Informazioni su come creare e configurare un Spazio dei nomi vSphere nel Supervisore. In qualità di amministratore vSphere, dopo aver creato un Spazio dei nomi vSphere, impostare limiti delle risorse per lo spazio dei nomi e le autorizzazioni in modo che i tecnici di DevOps possano accedervi. Fornire ai tecnici di DevOps l'URL del pannello di controllo Kubernetes in cui possono eseguire carichi di lavoro negli spazi dei nomi per cui dispongono delle autorizzazioni.

Gli spazi dei nomi nei Supervisori configurati con lo stack di rete VDS e gli spazi dei nomi nei cluster configurati con NSX hanno configurazioni e funzionalità di rete diverse. Gli spazi dei nomi configurati in Supervisori distribuiti in tre zone vSphere supportano anche set di funzionalità diversi rispetto agli spazi dei nomi in una zona Supervisori.
  • Supervisore a una zona configurato con NSX. Spazi dei nomi vSphere in tali Supervisori supportano Pod vSphere, macchine virtuali, cluster Tanzu Kubernetes Grid e Servizi supervisori. Il supporto dei servizi di rete del carico di lavoro per questi Spazi dei nomi vSphere è fornito da NSX.
  • Supervisore a tre zone configurato con NSX. Spazi dei nomi vSphere in un Supervisore a tre zone configurato con NSX supporta solo cluster e macchine virtuali Tanzu Kubernetes Grid. Non supportano Pod vSphere e Servizi supervisori.
  • Supervisore a una zona configurato con VDS. Spazi dei nomi vSphere in Supervisori a una zona con VDS supportano Tanzu Kubernetes Grid, macchine virtuali e Servizi supervisori. Non supportano Pod vSphere eccetto quelle che Servizi supervisori distribuisce per il proprio uso.
  • Supervisore a tre zone configurato con VDS. Spazi dei nomi vSphere in esecuzione di Supervisore a tre zone con VDS supportano solo cluster e macchine virtuali Tanzu Kubernetes Grid. Non supportano Pod vSphere e Servizi supervisori.

Per ulteriori informazioni, vedere Requisti per l'abilitazione di un supervisore a tre zone con il bilanciamento del carico del proxy HA e Requisti per l'abilitazione di un supervisore a cluster singolo con servizi di rete VDS e bilanciamento del carico del proxy HA in Concetti e pianificazione di vSphere IaaS Control Plane.

È inoltre possibile impostare limiti delle risorse per lo spazio dei nomi, assegnare autorizzazioni ed eseguire il provisioning o attivare il servizio dello spazio dei nomi in un cluster come modello. Di conseguenza, i tecnici DevOps possono creare uno spazio dei nomi supervisore in modalità self-service e distribuire i carichi di lavoro in tale spazio dei nomi. Per ulteriori informazioni, vedere Eseguire il provisioning di un modello di spazio dei nomi self-service in vSphere IaaS control plane.

Se si utilizza NSX per i Supervisori, è possibile sostituire le impostazioni di rete a livello di Spazio dei nomi vSphere. Se si seleziona tale opzione, tenere presenti le considerazioni seguenti:
Tabella 1. Considerazioni sulla pianificazione della rete dello Spazio dei nomi vSphere
Considerazione Descrizione
Installazione di NSX Per sostituire le impostazioni di rete di Supervisore per un determinato Spazio dei nomi vSphere, NSX deve includere un cluster Edge dedicato per i gateway di livello 0 (router) e un altro cluster Edge dedicato per i gateway di livello 1. Fare riferimento alle istruzioni di installazione di NSX disponibili nella guida Installazione e configurazione di vSphere IaaS Control Plane.
IPAM richiesto Se si sostituiscono le impostazioni di rete di Supervisore per un determinato Spazio dei nomi vSphere, la nuova rete di Spazio dei nomi vSphere deve specificare le subnet Ingresso, Uscita e Rete dello spazio dei nomi che sono univoche per Supervisore e da qualsiasi altra rete di Spazio dei nomi vSphere. Sarà necessario gestire l'allocazione degli indirizzi IP di conseguenza.
Routing di Supervisore Supervisore deve essere in grado di instradare direttamente i nodi del cluster TKG e le subnet in ingresso. Se si seleziona un gateway di livello 0 per lo Spazio dei nomi vSphere, sono disponibili due opzioni per configurare il routing richiesto:
  • Utilizzo di un gateway VRF (Virtual Routing and Forwarding) per ereditare la configurazione dal gateway di livello 0 di Supervisore
  • Utilizzare il protocollo BGP (Border Gateway Protocol) per configurare le route tra il gateway di livello 0 di Supervisore e il gateway di livello 0 dedicato

