Днес искаме да говорим за VMware Tanzu, нова линия продукти и услуги, която беше обявена по време на миналогодишната конференция на VMWorld. На дневен ред е един от най-интересните инструменти: Tanzu Mission Control.
Внимавайте: под разреза има много изображения.
Какво е контрол на мисията
Както самата компания заявява в своя блог, основната цел на VMware Tanzu Mission Control е да „внесе ред в клъстерния хаос“. Mission Control е платформа, управлявана от API, която ще позволи на администраторите да прилагат политики към клъстери или групи от клъстери и да задават правила за сигурност. Базираните на SaaS инструменти се интегрират сигурно в клъстерите на Kubernetes чрез агент и поддържат различни стандартни клъстерни операции, включително операции за управление на жизнения цикъл (внедряване, мащабиране, изтриване и т.н.).
Идеологията на линията Tanzu се основава на максимално използване на технологии с отворен код. За управление на жизнения цикъл на Tanzu Kubernetes Grid клъстери се използва Cluster API, Velero се използва за архивиране и възстановяване, Sonobuoy се използва за наблюдение на съответствието с конфигурацията на Kubernetes клъстери и Contour като входящ контролер.
Общият списък на функциите за контрол на мисията Tanzu изглежда така:
- централизирано управление на всички ваши Kubernetes клъстери;
- управление на идентичност и достъп (IAM);
- диагностика и мониторинг на състоянието на клъстера;
- управление на настройките за конфигурация и сигурност;
- планиране на редовни проверки на здравето на клъстера;
- създаване на резервни копия и възстановяване;
- управление на квоти;
- визуално представяне на използването на ресурсите.
Защо е важно
Tanzu Mission Control ще помогне на бизнеса да реши проблема с управлението на голям набор от клъстери на Kubernetes, разположени на място, в облака и в множество доставчици на трети страни. Рано или късно всяка компания, чиято дейност е свързана с ИТ, се оказва принудена да поддържа много разнородни клъстери, разположени при различни доставчици. Всеки клъстер се превръща в снежна топка, която се нуждае от компетентна организация, подходяща инфраструктура, политики, защита, системи за наблюдение и много други.
В днешно време всеки бизнес се стреми да намали разходите и да автоматизира рутинните процеси. И сложният ИТ пейзаж очевидно не насърчава спестяванията и концентрацията върху приоритетни задачи. Tanzu Mission Control дава на организациите възможността да управляват множество Kubernetes клъстери, разположени в множество доставчици, като същевременно хармонизират работния модел.
Архитектура на решението
Tanzu Mission Control е платформа с множество наематели, която дава на потребителите достъп до набор от силно конфигурируеми политики, които могат да бъдат приложени към клъстери на Kubernetes и групи от клъстери. Всеки потребител е свързан с организация, която е „коренът“ на ресурсите – клъстерни групи и работни пространства.
Какво може да направи Tanzu Mission Control
По-горе вече накратко изброихме списъка с функции на решението. Нека да видим как това е реализирано в интерфейса.
Един изглед на всички Kubernetes клъстери в предприятието:
Създаване на нов клъстер:
Можете незабавно да присвоите група към клъстер и той ще наследи правилата, които са му присвоени.
Клъстерна връзка:
Вече съществуващите клъстери могат просто да бъдат свързани с помощта на специален агент.
Групиране на клъстери:
В групите клъстери можете да групирате клъстери, за да наследите присвоените политики незабавно на ниво група, без ръчна намеса.
Работни пространства:
Предоставя възможност за гъвкаво конфигуриране на достъп до приложение, което се намира в няколко пространства от имена, клъстери и облачни инфраструктури.
Нека разгледаме по-отблизо принципите на действие на Tanzu Mission Control в лабораторна работа.
Лаборатория №1
Разбира се, доста е трудно да си представим в детайли работата на Mission Control и новите решения на Tanzu без практика. За да можете да изследвате основните характеристики на линията, VMware предоставя достъп до няколко лабораторни стенда. Тези пейки ви позволяват да извършвате лабораторна работа, като използвате инструкции стъпка по стъпка. В допълнение към самия Tanzu Mission Control, други решения са достъпни за тестване и проучване. Можете да намерите пълен списък на лабораторните работи .
