I dag vil vi tale om VMware Tanzu, en ny linje af produkter og tjenester, der blev annonceret under sidste års VMWorld-konference. På dagsordenen er et af de mest interessante værktøjer: Tanzu Mission Control.
Vær forsigtig: der er mange billeder under snittet.
Hvad er Mission Control
Som virksomheden selv siger i sin blog, er hovedmålet med VMware Tanzu Mission Control at "bringe orden i klyngekaos." Mission Control er en API-drevet platform, der giver administratorer mulighed for at anvende politikker på klynger eller grupper af klynger og sætte sikkerhedsregler. SaaS-baserede værktøjer integreres sikkert i Kubernetes-klynger via en agent og understøtter en række standard-klyngeoperationer, herunder livscyklusstyringsoperationer (implementering, skalering, sletning osv.).
Ideologien bag Tanzu-linjen er baseret på den maksimale brug af open source-teknologier. Til at styre livscyklussen for Tanzu Kubernetes Grid-klynger bruges Cluster API, Velero bruges til sikkerhedskopiering og gendannelse, Sonobuoy bruges til at overvåge overholdelse af konfigurationen af Kubernetes-klynger og Contour som en ingress-controller.
Den generelle liste over Tanzu Mission Control-funktioner ser sådan ud:
- centraliseret styring af alle dine Kubernetes-klynger;
- identitets- og adgangsstyring (IAM);
- diagnostik og overvågning af klyngestatus;
- styring af konfiguration og sikkerhedsindstillinger;
- planlægning af regelmæssige klyngesundhedstjek;
- oprettelse af sikkerhedskopier og gendannelse;
- forvaltning af kvoter;
- visuel fremstilling af ressourceudnyttelse.
Hvorfor er det vigtigt
Tanzu Mission Control vil hjælpe virksomheder med at løse problemet med at administrere en stor flåde af Kubernetes-klynger placeret på stedet, i skyen og på tværs af flere tredjepartsudbydere. Før eller siden vil enhver virksomhed, hvis aktiviteter er knyttet til IT, se sig nødsaget til at støtte mange heterogene klynger hos forskellige udbydere. Hver klynge bliver til en snebold, der har brug for kompetent organisation, passende infrastruktur, politikker, beskyttelse, overvågningssystemer og meget mere.
I dag stræber enhver virksomhed efter at reducere omkostninger og automatisere rutineprocesser. Og det komplekse it-landskab fremmer tydeligvis ikke besparelser og koncentration om prioriterede opgaver. Tanzu Mission Control giver organisationer mulighed for at drive flere Kubernetes-klynger implementeret på tværs af flere udbydere, mens driftsmodellen harmoniseres.
Løsningsarkitektur
Tanzu Mission Control er en platform med flere lejere, der giver brugerne adgang til et sæt meget konfigurerbare politikker, der kan anvendes på Kubernetes-klynger og grupper af klynger. Hver bruger er knyttet til en organisation, som er "roden" af ressourcer - klyngegrupper og arbejdsområder.
Hvad Tanzu Mission Control kan
Ovenfor har vi allerede kort listet listen over funktioner i løsningen. Lad os se, hvordan dette er implementeret i grænsefladen.
En enkelt visning af alle Kubernetes-klynger i virksomheden:
Oprettelse af en ny klynge:
Du kan straks tildele en gruppe til en klynge, og den vil arve de politikker, der er tildelt den.
Klyngeforbindelse:
Allerede eksisterende klynger kan simpelthen forbindes med en speciel agent.
Klyngegruppering:
I klyngegrupper kan du gruppere klynger for at arve tildelte politikker med det samme på gruppeniveau uden manuel indgriben.
Arbejdsområder:
Giver mulighed for fleksibelt at konfigurere adgang til en applikation, der er placeret inden for flere navnerum, klynger og cloud-infrastrukturer.
Lad os se nærmere på driftsprincipperne for Tanzu Mission Control i laboratoriearbejde.
Lab #1
Det er selvfølgelig ret svært at forestille sig i detaljer driften af Mission Control og nye Tanzu-løsninger uden øvelse. For at du kan udforske linjens hovedfunktioner, giver VMware adgang til flere laboratoriebænke. Disse bænke giver dig mulighed for at udføre laboratoriearbejde ved hjælp af trin-for-trin instruktioner. Ud over selve Tanzu Mission Control er andre løsninger tilgængelige til test og undersøgelse. En komplet liste over laboratoriearbejder kan findes .
