Découvrez comment créer un et configurer un Espace de noms vSphere sur le Superviseur. En tant qu'administrateur vSphere, après avoir créé un Espace de noms vSphere, vous définissez des limites de ressources sur l'espace de noms et les autorisations afin que les ingénieurs DevOps puissent y accéder. Vous fournissez l'URL du plan de contrôle Kubernetes aux ingénieurs DevOps dans lequel ils peuvent exécuter des charges de travail sur les espaces de noms pour lesquels ils disposent d'autorisations.

Les espaces de noms sur les Superviseurs configurés avec la pile de mise en réseau VDS et les espaces de noms sur les clusters configurés avec NSX ont une configuration et des capacités de mise en réseau différentes. Les espaces de noms configurés sur des Superviseurs déployés sur trois zones vSphere prennent également en charge différents ensembles de capacités que les espaces de noms sur les Superviseurs à une zone.
  • Superviseur à une zone configuré avec NSX. Les Espaces de noms vSphere sur ces Superviseurs prennent en charge les Espaces vSphere, les machines virtuelles, les clusters Tanzu Kubernetes Grid et les Services de superviseur. La prise en charge de la mise en réseau de la charge de travail pour ces Espaces de noms vSphere est assurée par NSX.
  • Superviseur à trois zones configuré avec NSX. Les Espaces de noms vSphere sur un Superviseur à trois zones configuré avec NSX prennent en charge uniquement les clusters et les machines virtuelles Tanzu Kubernetes Grid. Ils ne prennent pas en charge les Espaces vSphere et les Services de superviseur.
  • Superviseur à une zone configuré avec VDS. Les Espaces de noms vSphere sur des Superviseurs à une zone avec VDS prennent en charge Tanzu Kubernetes Grid, les machines virtuelles et les Services de superviseur. Ils ne prennent pas en charge les Espaces vSphere autres que ceux déployés par les Services de superviseur pour leur propre utilisation.
  • Superviseur à trois zones configuré avec VDS. Les Espaces de noms vSphere qui exécutent un Superviseur à trois zones avec VDS prennent en charge uniquement les clusters et les machines virtuelles Tanzu Kubernetes Grid. Ils ne prennent pas en charge les Espaces vSphere et les Services de superviseur.

Pour plus d'informations, reportez-vous aux sections Configuration requise pour l'activation d'un superviseur à trois zones avec l'équilibreur de charge HAProxy et Configuration requise pour l'activation d'un superviseur de cluster unique avec la mise en réseau VDS et l'équilibreur de charge HAProxy dans Concepts et planification du plan de contrôle IaaS vSphere.

Vous pouvez également définir des limites de ressources pour l'espace de noms, attribuer des autorisations et provisionner ou activer le service d'espace de noms sur un cluster en tant que modèle. Par conséquent, les ingénieurs DevOps peuvent créer un espace de noms de superviseur en libre-service et y déployer des charges de travail. Pour plus d'informations, consultez Provisionner un modèle d'espace de noms en libre-service dans vSphere IaaS control plane.

Si vous utilisez NSX pour vos Superviseurs, vous avez la possibilité de remplacer les paramètres de mise en réseau au niveau de l' Espace de noms vSphere. Ayez à l'esprit les considérations suivantes si vous sélectionnez cette option :
Tableau 1. Éléments à prendre en compte pour la planification du réseau Espace de noms vSphere
Considération Description
NSXInstallation Pour remplacer les paramètres réseau du Superviseur pour un Espace de noms vSphere particulier, NSX doit inclure un cluster Edge dédié aux passerelles de niveau 0 (routeurs) et un autre cluster Edge dédié aux passerelles de niveau 1. Reportez-vous aux instructions d'installation de NSX fournies dans le guide Installation et configuration du plan de contrôle IaaS vSphere.
IPAM Requis Si vous remplacez les paramètres réseau du Superviseur pour un Espace de noms vSphere particulier, le nouveau réseau d'e Espace de noms vSphere doit spécifier les sous-réseaux d'entrée, de sortie et de réseau d'espace de noms qui sont uniques pour le Superviseur et à partir de tout autre réseau d'e Espace de noms vSphere. Vous devrez gérer l'allocation d'adresses IP en conséquence.
Routage du Superviseur Le Superviseur doit être en mesure d'effectuer le routage directement vers les nœuds de cluster TKG et les sous-réseaux d'entrée. Lorsque vous sélectionnez une passerelle de niveau 0 pour l'Espace de noms vSphere, vous disposez de deux options pour configurer le routage requis :
  • Utiliser une passerelle VRF (Virtual Routing and Forwarding) pour hériter de la configuration de la passerelle de niveau 0 du Superviseur
  • Utiliser le protocole BGP (Border Gateway Protocol) pour configurer des routes entre la passerelle de niveau 0 du Superviseur et la passerelle de niveau 0 dédiée

