Hoy queremos hablar de VMware Tanzu, una nueva línea de productos y servicios que se anunció durante la conferencia VMWorld del año pasado. En la agenda está una de las herramientas más interesantes: Tanzu Mission Control.
Cuidado: hay muchas imágenes debajo del corte.
¿Qué es el control de misión?
Tal y como afirma la propia compañía en su blog, el objetivo principal de VMware Tanzu Mission Control es “poner orden en el caos del cluster”. Mission Control es una plataforma impulsada por API que permitirá a los administradores aplicar políticas a clusters o grupos de clusters y establecer reglas de seguridad. Las herramientas basadas en SaaS se integran de forma segura en los clústeres de Kubernetes a través de un agente y admiten una variedad de operaciones de clúster estándar, incluidas operaciones de gestión del ciclo de vida (implementación, escalado, eliminación, etc.).
La ideología de la línea Tanzu se basa en el máximo uso de tecnologías de código abierto. Para gestionar el ciclo de vida de los clústeres de Tanzu Kubernetes Grid, se utiliza la API de clúster, Velero se utiliza para copias de seguridad y recuperación, Sonobuoy se utiliza para monitorear el cumplimiento de la configuración de los clústeres de Kubernetes y Contour como controlador de ingreso.
La lista general de funciones de Tanzu Mission Control se ve así:
- gestión centralizada de todos sus clústeres de Kubernetes;
- gestión de identidad y acceso (IAM);
- diagnóstico y seguimiento del estado de los clusters;
- gestionar la configuración y los ajustes de seguridad;
- programar controles periódicos del estado del clúster;
- crear copias de seguridad y restaurar;
- gestión de cuotas;
- representación visual de la utilización de recursos.
¿Por qué es esto importante?
Tanzu Mission Control ayudará a las empresas a resolver el problema de gestionar una gran flota de clústeres de Kubernetes ubicados en las instalaciones, en la nube y en múltiples proveedores externos. Tarde o temprano, cualquier empresa cuyas actividades estén ligadas a TI se ve obligada a soportar muchos clusters heterogéneos ubicados en diferentes proveedores. Cada grupo se convierte en una bola de nieve que necesita una organización competente, infraestructura adecuada, políticas, protección, sistemas de monitoreo y mucho más.
Hoy en día, cualquier empresa se esfuerza por reducir costes y automatizar procesos rutinarios. Y el complejo panorama de TI claramente no promueve el ahorro y la concentración en tareas prioritarias. Tanzu Mission Control brinda a las organizaciones la capacidad de operar múltiples clústeres de Kubernetes implementados en múltiples proveedores mientras armoniza el modelo operativo.
Arquitectura de soluciones
Tanzu Mission Control es una plataforma multiinquilino que brinda a los usuarios acceso a un conjunto de políticas altamente configurables que se pueden aplicar a clústeres y grupos de clústeres de Kubernetes. Cada usuario está vinculado a una organización, que es la "raíz" de los recursos: grupos de clústeres y espacios de trabajo.
Qué puede hacer Tanzu Mission Control
Arriba ya hemos enumerado brevemente la lista de funciones de la solución. Veamos cómo se implementa esto en la interfaz.
Una vista única de todos los clústeres de Kubernetes en la empresa:
Creando un nuevo clúster:
Puede asignar inmediatamente un grupo a un clúster y este heredará las políticas que se le hayan asignado.
Conexión de clúster:
Los clústeres ya existentes se pueden conectar simplemente mediante un agente especial.
Agrupación de clústeres:
En los grupos de clústeres, puede agrupar clústeres para heredar las políticas asignadas inmediatamente a nivel de grupo, sin intervención manual.
Espacios de trabajo:
Proporciona la capacidad de configurar de forma flexible el acceso a una aplicación que se encuentra dentro de varios espacios de nombres, clústeres e infraestructuras de nube.
Echemos un vistazo más de cerca a los principios operativos de Tanzu Mission Control en el trabajo de laboratorio.
Laboratorio #1
Por supuesto, es bastante difícil imaginar en detalle el funcionamiento de Mission Control y las nuevas soluciones de Tanzu sin práctica. Para que pueda explorar las características principales de la línea, VMware proporciona acceso a varias mesas de laboratorio. Estos bancos le permiten realizar trabajos de laboratorio siguiendo instrucciones paso a paso. Además del propio Tanzu Mission Control, hay otras soluciones disponibles para pruebas y estudios. Puede encontrar una lista completa de trabajos de laboratorio. .