Til praktisk bekendtskab med forskellige løsninger (inklusive et lille "spil" på vSAN) afsættes forskellige mængder tid. Bare rolig, det er meget relative tal. For eksempel kan et laboratorium på Tanzu Mission Control "løses" i op til 9 og en halv time, når man passerer hjemmefra. Derudover, selvom timeren løber ud, kan du gå tilbage og gennemgå alt igen.
Bestået laboratoriearbejde #1
For at få adgang til laboratorierne skal du have en VMware-konto. Efter autorisation åbnes et pop op-vindue med hovedomridset af arbejdet. Detaljerede instruktioner vil blive placeret på højre side af skærmen.
Efter at have læst en kort introduktion til Tanzu, vil du blive inviteret til at øve dig i den interaktive Mission Control-simulering.
Et nyt pop op-vindue til Windows-maskine åbnes, og du bliver bedt om at udføre et par grundlæggende handlinger:
- oprette en klynge
- konfigurere dens grundlæggende parametre
- Opdater siden og sørg for, at alt er konfigureret korrekt
- sæt politikker og tjek klyngen
- skabe et arbejdsrum
- oprette navnerum
- arbejde med politikkerne igen, er hvert trin forklaret i detaljer i manualen
- opgradering af demo-klynge
Selvfølgelig giver den interaktive simulering ikke tilstrækkelig frihed til uafhængig undersøgelse: du bevæger dig langs skinner, der er forudlagt af udviklerne.
Lab #2
Her har vi allerede at gøre med noget mere alvorligt. Dette laboratoriearbejde er ikke så bundet til "skinnerne" som det foregående og kræver mere omhyggelig undersøgelse. Vi vil ikke præsentere det her i sin helhed: for at spare din tid analyserer vi kun det andet modul, det første er afsat til det teoretiske aspekt af arbejdet med Tanzu Mission Control. Hvis du ønsker det, kan du gå igennem det helt på egen hånd. Dette modul giver os et dybt dyk i klyngelivscyklusstyring gennem Tanzu Mission Control.
Bemærk: Tanzu Mission Controls laboratoriearbejde opdateres og forfines regelmæssigt. Hvis nogen skærmbilleder eller trin adskiller sig fra nedenstående, når du fuldfører laboratoriet, skal du følge vejledningen på højre side af skærmen. Vi vil gennemgå den aktuelle version af LR i skrivende stund og overveje dens nøgleelementer.
Bestået laboratoriearbejde #2
Efter godkendelsesprocessen i VMware Cloud Services lancerer vi Tanzu Mission Control.
Det første trin, som laboratoriet foreslår, er at implementere en Kubernetes-klynge. Først skal vi få adgang til Ubuntu VM ved hjælp af PuTTY. Start værktøjet, og vælg en session med Ubuntu.
Vi udfører tre kommandoer efter tur:
- oprettelse af en klynge:
kind create cluster --config 3node.yaml --name=hol - indlæser KUBECONFIG-fil:
export KUBECONFIG="$(kind get kubeconfig-path --name="hol")" - node output:
kubectl get nodes
Nu skal den klynge, vi oprettede, føjes til Tanzu Mission Control. Fra PuTTY vender vi tilbage til Chrome, gå til Clusters og klik TILKNYT KLYNGE.
Vælg en gruppe fra rullemenuen - standard, indtast navnet foreslået af laboratoriet og klik REGISTRER.
Kopier den modtagne kommando og gå til PuTTY.
Vi udfører den modtagne kommando.
For at spore fremskridt skal du køre en anden kommando: watch kubectl get pods -n vmware-system-tmc. Vi venter til alle containere har en status Løb eller Afsluttet.
Vend tilbage til Tanzu Mission Control og klik KONTROLLER FORBINDELSEN. Hvis alt gik godt, skulle indikatorerne for alle kontroller være grønne.
Lad os nu oprette en ny gruppe af klynger og implementere en ny klynge der. Gå til Klyngegrupper og klik NY KLYNGEGRUPPE. Indtast navnet og klik SKAB.
Den nye gruppe bør straks vises på listen.