За практическо запознаване с различни решения (включително малка „игра“ на vSAN) се отделя различно време. Не се притеснявайте, това са много относителни цифри. Например, лаборатория на Tanzu Mission Control може да бъде „решена“ до 9 часа и половина, когато минавате от дома. Освен това, дори ако таймерът изтече, можете да се върнете и да преминете през всичко отново.
Преминаване на лабораторна работа №1
За достъп до лабораториите ще ви трябва акаунт във VMware. След упълномощаване ще се отвори изскачащ прозорец с основния контур на работата. Подробни инструкции ще бъдат поставени от дясната страна на екрана.
След като прочетете кратко въведение в Tanzu, ще бъдете поканени да се упражнявате в интерактивната симулация за управление на мисията.
Ще се отвори нов изскачащ прозорец на Windows машина и ще бъдете помолени да извършите няколко основни операции:
- създайте клъстер
- конфигурирайте основните му параметри
- обновете страницата и се уверете, че всичко е конфигурирано правилно
- задайте правила и проверете клъстера
- създайте работно пространство
- създайте пространство от имена
- работите отново с правилата, всяка стъпка е обяснена подробно в ръководството
- надграждане на демонстрационен клъстер
Разбира се, интерактивната симулация не предоставя достатъчно свобода за самостоятелно проучване: вие се движите по релси, предварително поставени от разработчиците.
Лаборатория №2
Тук вече имаме работа с нещо по-сериозно. Тази лабораторна работа не е толкова обвързана с „релсите“ като предишната и изисква по-внимателно проучване. Тук няма да го представяме изцяло: за да ви спестим време, ще анализираме само втория модул, като първият е посветен на теоретичния аспект на работата на Tanzu Mission Control. Ако желаете, можете да го преминете напълно сами. Този модул ни предлага дълбоко гмуркане в управлението на жизнения цикъл на клъстера чрез Tanzu Mission Control.
Забележка: Лабораторната работа на Tanzu Mission Control се актуализира редовно и се усъвършенства. Ако някои екрани или стъпки се различават от тези по-долу, докато завършите лабораторията, следвайте указанията от дясната страна на екрана. Ще прегледаме текущата версия на LR към момента на писане и ще разгледаме нейните ключови елементи.
Преминаване на лабораторна работа №2
След процеса на оторизация във VMware Cloud Services стартираме Tanzu Mission Control.
Първата стъпка, която лабораторията предлага, е внедряването на Kubernetes клъстер. Първо трябва да осъществим достъп до Ubuntu VM с помощта на PuTTY. Стартирайте помощната програма и изберете сесия с Ubuntu.
Изпълняваме три команди на свой ред:
- създаване на клъстер:
kind create cluster --config 3node.yaml --name=hol - зареждане на KUBECONFIG файл:
export KUBECONFIG="$(kind get kubeconfig-path --name="hol")" - изход на възел:
kubectl get nodes
Сега клъстерът, който създадохме, трябва да бъде добавен към Tanzu Mission Control. От PuTTY се връщаме в Chrome, отиваме на Clusters и кликваме ПРИКАЧВАНЕ НА КЛУСТЕР.
Изберете група от падащото меню - подразбиране, въведете името, предложено от лабораторията, и щракнете РЕГИСТРИРАЙ СЕ.
Копирайте получената команда и отидете на PuTTY.
Изпълняваме получената команда.
За да проследите напредъка, изпълнете друга команда: watch kubectl get pods -n vmware-system-tmc. Изчакваме, докато всички контейнери имат статус Работещи или XNUMXавършен.
Върнете се в Tanzu Mission Control и щракнете ПРОВЕРЕТЕ ВРЪЗКАТА. Ако всичко е минало добре, индикаторите за всички проверки трябва да са зелени.
Сега нека създадем нова група клъстери и разположим нов клъстер там. Отидете на Клъстерни групи и щракнете НОВА КЛЪСТЕРНА ГРУПА. Въведете името и щракнете CREATE.
