TKG サービスクラスタ向けの vSphere 名前空間の構成

1 つ以上の TKG サービスクラスタを vSphere 名前空間にデプロイします。vSphere 名前空間に適用される構成設定は、そこにデプロイされている各 TKG サービスクラスタによって継承されます。

vSphere 名前空間のロール権限の構成

ロールの権限は、範囲が vSphere 名前空間に設定されます。TKG クラスタのユーザーとグループに割り当てることができるロール権限は、[所有者]、[編集可能]、[表示可能] の 3 つです。次の表で各ロールについて説明します。詳細については、TKG サービスクラスタの ID およびアクセス権の管理についてを参照してください。

vCenter Single Sign-On を使用している場合、3 つのすべてのロールを使用できます。SSO ユーザーおよびグループを vSphere 名前空間に割り当てるには、vCenter Single Sign-On ユーザーおよびグループに対する vSphere 名前空間権限の構成を参照してください。

外部 OIDC プロバイダを使用している場合は、[所有者] ロール権限を使用できません。OIDC ユーザーおよびグループを vSphere 名前空間に割り当てるには、外部 ID プロバイダのユーザーおよびグループに対する vSphere 名前空間権限の構成を参照してください。

ロール	説明
所有者	[所有者] ロール権限が割り当てられたユーザーおよびグループは、kubectl を使用して vSphere 名前空間オブジェクトを管理し、TKG クラスタを操作できます。Kubectl を使用した vSphere 名前空間の作成の有効化を参照してください。
編集可能	[編集可能] ロール権限が割り当てられたユーザーおよびグループは、vSphere 名前空間オブジェクトを表示し、TKG クラスタを操作できます。編集可能権限が付与された vCenter Single Sign-On ユーザー/グループは、その vSphere 名前空間にデプロイされた各 TKG クラスタの Kubernetes cluster-admin ロールにバインドされます。
表示可能	[表示可能] ロール権限が割り当てられたユーザーおよびグループは、vSphere 名前空間オブジェクトを表示できます。注： Kubernetes には、 [表示可能] 権限をバインドできる同等の読み取り専用ロールがありません。Kubernetes ユーザーにクラスタへのアクセス権を付与する方法については、「開発者への TKG サービスクラスタへの vCenter SSO アクセス権付与」を参照してください。

ロール

説明

所有者

[所有者] ロール権限が割り当てられたユーザーおよびグループは、kubectl を使用して vSphere 名前空間オブジェクトを管理し、TKG クラスタを操作できます。Kubectl を使用した vSphere 名前空間の作成の有効化を参照してください。

編集可能

[編集可能] ロール権限が割り当てられたユーザーおよびグループは、vSphere 名前空間オブジェクトを表示し、TKG クラスタを操作できます。

編集可能権限が付与された vCenter Single Sign-On ユーザー/グループは、その vSphere 名前空間にデプロイされた各 TKG クラスタの Kubernetes cluster-admin ロールにバインドされます。

表示可能

[表示可能] ロール権限が割り当てられたユーザーおよびグループは、vSphere 名前空間オブジェクトを表示できます。

注： Kubernetes には、 [表示可能] 権限をバインドできる同等の読み取り専用ロールがありません。Kubernetes ユーザーにクラスタへのアクセス権を付与する方法については、「開発者への TKG サービスクラスタへの vCenter SSO アクセス権付与」を参照してください。

vSphere 名前空間のパーシステントストレージの構成

1 つ以上の vSphere ストレージポリシーを vSphere 名前空間に割り当てることができます。割り当てられたストレージポリシーによって、vSphere ストレージ環境でのパーシステントボリュームのデータストア配置を制御します。

通常、vSphere 管理者が vSphere ストレージポリシーを定義します。vSphere Zones を使用している場合は、ストレージポリシーを Zonal トポロジで構成する必要があります。TKG サービスクラスタの vSphere ストレージポリシーの作成を参照してください。

vSphere ストレージポリシーを vSphere 名前空間に割り当てるには、次の手順を実行します。

[ワークロード管理] > [名前空間] の順に選択してから、ターゲットの vSphere 名前空間を選択します。
[ストレージ] タイルで [ストレージの追加] を選択します。
選択可能なオプションからストレージポリシーを 1 つ以上選択します。

vSphere 名前空間に割り当てる vSphere ストレージポリシーごとに、一致する 2 つの Kubernetes ストレージクラスがその vSphere 名前空間に作成されます。これらのストレージクラスは、その vSphere 名前空間でデプロイされた各 TKG クラスタにレプリケートされます。パーシステントボリュームのストレージクラスの使用を参照してください。

vSphere 名前空間の容量および使用量の制限の設定

vSphere 名前空間を構成すると、vSphere 名前空間のリソースプールが vCenter Server に作成されます。デフォルトでは、このリソースプールは容量と使用量の割り当てなしで構成されます。リソースはインフラストラクチャによって制限されます。

vSphere 名前空間の [容量と使用量] タイルで、次の [制限] を構成できます。


CPU	vSphere 名前空間に対して予約する CPU リソースの量。
メモリ	vSphere 名前空間に対して予約するメモリの量。
ストレージ	vSphere 名前空間に対して予約するストレージ容量の合計。
ストレージポリシーの制限	vSphere 名前空間に関連付けた各ストレージポリシーに専用のストレージ容量を個別に設定します。

通常、TKG クラスタのデプロイに対し、リソース割り当てを vSphere 名前空間に構成する必要はありません。割り当て制限を割り当てる場合、そこにデプロイされている TKG クラスタへの潜在的な影響を理解することが重要です。