Per informazioni dettagliate su queste opzioni, fare riferimento alla documentazione relativa ai gateway di livello 0 NSX.

Prerequisiti

  • Distribuire Supervisore
  • Creare utenti e gruppi per i tecnici e gli sviluppatori di DevOps, che dovranno accedere a Spazio dei nomi vSphere. Creare gli utenti o i gruppi nelle origini identità connesse a vCenter Single Sign-On o in un provider OIDC configurato con il Supervisore.
  • Creare criteri di storage per lo storage persistente. Se lo spazio dei nomi si trova in un Supervisore a tre zone, utilizzare criteri sensibili alla topologia. Non è possibile assegnare criteri di storage che non siano sensibili alla topologia allo spazio dei nomi a tre zone.
  • Creare classi di macchine virtuali e librerie di contenuti per macchine virtuali autonome.
  • Privilegi richiesti:
    • Spazio dei nomi.Modifica configurazione a livello di cluster
    • Spazio dei nomi.Modifica configurazione spazio dei nomi

Procedura

  1. Dal menu home di vSphere Client, selezionare Gestione carico di lavoro.
  2. Selezionare la scheda Spazi dei nomi.
  3. Fare clic su Crea spazio dei nomi .
  4. Selezionare il Supervisore in cui si desidera posizionare Spazio dei nomi vSphere.
  5. Immettere un nome per lo spazio dei nomi.
    Il nome deve essere in un formato conforme a DNS.
  6. Dal menu a discesa Rete, selezionare una rete del carico di lavoro per Spazio dei nomi vSphere.
    Nota: Questo passaggio è disponibile solo se si crea lo spazio dei nomi in un cluster configurato con lo stack di rete di vSphere.
  7. Se è stato configurato lo stack di rete di NSX per Supervisore, è possibile selezionare Sostituisci impostazioni di rete cluster per sostituire le impostazioni di rete di Supervisore e configurare le impostazioni di rete per lo spazio dei nomi.
    Configurare le impostazioni di rete seguenti per lo spazio dei nomi:
    Opzione Descrizione
    Gateway di livello 0 Selezionare il gateway di livello 0 da associare al gateway di livello 1 dello spazio dei nomi.

    Il gateway di livello 0 selezionato sostituisce il gateway di livello 0 configurato durante l'abilitazione del cluster. È quindi necessario configurare nuovamente gli intervalli CIDR.