Новата група трябва веднага да се появи в списъка.
Нека разположим нов клъстер: отидете на Клъстеритенатиснете НОВ КЛЪСТЕР и изберете опцията, свързана с лабораторната работа.
Нека добавим името на клъстера, да изберем групата, присвоена към него - в нашия случай, практически лаборатории - и региона за внедряване.
При създаването на клъстер има и други опции, но няма смисъл да ги променяте по време на лабораторната работа. Изберете необходимата конфигурация и щракнете Напред.
Някои параметри трябва да бъдат редактирани, за да направите това, щракнете редактирам.
Нека увеличим броя на работещите възли до два, запазете параметрите и щракнете CREATE.
По време на процеса ще видите лента за напредък като тази.
След успешно внедряване ще видите тази картина. Всички разписки трябва да са зелени.
Сега трябва да изтеглим файла KUBECONFIG, за да управляваме клъстера с помощта на стандартни команди kubectl. Това може да стане директно през потребителския интерфейс Tanzu Mission Control. Изтеглете файла и продължете да изтегляте Tanzu Mission Control CLI, като щракнете Натисни тук.
Изберете желаната версия и изтеглете CLI.
Сега трябва да вземем API Token. За да направите това, отидете на Акаунт и генерирайте нов токен.
Попълнете полетата и щракнете ГЕНЕРИРАЙТЕ.
Копирайте получения маркер и щракнете ПРОДЪЛЖАВАТ. Отворете Power Shell и въведете командата tmc-login, след това токена, който получихме и копирахме в предишната стъпка, и след това Име на контекст за влизане. Избирам инфо трупи от предложените, регион и olympus-default като ssh ключ.
Получаваме пространства от имена:kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get namespaces.
Представете kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get nodesза да се уверите, че всички възли са в състояние Готов.
Сега трябва да внедрим малко приложение в този клъстер. Нека направим две внедрявания - кафе и чай - под формата на услуги coffee-svc и tea-svc, всяка от които стартира различни изображения - nginxdemos/hello и nginxdemos/hello:plain-text. Това става по следния начин.
През PowerShell отидете на изтегляния и намерете файла кафе-услуги.yaml.
Поради някои промени в API, ще трябва да го актуализираме.
Политиките за сигурност на Pod са активирани по подразбиране. За да стартирате приложения с привилегии, трябва да свържете своя акаунт.
Създайте обвързване: kubectl --kubeconfig=kubeconfig-aws-cluster.yml create clusterrolebinding privileged-cluster-role-binding --clusterrole=vmware-system-tmc-psp-privileged --group=system:authenticated
Нека внедрим приложението: kubectl --kubeconfig=kubeconfig-aws-cluster.yml apply -f cafe-services.yaml
проверете: kubectl --kubeconfig=kubeconfig-aws-cluster.yml get pods
Модул 2 приключи, вие сте красиви и невероятни! Препоръчваме ви да завършите останалите модули, включително управление на политиката и проверки за съответствие, сами.
Ако искате да завършите тази лаборатория в нейната цялост, можете да я намерите тук . И ще преминем към последната част на статията. Нека да поговорим за това, което успяхме да видим, да направим първите точни заключения и да кажем подробно какво е Tanzu Mission Control във връзка с реалните бизнес процеси.
Становища и заключения
Разбира се, твърде рано е да се говори за практически въпроси на работата с Tanzu. Няма толкова много материали за самообучение и днес не е възможно да се разположи тестов стенд, който да „проби“ нов продукт от всички страни. Но дори и от наличните данни могат да се направят определени изводи.
Предимства на Tanzu Mission Control
Системата се оказа наистина интересна. Бих искал веднага да подчертая няколко удобни и полезни екстри:
- Можете да създавате клъстери чрез уеб панела и през конзолата, което разработчиците наистина ще харесат.
- Управлението на RBAC чрез работни пространства е реализирано в потребителския интерфейс. Все още не работи в лабораторията, но на теория е страхотно нещо.