Lad os implementere en ny klynge: gå til Klynger, tryk på NY KLYNGE og vælg den mulighed, der er knyttet til laboratoriearbejdet.
Lad os tilføje navnet på klyngen, vælge den gruppe, der er tildelt den - i vores tilfælde, hands-on-labs - og implementeringsregionen.
Der er andre muligheder tilgængelige, når du opretter en klynge, men det nytter ikke at ændre dem under laboratoriet. Vælg den konfiguration, du har brug for, og klik Næste.
Nogle parametre skal redigeres, for at gøre dette, klik Redigere.
Lad os øge antallet af arbejdsknuder til to, gemme parametrene og klikke SKAB.
Under processen vil du se en statuslinje som denne.
Efter en vellykket implementering vil du se dette billede. Alle kvitteringer skal være grønne.
Nu skal vi downloade KUBECONFIG-filen for at administrere klyngen ved hjælp af standard kubectl-kommandoer. Dette kan gøres direkte gennem Tanzu Mission Control-brugergrænsefladen. Download filen og fortsæt med at downloade Tanzu Mission Control CLI ved at klikke Klik her.
Vælg den ønskede version og download CLI.
Nu skal vi have API-tokenet. For at gøre dette, gå til Min profil og generere et nyt token.
Udfyld felterne og klik FREMBRINGE.
Kopier det resulterende token og klik FORTSÆT. Åbn Power Shell og indtast tmc-login-kommandoen, derefter det token, som vi modtog og kopierede i det forrige trin, og derefter Login Context Name. Vælge info logfiler fra de foreslåede, region og olympus-default som en ssh-nøgle.
Vi får navnerum:kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get namespaces.
Gå ind kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get nodesfor at sikre, at alle noder er i status Ready.
Nu skal vi implementere en lille applikation i denne klynge. Lad os lave to implementeringer - kaffe og te - i form af tjenesterne coffee-svc og tea-svc, som hver lancerer forskellige billeder - nginxdemos/hello og nginxdemos/hello:plain-text. Dette gøres som følger.
Gennem PowerShell gå til downloads og find filen cafe-services.yaml.
På grund af nogle ændringer i API'en bliver vi nødt til at opdatere den.
Pod-sikkerhedspolitikker er aktiveret som standard. For at køre programmer med privilegier skal du linke din konto.
Opret en binding: kubectl --kubeconfig=kubeconfig-aws-cluster.yml create clusterrolebinding privileged-cluster-role-binding --clusterrole=vmware-system-tmc-psp-privileged --group=system:authenticated
Lad os implementere applikationen: kubectl --kubeconfig=kubeconfig-aws-cluster.yml apply -f cafe-services.yaml
Vi tjekker: kubectl --kubeconfig=kubeconfig-aws-cluster.yml get pods
Modul 2 er færdig, du er smuk og fantastisk! Vi anbefaler, at du gennemfører de resterende moduler, inklusive politikstyring og overholdelsestjek, på egen hånd.
Hvis du gerne vil gennemføre dette laboratorium i sin helhed, kan du finde det her . Og vi går videre til den sidste del af artiklen. Lad os tale om, hvad vi nåede at se, drage de første præcise konklusioner og sige detaljeret, hvad Tanzu Mission Control er i forhold til rigtige forretningsprocesser.
Meninger og konklusioner
Det er selvfølgelig for tidligt at tale om praktiske problemer med at arbejde med Tanzu. Der er ikke så mange materialer til selvstudier, og i dag er det ikke muligt at sætte en testbænk til at "prikke" et nyt produkt fra alle sider. Men selv ud fra de tilgængelige data kan der drages visse konklusioner.
Fordele ved Tanzu Mission Control
Systemet viste sig at være rigtig interessant. Jeg vil gerne straks fremhæve et par praktiske og nyttige godbidder:
- Du kan oprette klynger gennem webpanelet og gennem konsollen, som udviklere virkelig vil kunne lide.
- RBAC-styring gennem arbejdsområder er implementeret i brugergrænsefladen. Det virker ikke i laboratoriet endnu, men i teorien er det en fantastisk ting.
- Skabelonbaseret centraliseret privilegiestyring
- Fuld adgang til navnerum.
- YAML redaktør.
- Oprettelse af netværkspolitikker.
- Klyngesundhedsovervågning.