    Nota: Supervisore deve essere in grado di instradare direttamente i nodi del cluster TKG e le subnet in ingresso.
    • Se si seleziona un gateway VRF collegato al gateway di livello 0, la rete e le subnet vengono configurate automaticamente.
    • Se è stata selezionata la modalità NAT, è necessario configurare i CIDR di subnet, entrata e uscita.
    • Se si deseleziona la modalità NAT, è necessario configurare solo la subnet e i CIDR in entrata.
    Nota: Dopo aver selezionato un gateway di livello 0, non è possibile modificarlo.
    Modalità NAT La modalità NAT è selezionata per impostazione predefinita.
    Se si deseleziona questa opzione, tutti i carichi di lavoro, come i Pod vSphere, le macchine virtuali e gli indirizzi IP dei nodi dei cluster di Tanzu Kubernetes Grid sono accessibili direttamente dall'esterno del gateway di livello 0 e non è necessario configurare i CIDR di uscita.
    Nota: Una volta abilitata una modalità dello spazio dei nomi, non è possibile modificarla.
    Dimensioni bilanciamento del carico Selezionare le dimensioni dell'istanza del bilanciamento del carico nel gateway di livello 1 per lo spazio dei nomi.
    Rete dello spazio dei nomi Immettere uno o più CIDR IP per creare subnet/segmenti e assegnare indirizzi IP per i carichi di lavoro connessi agli spazi dei nomi.
    Nota: Immettere l'intervallo CIDR se non è stato configurato per il cluster. È possibile configurare CIDR aggiuntivi dopo aver creato lo spazio dei nomi, modificando le impostazioni di rete dello spazio dei nomi.
    Prefisso subnet spazio dei nomi Immettere il prefisso della subnet che specifica la dimensione della subnet riservata ai segmenti degli spazi dei nomi. Il valore predefinito è 28.
    Nota: Una volta specificato il prefisso della subnet, non è possibile modificarlo.
    Ingresso Immettere un'annotazione CIDR che determina l'intervallo di IP in entrata per gli indirizzi IP virtuali pubblicati dal servizio di bilanciamento del carico per i Pod vSphere o i cluster di Tanzu Kubernetes Grid.

    È possibile configurare CIDR aggiuntivi dopo aver creato lo spazio dei nomi, modificando le impostazioni di rete dello spazio dei nomi.
    Uscita Immettere un'annotazione CIDR che determina l'intervallo di IP di uscita per gli indirizzi IP SNAT.

    È possibile configurare CIDR aggiuntivi dopo aver creato lo spazio dei nomi, modificando le impostazioni di rete dello spazio dei nomi.
  8. Immettere una descrizione e fare clic su Crea.
    Lo spazio dei nomi viene creato nel Supervisore.
  9. Impostare le autorizzazioni per gli utenti che possono accedere allo spazio dei nomi.
    In qualità di amministratore vSphere, è possibile impostare autorizzazioni su un Spazio dei nomi vSphere per gli sviluppatori e i tecnici di DevOps che devono accedere allo spazio dei nomi. Un account utente può avere accesso a più spazi dei nomi. Gli utenti che sono membri dei gruppi di amministratori hanno accesso a tutti gli spazi dei nomi nel Supervisore.
    1. Nel riquadro Autorizzazioni selezionare Aggiungi autorizzazioni.
    2. Selezionare un'origine di identità, un utente o un gruppo e un ruolo e fare clic su OK.
      Ruolo Descrizione
      Può visualizzare Accesso in sola lettura per l'utente o il gruppo. L'utente o il gruppo può accedere al piano di controllo del Supervisore ed elencare i carichi di lavoro in esecuzione nel Spazio dei nomi vSphere, ad esempio Pod vSphere, cluster Tanzu Kubernetes Grid e macchine virtuali.
      Può modificare L'utente o il gruppo può creare, leggere, aggiornare ed eliminare Pod vSphere, cluster Tanzu Kubernetes Grid e macchine virtuali. Gli utenti che fanno parte del gruppo di amministratori dispongono delle autorizzazioni di modifica per tutti gli spazi dei nomi nel Supervisore.
      Proprietario

      Gli account utente con autorizzazioni di proprietario possono:

