감독자에서 vSphere 네임스페이스를 생성하고 구성하는 방법을 알아봅니다. vSphere 관리자는 vSphere 네임스페이스를 생성한 후 DevOps 엔지니어가 액세스할 수 있도록 네임스페이스 및 사용 권한에 대한 리소스 제한을 설정합니다. 사용 권한이 있는 네임스페이스에서 워크로드를 실행할 수 있는 Kubernetes 제어부의 URL을 DevOps 엔지니어에게 제공합니다.

VDS 네트워킹 스택으로 구성된 감독자의 네임스페이스와 NSX로 구성된 클러스터의 네임스페이스는 네트워킹 구성 및 기능이 서로 다릅니다. 세 개의 vSphere 영역에 배포된 감독자에 구성된 네임스페이스는 단일 영역 감독자의 네임스페이스와 다른 기능 집합도 지원합니다.
  • NSX로 구성된 1개 영역 감독자. 이러한 감독자vSphere 네임스페이스vSphere 포드, VM, Tanzu Kubernetes Grid 클러스터 및 감독자 서비스를 지원합니다. 이러한 vSphere 네임스페이스에 대한 워크로드 네트워킹 지원은 NSX에서 제공합니다.
  • NSX로 구성된 3개 영역 감독자. NSX로 구성된 3개 영역 감독자vSphere 네임스페이스Tanzu Kubernetes Grid 클러스터 및 VM만 지원합니다. vSphere 포드감독자 서비스는 지원하지 않습니다.
  • VDS로 구성된 1개 영역 감독자. VDS가 있는 1개 영역 감독자vSphere 네임스페이스Tanzu Kubernetes Grid, VM 및 감독자 서비스를 지원합니다. 감독자 서비스가 자체 사용을 위해 배포하는 것 외에는 vSphere 포드를 지원하지 않습니다.
  • VDS로 구성된 3개 영역 감독자. VDS가 있는 3개 영역 감독자를 실행하는 vSphere 네임스페이스Tanzu Kubernetes Grid 클러스터 및 VM만 지원합니다. vSphere 포드감독자 서비스는 지원하지 않습니다.

자세한 내용은 "vSphere IaaS 제어부 개념 및 계획" 에서 HA 프록시 로드 밸런서를 사용하여 3개 영역 감독자를 사용하도록 설정하기 위한 요구 사항VDS 네트워킹 및 HAProxy 로드 밸런서에서 단일 클러스터 감독자를 사용하도록 설정하기 위한 요구 사항을 참조하십시오.

또한 네임스페이스에 대한 리소스 제한을 설정하고, 사용 권한을 할당하고, 클러스터에서 네임스페이스 서비스를 템플릿으로 프로비저닝하거나 활성화할 수 있습니다. 그러면 DevOps 엔지니어는 셀프 서비스 방식으로 감독자 네임스페이스를 생성하고 그 안에 워크로드를 배포할 수 있습니다. 자세한 내용은 vSphere IaaS control plane에서 셀프 서비스 네임스페이스 템플릿 프로비저닝의 내용을 참조하십시오.

감독자NSX를 사용하는 경우 vSphere 네임스페이스 수준에서 네트워킹 설정을 재정의할 수 있는 옵션이 있습니다. 해당 옵션을 선택하는 경우 다음 고려 사항에 유의하십시오.
표 1. vSphere 네임스페이스 네트워크 계획 시 고려 사항
고려 사항 설명
NSX설치 특정 vSphere 네임스페이스에 대한 감독자 네트워크 설정을 재정의하려면 NSX에는 Tier-0 게이트웨이(라우터) 전용 Edge 클러스터와 Tier-1 게이트웨이 전용 다른 Edge 클러스터가 포함되어야 합니다. 가이드 "vSphere IaaS 제어부 설치 및 구성" 에 제공된 NSX 설치 지침을 참조하십시오.
IPAM 필요 특정 vSphere 네임스페이스에 대한 감독자 네트워크 설정을 재정의하는 경우 새 vSphere 네임스페이스 네트워크는 감독자 및 기타 vSphere 네임스페이스 네트워크에서 고유한 수신, 송신 및 네임스페이스 네트워크 서브넷을 지정해야 합니다. 이에 따라 IP 주소 할당을 관리해야 합니다.
감독자 라우팅 감독자는 TKG 클러스터 노드 및 수신 서브넷으로 직접 라우팅할 수 있어야 합니다. vSphere 네임스페이스에 대해 Tier-0 게이트웨이를 선택할 때 필요한 라우팅을 구성하는 두 가지 옵션이 있습니다.
  • VRF(가상 라우팅 및 전달) 게이트웨이를 사용하여 감독자 Tier-0 게이트웨이의 구성을 상속
  • BGP(Border Gateway Protocol)를 사용하여 감독자 Tier-0 게이트웨이와 전용 Tier-0 게이트웨이 간의 경로를 구성

