarrolladores e ingenieros de desarrollo y operaciones que necesitan acceder al espacio de nombres. Una cuenta de usuario puede tener acceso a varios espacios de nombres a la vez. Los usuarios que pertenecen a los grupos de administradores pueden acceder a todos los espacios de nombres del Supervisor.
    1. En el panel Permisos, seleccione Agregar permisos.
    2. Seleccione un origen de identidad, un usuario o un grupo, y una función, y haga clic en Aceptar.
      Función Descripción
      Puede ver Acceso de solo lectura para el usuario o el grupo. El usuario o el grupo pueden iniciar sesión en el plano de control del Supervisor y crear una lista con las cargas de trabajo que se ejecutan en el espacio de nombres de vSphere, como los pods de vSphere y los clústeres de Tanzu Kubernetes Grid, y las máquinas virtuales.
      Puede editar El usuario o el grupo pueden crear, leer, actualizar y eliminar pods de vSphere, clústeres de Tanzu Kubernetes Grid y máquinas virtuales. Los usuarios que forman parte del grupo Administradores tienen permisos de edición en todos los espacios de nombres del Supervisor.
      Propietario

      Las cuentas de usuario con permisos de propietario pueden hacer lo siguiente:

      • Implemente y administre cargas de trabajo en el espacio de nombres.
      • Comparta el espacio de nombres con otros usuarios o grupos.
      • Crear y eliminar espacios de nombres de vSphere adicionales mediante kubectl. Cuando usuarios con el permiso de propietario comparten el espacio de nombres, pueden asignar permisos de vista, edición o propietario a otros usuarios o grupos.
      Nota: La función de propietario es compatible con los usuarios disponibles en el origen de identidad de vCenter Single Sign-On. No se puede usar la función de propietario con un usuario o grupo que provenga de un proveedor de identidad externo.
      Cuando asigna un usuario o grupo a las funciones Puede ver o Puede editar, el sistema crea un objeto RoleBinding y lo asigna a un objeto ClusterRole. Por ejemplo, un usuario o grupo asignados a la función Puede editar se asignan al objeto edit ClusterRole de Kubernetes mediante un objeto RoleBinding. Con la función edit, los usuarios pueden aprovisionar y operar clústeres. Puede ver esta asignación mediante el comando kubectl get rolebinding desde el espacio de nombres de vSphere de destino. 
      kubectl get rolebinding -n tkg2-cluster-namespace
NAME                                                           ROLE                         AGE
wcp:tkg-cluster-namespace:group:vsphere.local:administrators   ClusterRole/edit             33d
wcp:tkg-cluster-namespace:user:vsphere.local:administrator     ClusterRole/edit             33d

      Cuando se asigna un usuario o grupo a la función de propietario, el sistema crea un objeto ClusterRoleBinding y lo asigna a un objeto ClusterRole que permite al usuario o grupo crear y eliminar espacios de nombres de vSphere mediante kubectl. Para ver esta asignación, puede utilizar SSH con un nodo de plano de control del Supervisor.

  10. Asigne el almacenamiento al espacio de nombres.
    Las directivas de almacenamiento que se asignan al espacio de nombres ponen el almacenamiento persistente a disposición del equipo de desarrollo y operaciones.
    1. En el panel Almacenamiento, seleccione Agregar almacenamiento.
    2. Seleccione una directiva de almacenamiento para controlar la ubicación de los almacenes de datos de los volúmenes persistentes y haga clic en Aceptar.
    Después de asignar la directiva de almacenamiento, vSphere IaaS control plane crea una clase de almacenamiento de Kubernetes que coincide en el espacio de nombres de vSphere. Si utiliza Tanzu Kubernetes Grid, la clase de almacenamiento se replica automáticamente desde el espacio de nombres en el clúster de Tanzu Kubernetes Grid. Si asigna varias directivas de almacenamiento al espacio de nombres, se crea una clase de almacenamiento independiente para cada directiva de almacenamiento.
  11. En el panel Capacidad y uso, seleccione Editar límites y configure las limitaciones de recursos en el espacio de nombres.
    Opción Descripción
    CPU La cantidad de recursos de CPU que se reservarán para el espacio de nombres.
    Memoria La cantidad de memoria que se reservará para el espacio de nombres.
    Almacenamiento La cantidad total de espacio de almacenamiento que se reservará para el espacio de nombres.
    Límites de directivas de almacenamiento Establezca la cantidad de almacenamiento dedicado individualmente a cada una de las directivas de almacenamiento que asoció al espacio de nombres.
    Se crea un grupo de recursos para el espacio de nombres en vCenter Server. La limitación de almacenamiento determina la cantidad total de almacenamiento disponible para el espacio de nombres, mientras que las directivas de almacenamiento determinan la colocación de los volúmenes persistentes para los pods de vSphere en las clases de almacenamiento asociadas.
  12. Configure el servicio de máquina virtual para las máquinas virtuales independientes.
    Para obtener información, consulte Implementar y administrar máquinas virtuales en vSphere IaaS control plane.

Qué hacer a continuación

Comparta la URL del plano de control de Kubernetes con los ingenieros de desarrollo y operaciones, así como el nombre de usuario que pueden utilizar para iniciar sesión en Supervisor a través de Herramientas de la CLI de Kubernetes para vSphere. Puede conceder acceso a más de un espacio de nombres a un ingeniero de desarrollo y operaciones. Consulte Conectarse a clústeres del plano de control de vSphere IaaS.
Nota: Esta guía de Servicios y cargas de trabajo del plano de control de IaaS de vSphere no incluye información sobre la ejecución de cargas de trabajo en un clúster de Tanzu Kubernetes Grid. Para obtener información sobre cómo trabajar con clústeres de Tanzu Kubernetes Grid, consulte Usar Tanzu Kubernetes Grid en Supervisor con Plano de control de IaaS de vSphere.