Pour plus d'informations sur ces options, reportez-vous à la documentation Passerelles NSX de niveau 0.

Conditions préalables

  • Déployez un Superviseur
  • Créez des utilisateurs et des groupes pour les ingénieurs et les développeurs DevOps qui auront besoin d'accéder à l'Espace de noms vSphere. Créez les utilisateurs ou les groupes dans les sources d'identité qui sont connectées à vCenter Single Sign-On ou dans un fournisseur OIDC configuré avec le Superviseur.
  • Créez des stratégies de stockage pour le stockage persistant. Si l'espace de noms se trouve dans un Superviseur à trois zones, utilisez des stratégies compatibles avec la topologie. Vous ne pouvez pas attribuer des stratégies de stockage ne prenant pas en charge la topologie à l'espace de noms à trois zones.
  • Créez des classes de machine virtuelle et des bibliothèques de contenu pour les machines virtuelles autonomes.
  • Privilèges requis :
    • Espaces de noms.Modifier la configuration à l'échelle du cluster
    • Espaces de noms.Modifier la configuration de l'espace de noms

Procédure

  1. Dans le menu d'accueil de vSphere Client, sélectionnez Gestion de la charge de travail.
  2. Sélectionnez l'onglet Espaces de noms.
  3. Cliquez sur Créer un espace de noms.
  4. Sélectionnez le Superviseur où vous souhaitez placer l'Espace de noms vSphere.
  5. Entrez un nom pour l'espace de noms.
    Le nom doit être dans un format compatible DNS.
  6. Dans le menu déroulant Réseau, sélectionnez un réseau de charge de travail pour l'Espace de noms vSphere.
    Note : Cette étape n'est disponible que si vous créez l'espace de noms sur un cluster configuré avec la pile de mise en réseau vSphere.
  7. Si vous avez configuré la pile de mise en réseau NSX pour votre Superviseur, vous pouvez sélectionner l'option Remplacer les paramètres réseau du cluster pour remplacer les paramètres réseau du Superviseur et configurer les paramètres réseau de l'espace de noms.
    Configurez les paramètres réseau suivants pour l'espace de noms :
    Option Description
    Passerelle de niveau 0 Sélectionnez la passerelle de niveau 0 à associer à la passerelle de niveau 1 de l'espace de noms.

    La sélection d'une passerelle de niveau 0 remplace la passerelle de niveau 0 que vous avez configurée lors de l'activation du cluster. Vous devez donc configurer à nouveau les plages CIDR.

