為 TKG 服務叢集設定 vSphere 命名空間

為 vSphere 命名空間設定角色權限

角色權限範圍限於 vSphere 命名空間。可以向 TKG 叢集使用者和群組指派三個角色權限：擁有者、可以編輯和可以檢視。下表說明了每個角色。如需詳細資訊，請參閱關於 TKG 服務叢集的身分識別與存取管理。

如果使用的是 vCenter Single Sign-On，則所有三個角色均可用。若要將 SSO 使用者和群組指派給 vSphere 命名空間，請參閱為 vCenter Single Sign-On 使用者和群組設定 vSphere 命名空間權限。

如果使用的是外部 OIDC 提供者，則無法使用擁有者角色權限。若要將 OIDC 使用者和群組指派給 vSphere 命名空間，請參閱為外部身分識別提供者使用者和群組設定 vSphere 命名空間權限。

角色	說明
擁有者	擁有者角色權限允許指派的使用者和群組使用 kubectl 管理 vSphere 命名空間物件並操作 TKG 叢集。請參閱使用 Kubectl 啟用 vSphere 命名空間建立。
可以編輯	可以編輯角色權限允許指派的使用者和群組檢視 vSphere 命名空間物件並操作 TKG 叢集。授與了可以編輯權限的 vCenter Single Sign-On 使用者/群組將繫結到該 vSphere 命名空間中部署的每個 TKG 叢集的 Kubernetes cluster-admin 角色。
可以檢視	可以檢視角色權限允許指派的使用者和群組檢視 vSphere 命名空間物件。備註： Kubernetes 中沒有可以檢視權限可繫結到的同等唯讀角色。若要授與 Kubernetes 使用者叢集存取權，請參閱授與開發人員對 TKG 服務叢集的 vCenter SSO 存取權。

角色

說明

擁有者

擁有者角色權限允許指派的使用者和群組使用 kubectl 管理 vSphere 命名空間物件並操作 TKG 叢集。請參閱使用 Kubectl 啟用 vSphere 命名空間建立。

可以編輯

可以編輯角色權限允許指派的使用者和群組檢視 vSphere 命名空間物件並操作 TKG 叢集。

授與了可以編輯權限的 vCenter Single Sign-On 使用者/群組將繫結到該 vSphere 命名空間中部署的每個 TKG 叢集的 Kubernetes cluster-admin 角色。

可以檢視

可以檢視角色權限允許指派的使用者和群組檢視 vSphere 命名空間物件。

備註： Kubernetes 中沒有可以檢視權限可繫結到的同等唯讀角色。若要授與 Kubernetes 使用者叢集存取權，請參閱授與開發人員對 TKG 服務叢集的 vCenter SSO 存取權。

為 vSphere 命名空間設定持續性儲存區

可以將一或多個 vSphere 儲存區原則指派給 vSphere 命名空間。指派的儲存區原則用於控制持續性磁碟區在 vSphere 儲存區環境中的資料存放區位置。

通常，vSphere 管理員會定義 vSphere 儲存區原則。如果使用的是 vSphere 區域，則必須為儲存區原則設定 Zonal 拓撲。請參閱為 TKG 服務叢集建立 vSphere 儲存區原則。

若要將 vSphere 儲存區原則指派給 vSphere 命名空間，請執行以下作業：

選取工作負載管理 > 命名空間和目標 vSphere 命名空間。
從儲存區動態磚中，選取新增儲存區。
從可用選項中選取一或多個儲存區原則。

對於指派給 vSphere 命名空間的每個 vSphere 儲存區原則，系統會在該 vSphere 命名空間中建立兩個相符的 Kubernetes 儲存區類別。這些儲存區類別將複寫到在該 vSphere 命名空間中部署的每個 TKG 叢集。請參閱對持續性磁碟區使用儲存區類別。

為 vSphere 命名空間設定容量和使用量限制

設定 vSphere 命名空間時，會在 vCenter Server 上為 vSphere 命名空間建立資源集區。依預設，不會為此資源集區設定任何容量和使用量配額；資源受基礎結構的限制。

在 vSphere 命名空間的容量與使用量動態磚中，可以設定以下限制。


CPU	要為 vSphere 命名空間保留的 CPU 資源數量。
記憶體	要為 vSphere 命名空間保留的記憶體數量。
儲存區	要為 vSphere 命名空間保留的儲存空間總量。
儲存區原則限制	單獨設定專用於與 vSphere 命名空間相關聯之每個儲存區原則的儲存區數量。

通常，對於 TKG 叢集部署，無需在 vSphere 命名空間上設定資源配額。如果指派配額限制，請務必瞭解它們對其中部署的 TKG 叢集的潛在影響。

CPU 和記憶體限制

如果 TKG 叢集節點使用的是保證虛擬機器類別類型，則在 vSphere 命名空間上設定的 CPU 和記憶體限制對其中部署的 TKG 叢集沒有任何影響。但是，如果 TKG 叢集節點使用的是最佳運作虛擬機器類別類型，則 CPU 和記憶體限制可能會影響 TKG 叢集。