Para un conocimiento práctico de varias soluciones (incluido un pequeño "juego" en vSAN), se dedican diferentes cantidades de tiempo. No te preocupes, son cifras muy relativas. Por ejemplo, un laboratorio en Tanzu Mission Control se puede “resolver” hasta en 9 horas y media cuando se pasa desde casa. Además, aunque se acabe el tiempo, podrás volver atrás y repasar todo de nuevo.
Aprobar el trabajo de laboratorio #1
Para acceder a los laboratorios, necesitará una cuenta de VMware. Después de la autorización, se abrirá una ventana emergente con el esquema principal del trabajo. Las instrucciones detalladas se colocarán en el lado derecho de la pantalla.
Después de leer una breve introducción a Tanzu, se le invitará a practicar en la simulación interactiva de Mission Control.
Se abrirá una nueva ventana emergente de la máquina Windows y se le pedirá que realice algunas operaciones básicas:
- crear un grupo
- configurar sus parámetros básicos
- Actualiza la página y asegúrate de que todo esté configurado correctamente.
- establecer políticas y verificar el clúster
- crear un espacio de trabajo
- crear espacio de nombres
- trabajar con las políticas nuevamente, cada paso se explica detalladamente en el manual
- actualización del clúster de demostración
Por supuesto, la simulación interactiva no proporciona suficiente libertad para el estudio independiente: te mueves sobre rieles preestablecidos por los desarrolladores.
Laboratorio #2
Aquí ya estamos ante algo más serio. Este trabajo de laboratorio no está tan ligado a los “rieles” como el anterior y requiere un estudio más detenido. No lo presentaremos aquí en su totalidad: para ahorrarle tiempo, analizaremos solo el segundo módulo, el primero está dedicado al aspecto teórico del trabajo de Tanzu Mission Control. Si lo deseas, puedes hacerlo completamente por tu cuenta. Este módulo nos ofrece una inmersión profunda en la gestión del ciclo de vida del clúster a través de Tanzu Mission Control.
Nota: El trabajo del laboratorio de Tanzu Mission Control se actualiza y perfecciona periódicamente. Si alguna pantalla o paso difiere de los siguientes a medida que completa la práctica de laboratorio, siga las instrucciones en el lado derecho de la pantalla. Revisaremos la versión actual de la LR al momento de escribir este artículo y consideraremos sus elementos clave.
Aprobar el trabajo de laboratorio #2
Tras el proceso de autorización en VMware Cloud Services, lanzamos Tanzu Mission Control.
El primer paso que sugiere el laboratorio es implementar un clúster de Kubernetes. Primero necesitamos acceder a la VM de Ubuntu usando PuTTY. Inicie la utilidad y seleccione una sesión con Ubuntu.
Ejecutamos tres comandos a su vez:
- creando un grupo:
kind create cluster --config 3node.yaml --name=hol - cargando el archivo KUBECONFIG:
export KUBECONFIG="$(kind get kubeconfig-path --name="hol")" - salida del nodo:
kubectl get nodes
Ahora el clúster que creamos debe agregarse a Tanzu Mission Control. Desde PuTTY volvemos a Chrome, vamos a Clusters y pulsamos ADJUNTAR GRUPO.
Seleccione un grupo del menú desplegable - tu préstamo estudiantil, ingrese el nombre sugerido por el laboratorio y haga clic REGISTRO.
Copie el comando recibido y vaya a PuTTY.
Ejecutamos el comando recibido.
Para seguir el progreso, ejecute otro comando: watch kubectl get pods -n vmware-system-tmc. Esperamos hasta que todos los contenedores tengan un estado. Correr o Completado.
Regrese a Tanzu Mission Control y haga clic VERIFICAR LA CONEXIÓN. Si todo salió bien, los indicadores de todas las comprobaciones deberían estar en verde.
Ahora creemos un nuevo grupo de clústeres e implementemos un nuevo clúster allí. Vaya a Grupos de clústeres y haga clic NUEVO GRUPO CLÚSTER. Introduzca el nombre y haga clic CREAR.