이러한 옵션에 대한 자세한 내용은 NSX Tier-0 게이트웨이 설명서를 참조하십시오.

사전 요구 사항

  • 감독자를 배포합니다.
  • vSphere 네임스페이스에 액세스해야 하는 DevOps 엔지니어 및 개발자를 위한 사용자 및 그룹을 생성합니다. vCenter Single Sign-On에 연결된 ID 소스에 또는 감독자로 구성된 OIDC 제공자에 사용자 또는 그룹을 생성합니다.
  • 영구 스토리지에 대한 스토리지 정책을 생성합니다. 네임스페이스가 3개 영역 감독자에 있는 경우 토폴로지 인식 정책을 사용합니다. 토폴로지를 인식하지 못하는 스토리지 정책은 3개 영역 네임스페이스에 할당할 수 없습니다.
  • 독립형 VM에 대한 VM 클래스 및 컨텐츠 라이브러리를 생성합니다.
  • 필요한 권한:
    • 네임스페이스.클러스터 전체 구성 수정
    • 네임스페이스.네임스페이스 구성 수정

프로시저

  1. vSphere Client 홈 메뉴에서 워크로드 관리를 선택합니다.
  2. 네임스페이스 탭을 선택합니다.
  3. 네임스페이스 생성을 클릭합니다.
  4. vSphere 네임스페이스를 배치할 감독자를 선택합니다.
  5. 네임스페이스의 이름을 입력합니다.
    이름은 DNS 호환 형식이어야 합니다.
  6. 네트워크 드롭다운 메뉴에서 vSphere 네임스페이스에 대한 워크로드 네트워크를 선택합니다.
    참고: 이 단계는 vSphere 네트워킹 스택으로 구성된 클러스터에서 네임스페이스를 생성하는 경우에만 사용할 수 있습니다.
  7. 감독자에 대한 NSX 네트워킹 스택을 구성한 경우 클러스터 네트워크 설정 재정의를 선택하여 감독자 네트워크 설정을 재정의하고 네임스페이스에 대한 네트워크 설정을 구성할 수 있습니다.
    네임스페이스에 대해 다음 네트워크 설정을 구성합니다.
    옵션 설명
    Tier-0 게이트웨이 네임스페이스 Tier-1 게이트웨이와 연결할 Tier-0 게이트웨이를 선택합니다.

    Tier-0 게이트웨이를 선택하면 클러스터를 사용하도록 설정하는 동안 구성한 Tier-0 게이트웨이가 재정의되므로 CIDR 범위를 다시 구성해야 합니다.