由於最佳運作虛擬機器類別類型允許過度認可資源，因此，如果對要佈建 TKG 叢集的 vSphere 命名空間設定了 CPU 和記憶體限制，資源可能會耗盡。如果發生爭用且 TKG 叢集控制平面受到影響，則叢集可能會停止執行。因此，應始終對生產叢集使用保證虛擬機器類別類型。如果無法對所有生產節點使用保證虛擬機器類別類型，則應至少對控制平面節點使用保證虛擬機器類別。

儲存區和儲存區原則限制

在 vSphere 命名空間上設定的儲存區限制會決定可供在其中部署了所有 TKG 叢集的 vSphere 命名空間使用的整體儲存區數量。

在 vSphere 命名空間上設定的儲存區原則限制決定了該儲存區類別中可用於複寫該儲存區類別的每個 TKG 叢集的儲存區數量。

某些工作負載具有最低儲存區需求。如需範例，請參閱#GUID-9CA5FE35-8DA5-4F76-BD7F-81059CCA602E。

將 TKR 內容程式庫與 TKG 服務相關聯

若要佈建 TKG 叢集，請將 TKG 服務與內容程式庫相關聯。若要建立用於主控 TKr 映像的內容程式庫，請參閱管理用於 TKG 服務叢集的 Kubernetes 版本。

若要將 TKr 內容程式庫與 vSphere 命名空間相關聯，請執行以下作業：

選取工作負載管理 > 主管 > 主管 (選取主管執行個體)。
選取設定 > 主管 > 一般 > Tanzu Kubernetes Grid Service。
選取內容程式庫 > 編輯。
選取 TKR 內容程式庫。
導覽到 vSphere 命名空間，然後選取管理命名空間。
確認所選內容程式庫顯示在 Tanzu Kubernetes Grid Service 設定窗格中。

請務必瞭解，TKR 內容程式庫不限定於命名空間範圍。。所有 vSphere 命名空間使用為 Tanzu Kubernetes Grid 服務 (TKGS) 設定的相同 TKR 內容程式庫。編輯 TKGS 的 TKR 內容程式庫將套用至每個 vSphere 命名空間。

備註：虛擬機器服務動態磚中參考的內容程式庫適用於獨立虛擬機器，而非 TKR 內容程式庫。請勿將 TKR 內容程式庫新增到此動態磚中。

將虛擬機器類別與 vSphere 命名空間相關聯

vSphere IaaS control plane 提供了數個預設虛擬機器類別，您也可以自行建立類別。

若要佈建 TKG 叢集，請將一或多個虛擬機器類別與目標 vSphere 命名空間相關聯。繫結的類別可供該 vSphere 命名空間中部署的 TKG 叢集節點使用。

若要將預設虛擬機器類別與 vSphere 命名空間相關聯，請使用 vSphere Client 登入 vCenter Server 並完成以下程序。

選取工作負載管理 > 命名空間和目標 vSphere 命名空間。
對於虛擬機器服務動態磚，請選取新增虛擬機器類別。
選取要新增的每個虛擬機器類別。
1. 若要新增預設虛擬機器類別，請選取清單第 1 頁資料表標頭中的核取方塊，導覽至第 2 頁，然後選取該頁面上資料表標頭中的核取方塊。確認已選取所有類別。
2. 若要建立自訂類別，請按一下建立新虛擬機器類別。如需指示，請參閱《虛擬機器服務》說明文件。
按一下確定以完成作業。
確認已新增類別。虛擬機器服務動態磚會顯示管理虛擬機器類別。

驗證 vSphere 命名空間組態

設定的 vSphere 命名空間包括狀態、權限、儲存區、容量與使用量、 TKR 內容程式庫以及虛擬機器類別。

狀態動態磚包含指向 vSphere IaaS control plane CLI 工具的連結。DevOps 頁面由主管控制平面負載平衡器提供支援。向 TKG 叢集使用者提供下載 vSphere 適用的 Kubernetes CLI 工具的連結。請參閱安裝 vSphere 適用的 Kubernetes CLI 工具。

若要使用 kubectl 驗證 vSphere 命名空間組態，請參閱驗證 vSphere 命名空間是否已準備好主控 TKG 服務叢集。

為 vSphere 命名空間 設定角色權限

為 vSphere 命名空間 設定持續性儲存區

為 vSphere 命名空間 設定容量和使用量限制

將 TKR 內容程式庫與 TKG 服務 相關聯

將虛擬機器類別與 vSphere 命名空間 相關聯