El nuevo grupo debería aparecer inmediatamente en la lista.
Implementemos un nuevo clúster: vaya a Clustersempujar NUEVO Clúster y seleccionar la opción asociada al trabajo de laboratorio.
Agreguemos el nombre del clúster, seleccionemos el grupo asignado (en nuestro caso, laboratorios prácticos) y la región de implementación.
Hay otras opciones disponibles al crear un clúster, pero no tiene sentido cambiarlas durante la práctica de laboratorio. Seleccione la configuración que necesita y haga clic Siguiente.
Es necesario editar algunos parámetros; para ello, haga clic en Editar.
Aumentemos el número de nodos de trabajo a dos, guardemos los parámetros y hagamos clic CREAR.
Durante el proceso verás una barra de progreso como esta.
Después de una implementación exitosa, verá esta imagen. Todos los recibos deben ser verdes.
Ahora necesitamos descargar el archivo KUBECONFIG para administrar el clúster usando comandos estándar de kubectl. Esto se puede hacer directamente a través de la interfaz de usuario de Tanzu Mission Control. Descargue el archivo y proceda a descargar la CLI de Tanzu Mission Control haciendo clic haga clic aquí.
Seleccione la versión deseada y descargue la CLI.
Ahora necesitamos obtener el token API. Para hacer esto, vaya a Mi cuenta y generar un nuevo token.
Complete los campos y haga clic GENERAR.
Copie el token resultante y haga clic CONTINUAR. Abra Power Shell e ingrese el comando tmc-login, luego el token que recibimos y copiamos en el paso anterior, y luego el Nombre del contexto de inicio de sesión. Elegir info registros de los propuestos, región y olympus-predeterminado como clave ssh.
Obtenemos espacios de nombres:kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get namespaces.
Introducimos kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get nodespara asegurarse de que todos los nodos estén en estado Listo!.
Ahora tenemos que implementar una pequeña aplicación en este clúster. Hagamos dos implementaciones (café y té) en forma de servicios coffee-svc y tea-svc, cada uno de los cuales lanza imágenes diferentes: nginxdemos/hello y nginxdemos/hello:plain-text. Esto se hace de la siguiente manera.
A través de PowerShell vaya a descargas y busque el archivo servicios-cafe.yaml.
Debido a algunos cambios en la API, tendremos que actualizarla.
Las políticas de seguridad del pod están habilitadas de forma predeterminada. Para ejecutar aplicaciones con privilegios, debe vincular su cuenta.
Crear un enlace: kubectl --kubeconfig=kubeconfig-aws-cluster.yml create clusterrolebinding privileged-cluster-role-binding --clusterrole=vmware-system-tmc-psp-privileged --group=system:authenticated
Implementemos la aplicación: kubectl --kubeconfig=kubeconfig-aws-cluster.yml apply -f cafe-services.yaml
Comprobamos: kubectl --kubeconfig=kubeconfig-aws-cluster.yml get pods
El módulo 2 ha terminado, ¡eres hermosa y sorprendente! Recomendamos completar los módulos restantes, incluida la gestión de políticas y las comprobaciones de cumplimiento, por su cuenta.
Si desea completar esta práctica de laboratorio en su totalidad, puede encontrarla aquí. . Y pasaremos a la parte final del artículo. Hablemos de lo que logramos ver, saquemos las primeras conclusiones precisas y digamos en detalle qué es Tanzu Mission Control en relación con los procesos de negocio reales.
Opiniones y conclusiones
Por supuesto, es demasiado pronto para hablar sobre cuestiones prácticas de trabajar con Tanzu. No hay tantos materiales para el autoaprendizaje y hoy en día no es posible desplegar un banco de pruebas para "empujar" un nuevo producto por todos lados. Sin embargo, incluso a partir de los datos disponibles se pueden sacar ciertas conclusiones.
Beneficios del control de misión Tanzu
El sistema resultó ser realmente interesante. Me gustaría resaltar de inmediato algunas ventajas convenientes y útiles:
- Puedes crear clusters a través del panel web y a través de la consola, lo que gustará mucho a los desarrolladores.
- La gestión de RBAC a través de espacios de trabajo se implementa en la interfaz de usuario. Todavía no funciona en el laboratorio, pero en teoría es una gran cosa.