    참고: 감독자는 TKG 클러스터 노드 및 수신 서브넷으로 직접 라우팅할 수 있어야 합니다.
    • Tier-0 게이트웨이에 연결된 VRF 게이트웨이를 선택하면 네트워크 및 서브넷이 자동으로 구성됩니다.
    • NAT 모드를 선택한 경우에는 서브넷, 수신 및 송신 CIDR을 구성해야 합니다.
    • NAT 모드를 선택 취소하는 경우 서브넷 및 수신 CIDR만 구성해야 합니다.
    참고: Tier-0 게이트웨이를 선택하면 변경할 수 없습니다.
    NAT 모드 NAT 모드는 기본적으로 선택되어 있습니다.
    이 옵션을 선택 취소하면 vSphere 포드, VM, Tanzu Kubernetes Grid 클러스터 노드 IP 주소와 같은 모든 워크로드를 Tier-0 게이트웨이 외부에서 직접 액세스할 수 있으며 송신 CIDR을 구성할 필요가 없습니다.
    참고: 네임스페이스 모드를 사용하도록 설정한 후에는 변경할 수 없습니다.
    로드 밸런서 크기 네임스페이스의 Tier-1 게이트웨이에서 로드 밸런서 인스턴스의 크기를 선택합니다.
    네임스페이스 네트워크 서브넷/세그먼트를 생성하고 네임스페이스에 연결된 워크로드에 대한 IP 주소를 할당하도록 IP CIDR을 하나 이상 입력합니다.
    참고: 클러스터에 대해 CIDR 범위를 구성하지 않은 경우 해당 범위를 입력합니다. 네임스페이스를 생성한 후 네임스페이스 네트워크 설정을 편집하여 추가 CIDR을 구성할 수 있습니다.
    네임스페이스 서브넷 접두사 네임스페이스 세그먼트용으로 예약된 서브넷의 크기를 지정하는 서브넷 접두사를 입력합니다. Default is 28.
    참고: 서브넷 접두사를 지정한 후에는 변경할 수 없습니다.
    수신 vSphere 포드 또는 Tanzu Kubernetes Grid 클러스터용 로드 밸런서 서비스에서 게시한 가상 IP 주소의 수신 IP 범위를 결정하는 CIDR 주석을 입력합니다.

    네임스페이스를 생성한 후 네임스페이스 네트워크 설정을 편집하여 추가 CIDR을 구성할 수 있습니다.
    송신 SNAT IP 주소의 송신 IP 범위를 결정하는 CIDR 주석을 입력합니다.

    네임스페이스를 생성한 후 네임스페이스 네트워크 설정을 편집하여 추가 CIDR을 구성할 수 있습니다.
  8. 설명을 입력하고 생성을 클릭합니다.
    감독자에 네임스페이스가 생성됩니다.
  9. 네임스페이스에 액세스할 수 있는 사용자의 사용 권한을 설정합니다.
    vSphere 관리자는 네임스페이스에 액세스해야 하는 개발자 및 DevOps 엔지니어를 위해 vSphere 네임스페이스에 대한 사용 권한을 설정합니다. 하나의 사용자 계정이 여러 네임스페이스에 액세스할 수 있습니다. 관리자 그룹의 멤버인 사용자는 감독자의 모든 네임스페이스에 액세스할 수 있습니다.
    1. 사용 권한 창에서 사용 권한 추가를 선택합니다.
    2. ID 소스, 사용자 또는 그룹 및 역할을 선택하고 확인을 클릭합니다.
      역할 설명
      볼 수 있음 사용자 또는 그룹에 대한 읽기 전용 액세스. 사용자 또는 그룹은 감독자 제어부에 로그인하고 vSphere 네임스페이스(예: vSphere 포드Tanzu Kubernetes Grid 클러스터 및 VM)에서 실행 중인 워크로드를 나열할 수 있습니다.
      편집할 수 있음 사용자 또는 그룹은 vSphere 포드, Tanzu Kubernetes Grid 클러스터 및 VM을 생성, 읽기, 업데이트 및 삭제할 수 있습니다. 관리자 그룹에 속한 사용자는 감독자의 모든 네임스페이스에 대한 편집 권한이 있습니다.
      소유자

      소유자 권한이 있는 사용자 계정은 다음을 수행할 수 있습니다.

      • 네임스페이스에서 워크로드를 배포하고 관리합니다.
      • 네임스페이스를 다른 사용자 또는 그룹과 공유합니다.
      • kubectl을 사용하여 추가 vSphere 네임스페이스를 생성하고 삭제합니다. 소유자 권한이 있는 사용자가 네임스페이스를 공유하면 다른 사용자 또는 그룹에 보기, 편집 또는 소유자 권한을 할당할 수 있습니다.
      참고: 소유자 역할은 vCenter Single Sign-On ID 소스에서 사용할 수 있는 사용자에 대해 지원됩니다. 외부 ID 제공자의 사용자 또는 그룹에는 소유자 역할을 사용할 수 없습니다.
      볼 수 있음 또는 편집할 수 있음 역할에 사용자 또는 그룹을 할당하면 시스템에서 RoleBinding이 생성되어 ClusterRole에 매핑됩니다. 예를 들어 편집할 수 있음 역할에 할당된 사용자 또는 그룹은 RoleBinding을 사용하여 Kubernetes edit ClusterRole에 매핑됩니다. edit 역할을 통해 사용자는 클러스터를 프로비저닝하고 운영할 수 있습니다. 이 매핑은 대상 vSphere 네임스페이스에서 kubectl get rolebinding 명령을 사용하여 볼 수 있습니다. 
      kubectl get rolebinding -n tkg2-cluster-namespace
NAME                                                           ROLE                         AGE
wcp:tkg-cluster-namespace:group:vsphere.local:administrators   ClusterRole/edit             33d
wcp:tkg-cluster-namespace:user:vsphere.local:administrator     ClusterRole/edit             33d