    Note : Le Superviseur doit être en mesure d'effectuer le routage directement vers les nœuds de cluster TKG et les sous-réseaux d'entrée.
    • Si vous sélectionnez une passerelle VRF qui est liée à la passerelle de niveau 0, le réseau et les sous-réseaux sont automatiquement configurés.
    • Si vous avez sélectionné le mode NAT, vous devez configurer les CIDR de sous-réseau, d'entrée et de sortie.
    • Si vous désélectionnez le mode NAT, vous devez configurer uniquement les CIDR de sous-réseau et d'entrée.
    Note : Après avoir sélectionné une passerelle de niveau 0, vous ne pouvez pas la modifier.
    Mode NAT Le mode NAT est sélectionné par défaut.
    Si vous désélectionnez cette option, toutes les charges de travail telles que les Espaces vSphere, les machines virtuelles et les adresses IP du nœud des clusters Tanzu Kubernetes Grid sont directement accessibles depuis l'extérieur de la passerelle de niveau 0 et vous n'avez pas à configurer les CIDR de sortie.
    Note : Après avoir activé le mode d'un espace de noms, vous ne pouvez plus le modifier.
    Taille de l'équilibrage de charge Sélectionnez la taille de l'instance d'équilibrage de charge sur la passerelle de niveau 1 pour l'espace de noms.
    Réseau d'espace de noms Entrez un ou plusieurs CIDR IP pour créer des sous-réseaux/segments et attribuer des adresses IP pour les charges de travail connectées aux espaces de noms.
    Note : Entrez la plage CIDR si vous ne l'avez pas configurée pour le cluster. Vous pouvez configurer des CIDR supplémentaires après avoir créé l'espace de noms, en modifiant les paramètres réseau de l'espace de noms.
    Préfixe de sous-réseau d'espace de noms Entrez le préfixe de sous-réseau qui spécifie la taille du sous-réseau réservé aux segments d'espaces de noms. La valeur par défaut est 28.
    Note : Après avoir spécifié le préfixe de sous-réseau, vous ne pouvez pas le modifier.
    Entrée Entrez une annotation CIDR pour déterminer la plage d'adresses IP d'entrée pour les adresses IP virtuelles publiées par le service d'équilibrage de charge pour les Espaces vSphere ou les clusters Tanzu Kubernetes Grid.

    Vous pouvez configurer des CIDR supplémentaires après avoir créé l'espace de noms, en modifiant les paramètres réseau de l'espace de noms.
    Sortie Entrez une annotation CIDR qui détermine la plage d'adresses IP de sortie pour les adresses IP SNAT.

    Vous pouvez configurer des CIDR supplémentaires après avoir créé l'espace de noms, en modifiant les paramètres réseau de l'espace de noms.
  8. Entrez une description, puis cliquez sur Créer.
    L'espace de noms est créé sur le Superviseur.
  9. Définissez des autorisations pour les utilisateurs qui peuvent accéder à l'espace de noms.
    En tant qu'administrateur vSphere, vous définissez des autorisations sur un Espace de noms vSphere pour les développeurs et les ingénieurs DevOps qui doivent accéder à l'espace de noms. Un compte d'utilisateur peut accéder à plusieurs espaces de noms. Les utilisateurs qui sont membres des groupes d'administrateurs ont accès à tous les espaces de noms sur le Superviseur.
    1. Dans le volet Autorisations, sélectionnez Ajouter des autorisations.
    2. Sélectionnez une source d'identité, un utilisateur ou un groupe, ainsi qu'un rôle, puis cliquez sur OK.
      Rôle Description
      Peut afficher Accès en lecture seule pour l'utilisateur ou le groupe. L'utilisateur ou le groupe peut se connecter au plan de contrôle du Superviseur et répertorier les charges de travail s'exécutant dans l'Espace de noms vSphere, telles que les Espaces vSphere, les clusters Tanzu Kubernetes Grid et les machines virtuelles.
      Peut modifier L'utilisateur ou le groupe peut créer, lire, mettre à jour et supprimer des Espaces vSphere, des clusters Tanzu Kubernetes Grid et des machines virtuelles. Les utilisateurs qui font partie du groupe Administrateurs disposent d'autorisations de modification sur tous les espaces de noms du Superviseur.
      Propriétaire

      Les comptes d'utilisateur avec des autorisations de propriétaire peuvent :