- Mulighed for at sikkerhedskopiere og gendanne via konsollen.
- Administrer kvoter og ressourcer med visualisering af faktisk udnyttelse.
- Automatisk lancering af klyngeinspektion.
Igen er mange komponenter i øjeblikket under udvikling, så det er for tidligt at tale fuldt ud om fordele og ulemper ved nogle værktøjer. I øvrigt kan Tanzu MC, baseret på demonstrationen, opgradere en klynge i farten og i det hele taget levere hele livscyklussen for en klynge til flere udbydere på én gang.
Her er nogle eksempler på "højt niveau".
Til en andens klynge med sit eget charter
Lad os sige, at du har et udviklingsteam med klart definerede roller og ansvar. Alle har travlt med deres egen virksomhed og bør ikke engang ved et uheld blande sig i deres kollegers arbejde. Eller teamet har en eller flere mindre erfarne specialister, som du ikke ønsker at give unødvendige rettigheder og friheder. Lad os også antage, at du har Kubernetes fra tre udbydere på én gang. Derfor, for at begrænse rettighederne og bringe dem til en fællesnævner, skal du gå til hvert kontrolpanel en efter en og registrere alt manuelt. Enig, ikke det mest produktive tidsfordriv. Og jo flere ressourcer du har, jo mere kedelig er processen. Tanzu Mission Control giver dig mulighed for at styre afgrænsningen af roller fra et "et vindue". Efter vores mening er dette en meget praktisk funktion: ingen vil bryde noget, hvis du ved et uheld glemmer at angive de nødvendige rettigheder et sted.
Af den måde, vores kolleger fra MTS i deres blog Kubernetes fra leverandøren og open source. Hvis du længe har ønsket at vide, hvad forskellene er, og hvad du skal kigge efter, når du vælger, er du velkommen.
Kompakt arbejde med logs
Et andet eksempel fra det virkelige liv er at arbejde med logs. Lad os antage, at holdet også har en tester. En skønne dag kommer han til udviklerne og annoncerer: "Der er fundet en fejl i applikationen, vi vil rette den hurtigst muligt." Det er naturligt, at det første, en udvikler ønsker at stifte bekendtskab med, er logfilerne. At sende dem som filer via e-mail eller telegram er dårlige manerer og sidste århundrede. Mission Control tilbyder et alternativ: du kan indstille særlige rettigheder til udvikleren, så de kun kan læse logfiler i et specifikt navneområde. I dette tilfælde skal testeren bare sige: "der er fejl i sådan og sådan en applikation, i sådan og sådan et felt, i sådan og sådan et navneområde," og udvikleren kan nemt åbne logfilerne og være i stand til at lokalisere problemet. Og på grund af begrænsede rettigheder vil du ikke kunne rette det med det samme, hvis din kompetence ikke tillader det.
En sund klynge har en sund anvendelse.
En anden stor egenskab ved Tanzu MC er klyngesundhedssporing. At dømme efter foreløbige materialer giver systemet dig mulighed for at se nogle statistikker. I øjeblikket er det svært at sige præcis, hvor detaljeret denne information vil være: indtil videre ser alt ganske beskedent og enkelt ud. Der er overvågning af CPU og RAM belastning, status for alle komponenter vises. Men selv i sådan en spartansk form er det en meget nyttig og effektiv detalje.
Resultaterne af
I laboratoriepræsentationen af Mission Control, under tilsyneladende sterile forhold, er der selvfølgelig nogle ru kanter. Du vil sikkert selv lægge mærke til dem, hvis du beslutter dig for at gennemgå arbejdet. Nogle aspekter er ikke lavet intuitivt nok - selv en erfaren administrator bliver nødt til at læse manualen for at forstå grænsefladen og dens muligheder.
Men i betragtning af produktets kompleksitet, dets betydning og den rolle, det vil spille på markedet, viste det sig godt. Det føles som om skaberne forsøgte at forbedre brugerens arbejdsgang. Gør hvert kontrolelement så funktionelt og forståeligt som muligt.
Det eneste, der er tilbage, er at prøve Tanzu på en testbænk for virkelig at forstå alle dens fordele, ulemper og innovationer. Så snart en sådan mulighed byder sig, vil vi dele med Habr-læsere en detaljeret rapport om arbejdet med produktet.
Kilde: www.habr.com