      사용자 또는 그룹에 소유자 역할을 할당하면 시스템에서 ClusterRoleBinding이 생성되어 ClusterRole에 매핑됩니다. 그러면 사용자 또는 그룹이 kubectl을 사용하여 vSphere 네임스페이스를 생성하고 삭제할 수 있습니다. 이 매핑을 보려면 SSH를 통해 감독자 제어부 노드에 연결하면 됩니다.

  10. 네임스페이스에 스토리지를 할당합니다.
    네임스페이스에 할당하는 스토리지 정책은 DevOps 팀에서 영구 스토리지를 사용할 수 있도록 합니다.
    1. 스토리지 창에서 스토리지 추가를 선택합니다.
    2. 영구 볼륨의 데이터스토어 배치를 제어할 스토리지 정책을 선택하고 확인을 클릭합니다.
    스토리지 정책을 할당하면 vSphere IaaS control planevSphere 네임스페이스에 일치하는 Kubernetes 스토리지 클래스를 생성합니다. Tanzu Kubernetes Grid를 사용하는 경우 스토리지 클래스는 네임스페이스에서 Tanzu Kubernetes Grid 클러스터로 자동 복제됩니다. 네임스페이스에 여러 스토리지 정책을 할당할 때 각 스토리지 정책에 대해 별도의 스토리지 클래스가 생성됩니다.
  11. [용량 및 사용량] 창에서 제한 편집을 선택하고 네임스페이스에 대한 리소스 제한을 구성합니다.
    옵션 설명
    CPU 네임스페이스에 대해 예약할 CPU 리소스 양입니다.
    메모리 네임스페이스에 대해 예약할 메모리 양입니다.
    스토리지 네임스페이스에 대해 예약할 총 스토리지 공간의 양입니다.
    스토리지 정책 제한 네임스페이스와 연결한 각 스토리지 정책에 개별적으로 전용 스토리지 양을 설정합니다.
    네임스페이스에 대한 리소스 풀이 vCenter Server에 생성됩니다. 스토리지 제한에 따라 네임스페이스에 사용할 수 있는 전체 스토리지 양이 결정되지만 스토리지 정책은 연결된 스토리지 클래스에서 vSphere 포드에 대한 영구 볼륨의 배치를 결정합니다.
  12. 독립형 VM에 대한 VM 서비스를 설정합니다.
    자세한 내용은 vSphere IaaS control plane에서 가상 시스템 배포 및 관리 항목을 참조하십시오.

다음에 수행할 작업

Kubernetes 제어부 URL을 DevOps 엔지니어와 공유하고 vSphere에 대한 Kubernetes CLI 도구을 통해 감독자에 로그인하는 데 사용할 수 있는 사용자 이름도 공유합니다. DevOps 엔지니어에게 둘 이상의 네임스페이스에 대한 액세스 권한을 부여할 수 있습니다. vSphere IaaS Control Plane 클러스터에 연결을 참조하십시오.
참고: 이 " vSphere IaaS 제어부 서비스 및 워크로드" 가이드에 Tanzu Kubernetes Grid 클러스터에서 워크로드를 실행하는 데 대한 정보는 포함되어 있지 않습니다. Tanzu Kubernetes Grid 클러스터에서 작업하는 방법을 알아보려면 vSphere IaaS Control Plane과 함께 감독자에서 Tanzu Kubernetes Grid 사용을 참조하십시오.