      • Déployez et administrez les charges de travail dans l'espace de noms.
      • Partagez l'espace de noms avec d'autres utilisateurs ou groupes.
      • Créer et supprimer des Espaces de noms vSphere supplémentaires à l'aide de kubectl. Lorsque des utilisateurs avec l'autorisation de propriétaire partagent l'espace de noms, ils peuvent attribuer des autorisations d'affichage, de modification ou de propriétaire à d'autres utilisateurs ou groupes.
      Note : Le rôle de propriétaire est pris en charge pour les utilisateurs disponibles dans la source d'identité vCenter Single Sign-On. Vous ne pouvez pas utiliser le rôle de propriétaire avec un utilisateur ou un groupe d'un fournisseur d'identité externe.
      Lorsque vous attribuez un utilisateur ou un groupe aux rôles Peut afficher ou Peut modifier, le système crée une liaison RoleBinding et la mappe à un ClusterRole. Par exemple, un utilisateur ou un groupe attribué au rôle Peut modifier est mappé au ClusterRole edit Kubernetes via une liaison RoleBinding. Ce rôle edit permet aux utilisateurs de provisionner et d'exploiter des clusters. Vous pouvez afficher ce mappage à l'aide de la commande kubectl get rolebinding à partir de l' Espace de noms vSphere cible. 
      kubectl get rolebinding -n tkg2-cluster-namespace
NAME                                                           ROLE                         AGE
wcp:tkg-cluster-namespace:group:vsphere.local:administrators   ClusterRole/edit             33d
wcp:tkg-cluster-namespace:user:vsphere.local:administrator     ClusterRole/edit             33d

      Lorsque vous attribuez un rôle de propriétaire à un utilisateur ou un groupe, le système crée une liaison ClusterRoleBinding et la mappe à un ClusterRole qui permet propriétaire de créer et de supprimer des Espaces de noms vSphere à l'aide de kubectl. Pour afficher ce mappage, vous pouvez utiliser SSH pour vous connecter à un nœud de plan de contrôle du Superviseur.

  10. Attribuez le stockage à l'espace de nom.
    Les stratégies de stockage que vous attribuez à l'espace de noms rendent le stockage persistant disponible pour l'équipe DevOps.
    1. Dans le volet Stockage, sélectionnez Ajouter un stockage.
    2. Sélectionnez une stratégie de stockage pour contrôler le placement des banques de données des volumes persistants et cliquez sur OK.
    Après avoir attribué la stratégie de stockage, la vSphere IaaS control plane crée une classe de stockage Kubernetes correspondante dans le Espace de noms vSphere. Si vous utilisez Tanzu Kubernetes Grid, la classe de stockage est automatiquement répliquée de l'espace de noms vers le cluster Tanzu Kubernetes Grid. Lorsque vous attribuez plusieurs stratégies de stockage à l'espace de noms, une classe de stockage distincte est créée pour chaque stratégie de stockage.
  11. Dans le volet Capacité et utilisation, sélectionnez Modifier les limites et configurez les limitations de ressources sur l'espace de noms.
    Option Description
    CPU Quantité de ressources de CPU à réserver pour l'espace de noms.
    Mémoire Quantité de mémoire à réserver pour l'espace de noms.
    Stockage Quantité totale d'espace de stockage à réserver pour l'espace de noms.
    Limites des stratégies de stockage Définissez la quantité de stockage dédiée individuellement à chacune des stratégies de stockage que vous avez associées à l'espace de noms.
    Un pool de ressources pour l'espace de noms est créé sur vCenter Server. La limite de stockage détermine la quantité totale de stockage disponible pour l'espace de noms tandis que les stratégies de stockage déterminent le placement de volumes persistants pour les Espaces vSphere sur les classes de stockage associées.
  12. Configurez le service de machine virtuelle pour les machines virtuelles autonomes.
    Pour plus d'informations, consultez Déploiement et gestion de machines virtuelles dans vSphere IaaS control plane.

Que faire ensuite

Partagez l'URL du plan de contrôle Kubernetes avec les ingénieurs DevOps ainsi que le nom d'utilisateur qu'ils peuvent utiliser pour se connecter à l'instance de Superviseur via Outils de l'interface de ligne de commande Kubernetes pour vSphere . Vous pouvez accorder à un ingénieur DevOps l'accès à plusieurs espaces de noms. Reportez-vous à la section Connexion aux clusters de plan de contrôle IaaS vSphere.
Note : Ce guide Services et charges de travail du plan de contrôle IaaS vSphere n'inclut pas d'informations sur les charges de travail en cours d'exécution sur un cluster Tanzu Kubernetes Grid. Pour apprendre à utiliser les clusters Tanzu Kubernetes Grid, reportez-vous à la section Utilisation de Tanzu Kubernetes Grid sur un superviseur avec le plan de contrôle IaaS vSphere.