- Gestión de privilegios centralizada basada en plantillas
- Acceso completo a espacios de nombres.
- Editor YAML.
- Creación de políticas de red.
- Monitoreo de la salud del cluster.
- Posibilidad de realizar copias de seguridad y restaurar a través de la consola.
- Administre cuotas y recursos con visualización de la utilización real.
- Lanzamiento automático de la inspección de clusters.
Nuevamente, muchos componentes están actualmente en desarrollo, por lo que es demasiado pronto para hablar completamente sobre los pros y los contras de algunas herramientas. Por cierto, Tanzu MC, según la demostración, puede actualizar un clúster sobre la marcha y, en general, proporcionar el ciclo de vida completo de un clúster para múltiples proveedores a la vez.
A continuación se muestran algunos ejemplos de “alto nivel”.
Al grupo de otra persona con sus propios estatutos.
Supongamos que tiene un equipo de desarrollo con roles y responsabilidades claramente definidos. Cada uno está ocupado con sus propios asuntos y ni siquiera debería interferir accidentalmente en el trabajo de sus colegas. O el equipo cuenta con uno o más especialistas con menos experiencia a quienes no desea otorgar derechos y libertades innecesarios. Supongamos también que tiene Kubernetes de tres proveedores a la vez. En consecuencia, para limitar los derechos y llevarlos a un denominador común, tendrás que acudir a cada panel de control uno por uno y registrar todo manualmente. De acuerdo, no es el pasatiempo más productivo. Y cuantos más recursos tengas, más tedioso será el proceso. Tanzu Mission Control le permitirá gestionar la delimitación de roles desde “una sola ventana”. En nuestra opinión, esta es una función muy conveniente: nadie romperá nada si accidentalmente olvida especificar los derechos necesarios en alguna parte.
Por cierto, nuestros compañeros de MTS en su blog. Kubernetes del proveedor y de código abierto. Si hace tiempo que quieres saber cuáles son las diferencias y en qué fijarte a la hora de elegir, bienvenido.
Trabajo compacto con troncos.
Otro ejemplo de la vida real es el trabajo con troncos. Supongamos que el equipo también tiene un probador. Un buen día se acerca a los desarrolladores y les anuncia: "se ha encontrado un error en la aplicación, lo solucionaremos urgentemente". Es natural que lo primero que un desarrollador quiera conocer sean los registros. Enviarlos como archivos por correo electrónico o Telegram es de mala educación y del siglo pasado. Mission Control ofrece una alternativa: puede establecer derechos especiales para el desarrollador para que solo pueda leer registros en un espacio de nombres específico. En este caso, el evaluador solo necesita decir: "hay errores en tal o cual aplicación, en tal o cual campo, en tal o cual espacio de nombres", y el desarrollador puede abrir fácilmente los registros y poder localizarlos. el problema. Y debido a los derechos limitados, no podrá solucionarlo de inmediato si su competencia no lo permite.
Un clúster en buen estado tiene una aplicación en buen estado.
Otra gran característica de Tanzu MC es el seguimiento del estado del clúster. A juzgar por los materiales preliminares, el sistema le permite ver algunas estadísticas. Por el momento, es difícil decir exactamente qué tan detallada será esta información: hasta ahora todo parece bastante modesto y simple. Hay monitoreo de la carga de CPU y RAM, se muestra el estado de todos los componentes. Pero incluso en una forma tan espartana es un detalle muy útil y eficaz.
resultados
Por supuesto, en la presentación de laboratorio de Mission Control, en condiciones aparentemente estériles, hay algunas asperezas. Probablemente usted mismo los notará si decide continuar con el trabajo. Algunos aspectos no son lo suficientemente intuitivos; incluso un administrador experimentado tendrá que leer el manual para comprender la interfaz y sus capacidades.
Sin embargo, dada la complejidad del producto, su importancia y el papel que desempeñará en el mercado, resultó genial. Parece que los creadores intentaron mejorar el flujo de trabajo del usuario. Haga que cada elemento de control sea lo más funcional y comprensible posible.
Todo lo que queda es probar Tanzu en un banco de pruebas para comprender realmente todos sus pros, contras e innovaciones. Tan pronto como se presente esta oportunidad, compartiremos con los lectores de Habr un informe detallado sobre cómo trabajar con el producto.
Fuente: habr.com