CPU およびメモリの制限

TKG クラスタノードで保証型の仮想マシンクラスタイプが使用されている場合、vSphere 名前空間に構成された CPU およびメモリの制限は、そこにデプロイされている TKG クラスタには影響しません。ただし、TKG クラスタノードでベストエフォート型の仮想マシンクラスタイプが使用されている場合、CPU とメモリの制限が TKG クラスタに影響する可能性があります。

ベストエフォート型の仮想マシンクラスタイプではリソースをオーバーコミットできるため、TKG クラスタをプロビジョニングする vSphere 名前空間に CPU とメモリの制限を設定していてもリソースを使い果たすおそれがあります。競合が発生し、TKG クラスタ制御プレーンが影響を受けると、クラスタの実行が停止する場合があります。そのため、本番クラスタには、必ず保証型の仮想マシンクラスタイプを使用してください。すべての本番ノードに保証型の仮想マシンクラスタイプを使用できない場合は、少なくとも制御プレーンノードに使用してください。

ストレージおよびストレージポリシーの制限

vSphere 名前空間に構成されているストレージ制限により、そこにデプロイされているすべての TKG クラスタに対し vSphere 名前空間で利用可能なストレージの全体的な量が決まります。

vSphere 名前空間に構成されているストレージポリシーの制限により、ストレージクラスがレプリケートされる TKG クラスタごとに、そのストレージクラスで利用可能なストレージ容量が決まります。

一部のワークロードには最小ストレージ要件があります。例については、#GUID-9CA5FE35-8DA5-4F76-BD7F-81059CCA602Eを参照してください。

TKR コンテンツライブラリの TKG サービスへの関連付け

TKG クラスタをプロビジョニングするには、TKG サービスをコンテンツライブラリに関連付けます。TKr イメージをホストするためにコンテンツライブラリを作成するには、「TKG サービスクラスタ用 Kubernetes リリースの管理」を参照してください。

TKr コンテンツライブラリを vSphere 名前空間に関連付けるには、次の手順を実行します。

[ワークロード管理] > [スーパーバイザー] > [スーパーバイザー] の順に選択します（スーパーバイザーインスタンスを選択します）。
[構成] > [スーパーバイザー] > [全般] > [Tanzu Kubernetes Grid Service] の順に選択します。
[コンテンツライブラリ] > [編集] の順に選択します。
TKR コンテンツライブラリを選択します。
vSphere 名前空間に移動して、[名前空間の管理] を選択します。
選択したコンテンツライブラリが [Tanzu Kubernetes Grid Service] の構成ペインに表示されていることを確認します。

TKR コンテンツライブラリは名前空間の範囲内にないことに注意してください。すべての vSphere 名前空間では、Tanzu Kubernetes Grid Service (TKGS) 用に構成された同じ TKR コンテンツライブラリを使用します。TKGS 用の TKR コンテンツライブラリの編集は、各 vSphere 名前空間に適用されます。

注： [仮想マシンサービス] タイルで参照されているコンテンツライブラリは、TKR コンテンツライブラリではなく、スタンドアローン仮想マシンで使用するためのものです。TKR コンテンツライブラリをこのタイルに追加しないでください。

仮想マシンクラスの vSphere 名前空間への関連付け

vSphere IaaS control plane ではデフォルトの仮想マシンクラスを複数提供しており、ユーザーは独自のクラスを作成できます。

TKG クラスタをプロビジョニングするには、1 つ以上の仮想マシンクラスをターゲットの vSphere 名前空間と関連付けます。バインドされたクラスは、その vSphere 名前空間でデプロイされている TKG クラスタノードで使用できます。

デフォルトの仮想マシンクラスを vSphere 名前空間に関連付けるには、 vSphere Client を使用して vCenter Server にログインし、次の手順を実行します。

[ワークロード管理] > [名前空間] の順に選択してから、ターゲットの vSphere 名前空間を選択します。
[仮想マシンサービス] タイルで [仮想マシンクラスの追加] をクリックします。
追加する各仮想マシンクラスを選択します。
1. デフォルトの仮想マシンクラスを追加するには、リストの 1 ページ目の表ヘッダー内のチェックボックスをオンにして 2 ページ目に移動し、そのページの表ヘッダーのチェックボックスをオンにします。すべてのクラスが選択されていることを確認します。
2. カスタムクラスを作成するには、[新しい VM クラスの作成] をクリックします。手順については、仮想マシンサービスのドキュメントを参照してください。
[OK] をクリックして操作を完了します。
クラスが追加されていることを確認します。[VM サービス] タイルに [VM クラスの管理] が表示されます。

vSphere 名前空間構成の確認

構成された vSphere 名前空間には、 [ステータス]、 [権限]、 [ストレージ]、 [容量と使用量]、 [TKR コンテンツライブラリ]、および [仮想マシンクラス] が含まれます。

構成済みの vSphere 名前空間 — 図 1. 構成済み vSphere 名前空間

[ステータス] タイルには、 vSphere IaaS control plane CLI ツールへのリンクが含まれています。DevOps 画面は、スーパーバイザー制御プレーンロードバランサによって提供されます。 vSphere 向け Kubernetes CLI Tools をダウンロードするためのリンクを TKG クラスタユーザーに提供します。 vSphere 向け Kubernetes CLI Tools のインストールを参照してください。

kubectl を使用した vSphere 名前空間の構成を確認するには、TKG サービスクラスタをホストするための vSphere 名前空間の準備の確認を参照してください。

vSphere 名前空間 のロール権限の構成

vSphere 名前空間 のパーシステント ストレージの構成

vSphere 名前空間 の容量および使用量の制限の設定

TKR コンテンツ ライブラリの TKG サービス への関連付け

仮想マシン クラスの vSphere 名前空間 への関連付け