- Базирано на шаблон централизирано управление на привилегиите
- Пълен достъп до пространствата от имена.
- YAML редактор.
- Създаване на мрежови политики.
- Мониторинг на здравето на клъстера.
- Възможност за архивиране и възстановяване през конзолата.
- Управлявайте квоти и ресурси с визуализация на действителното използване.
- Автоматично стартиране на проверката на клъстера.
Отново, много компоненти в момента са в процес на разработка, така че е твърде рано да се говори напълно за плюсовете и минусите на някои инструменти. Между другото, Tanzu MC, въз основа на демонстрацията, може да надстрои клъстер в движение и като цяло да осигури целия жизнен цикъл на клъстер за множество доставчици наведнъж.
Ето някои примери на „високо ниво“.
Към чужд клъстер със собствена харта
Да приемем, че имате екип за разработка с ясно дефинирани роли и отговорности. Всеки се занимава със собствените си дела и не бива дори случайно да пречи на работата на колегите си. Или екипът има един или повече по-малко опитни специалисти, на които не искате да давате ненужни права и свободи. Нека приемем също, че имате Kubernetes от три доставчика едновременно. Съответно, за да ограничите правата и да ги приведете към общ знаменател, ще трябва да отидете до всеки контролен панел един по един и да регистрирате всичко ръчно. Съгласете се, не е най-продуктивното забавление. И колкото повече ресурси имате, толкова по-досаден е процесът. Tanzu Mission Control ще ви позволи да управлявате разпределението на ролите от „един прозорец“. Според нас това е много удобна функция: никой няма да наруши нищо, ако случайно забравите някъде да посочите необходимите права.
Между другото, нашите колеги от MTS в техния блог Kubernetes от доставчика и с отворен код. Ако отдавна искате да знаете какви са разликите и какво да търсите при избора, заповядайте.
Компактна работа с трупи
Друг пример от реалния живот е работата с трупи. Да приемем, че екипът също има тестер. Един прекрасен ден той идва при разработчиците и съобщава: „В приложението е открита грешка, ние ще я поправим спешно.“ Естествено е първото нещо, с което разработчикът ще иска да се запознае, са регистрационните файлове. Изпращането им като файлове по имейл или Telegram е лошо възпитание и миналия век. Mission Control предлага алтернатива: можете да зададете специални права на разработчика, така че той да може да чете регистрационни файлове само в конкретно пространство от имена. В този случай тестерът просто трябва да каже: „има грешки в такова и това приложение, в такова и това поле, в такова и това пространство от имена“ и разработчикът може лесно да отвори регистрационните файлове и да може да локализира проблемът. И поради ограничените права, няма да можете да го поправите веднага, ако вашата компетентност не го позволява.
Здравият клъстер има здравословно приложение.
Друга страхотна функция на Tanzu MC е проследяването на здравето на клъстера. Съдейки по предварителните материали, системата ви позволява да видите някои статистики. В момента е трудно да се каже точно колко подробна ще бъде тази информация: засега всичко изглежда доста скромно и просто. Има мониторинг на натоварването на процесора и RAM, показва се състоянието на всички компоненти. Но дори и в такъв спартански вид това е много полезен и ефектен детайл.
Резултати от
Разбира се, в лабораторното представяне на Mission Control, в привидно стерилни условия, има някои грапавини. Вие сами вероятно ще ги забележите, ако решите да преминете през работата. Някои аспекти не са направени достатъчно интуитивно - дори опитен администратор ще трябва да прочете ръководството, за да разбере интерфейса и неговите възможности.
Въпреки това, предвид сложността на продукта, неговата важност и ролята, която ще играе на пазара, се получи страхотно. Изглежда, че създателите са се опитали да подобрят работния процес на потребителя. Направете всеки контролен елемент възможно най-функционален и разбираем.
Всичко, което остава, е да опитате Tanzu на тестов стенд, за да разберете наистина всичките му плюсове, минуси и иновации. Веднага щом се появи такава възможност, ще споделим с читателите на Habr подробен отчет за работата с продукта.
Източник: www.habr.com