      • Distribuire e amministrare i carichi di lavoro nello spazio dei nomi.
      • Condividere lo spazio dei nomi con altri utenti o gruppi.
      • Creare ed eliminare Spazi dei nomi vSphere aggiuntivi utilizzando kubectl. Quando gli utenti con autorizzazione di proprietario condividono lo spazio dei nomi, possono assegnare autorizzazioni di visualizzazione, modifica o proprietario ad altri utenti o gruppi.
      Nota: Il ruolo proprietario è supportato per gli utenti disponibili nell'origine identità vCenter Single Sign-On. Non è possibile utilizzare il ruolo di proprietario con un utente o un gruppo da un provider di identità esterno.
      Quando si assegna un utente o un gruppo ai ruoli Può visualizzare o Può modificare, il sistema crea un RoleBinding e lo mappa a un ClusterRole. Ad esempio, un utente o un gruppo assegnato al ruolo Può modificare viene mappato al ClusterRole edit di Kubernetes mediante un RoleBinding. Il ruolo edit consente agli utenti di eseguire il provisioning e lavorare con i cluster. È possibile visualizzare questa mappatura utilizzando il comando kubectl get rolebinding dal Spazio dei nomi vSphere di destinazione. 
      kubectl get rolebinding -n tkg2-cluster-namespace
NAME                                                           ROLE                         AGE
wcp:tkg-cluster-namespace:group:vsphere.local:administrators   ClusterRole/edit             33d
wcp:tkg-cluster-namespace:user:vsphere.local:administrator     ClusterRole/edit             33d

      Quando si assegna il ruolo Proprietario a un utente o a un gruppo, il sistema crea un ClusterRoleBinding e lo mappa a un ClusterRole che consente all'utente o al gruppo di creare ed eliminare Spazi dei nomi vSphere utilizzando kubectl. Per visualizzare questa mappatura, è possibile accedere tramite SSH a un nodo del pannello di controllo del Supervisore.

  10. Assegnare lo storage allo spazio dei nomi.
    I criteri di storage assegnati allo spazio dei nomi rendono lo storage persistente disponibile per il team di DevOps.
    1. Nel riquadro Storage, selezionare Aggiungi storage.
    2. Selezionare un criterio di storage per controllare il posizionamento del datastore dei volumi persistenti e fare clic su OK.
    Dopo aver assegnato il criterio di storage, vSphere IaaS control plane crea una classe di storage Kubernetes corrispondente nello Spazio dei nomi vSphere. Se si utilizza Tanzu Kubernetes Grid, la classe di storage viene replicata automaticamente dallo spazio dei nomi nel cluster Tanzu Kubernetes Grid. Quando si assegnano più criteri di storage allo spazio dei nomi, viene creata una classe di storage separata per ogni criterio di storage.
  11. Nel riquadro Capacità e utilizzo, selezionare Modifica limiti e configurare le limitazioni delle risorse per lo spazio dei nomi.
    Opzione Descrizione
    CPU Quantità di risorse della CPU da riservare per lo spazio dei nomi.
    Memoria Quantità di memoria da riservare per lo spazio dei nomi.
    Storage Quantità totale di spazio di storage da riservare per lo spazio dei nomi.
    Limiti dei criteri di storage Impostare la quantità di storage dedicata singolarmente a ciascuno dei criteri di storage associati allo spazio dei nomi.
    In vCenter Server viene creato un pool di risorse per lo spazio dei nomi. Il limite di storage determina la quantità complessiva di storage disponibile per lo spazio dei nomi, mentre i criteri di storage determinano il posizionamento dei volumi persistenti per i Pod vSphere nelle classi di storage associate.
  12. Configurare il servizio della macchina virtuale per le macchine virtuali autonome.
    Per informazioni, vedere Distribuzione e gestione di macchine virtuali in vSphere IaaS control plane.

Operazioni successive

Condividere con i tecnici DevOps l'URL del piano di controllo di Kubernetes, nonché il nome utente che possono utilizzare per accedere al Supervisore tramite Strumenti CLI Kubernetes di vSphere. È possibile consentire a un tecnico DevOps di accedere a più spazi dei nomi. Vedere Connessione ai cluster vSphere IaaS Control Plane.
Nota: Questa guida a Servizi e carichi di lavoro di vSphere IaaS Control Plane non include informazioni sull'esecuzione dei carichi di lavoro in un cluster Tanzu Kubernetes Grid. Per informazioni su come utilizzare i cluster Tanzu Kubernetes Grid, vedere Utilizzo di Tanzu Kubernetes Grid nel supervisore con vSphere IaaS Control Plane.