Dziś chcemy porozmawiać o VMware Tanzu, nowej linii produktów i usług, która została ogłoszona podczas ubiegłorocznej konferencji VMWorld. Na porządku dziennym jest jedno z najciekawszych narzędzi: Kontrola Misji Tanzu.
Uważaj: pod nacięciem znajduje się wiele obrazów.
Co to jest Kontrola Misji
Jak sama firma stwierdza na swoim blogu, głównym celem VMware Tanzu Mission Control jest „zaprowadzenie porządku w klastrowym chaosie”. Mission Control to platforma oparta na interfejsie API, która umożliwia administratorom stosowanie zasad do klastrów lub grup klastrów oraz ustawianie reguł bezpieczeństwa. Narzędzia oparte na SaaS integrują się bezpiecznie z klastrami Kubernetes za pośrednictwem agenta i obsługują różnorodne standardowe operacje na klastrach, w tym operacje zarządzania cyklem życia (wdrażanie, skalowanie, usuwanie itp.).
Ideologia linii Tanzu opiera się na maksymalnym wykorzystaniu technologii open source. Do zarządzania cyklem życia klastrów Tanzu Kubernetes Grid wykorzystywane jest Cluster API, Velero służy do tworzenia kopii zapasowych i odzyskiwania, Sonobuoy służy do monitorowania zgodności z konfiguracją klastrów Kubernetes oraz Contour jako kontrolera ingresu.
Ogólna lista funkcji Tanzu Mission Control wygląda następująco:
- scentralizowane zarządzanie wszystkimi klastrami Kubernetes;
- zarządzanie tożsamością i dostępem (IAM);
- diagnostyka i monitorowanie stanu klastra;
- zarządzanie konfiguracją i ustawieniami bezpieczeństwa;
- planowanie regularnych kontroli stanu klastra;
- tworzenie kopii zapasowych i przywracanie;
- zarządzanie kwotami;
- wizualna reprezentacja wykorzystania zasobów.
Dlaczego to jest ważne
Tanzu Mission Control pomoże firmom rozwiązać problem zarządzania dużą flotą klastrów Kubernetes zlokalizowanych lokalnie, w chmurze i u wielu zewnętrznych dostawców. Wcześniej czy później każda firma, której działalność jest związana z IT, staje się zmuszona do obsługi wielu heterogenicznych klastrów zlokalizowanych u różnych dostawców. Każdy klaster zamienia się w kulę śnieżną, która potrzebuje kompetentnej organizacji, odpowiedniej infrastruktury, polityki, ochrony, systemów monitorowania i wielu innych.
W dzisiejszych czasach każda firma dąży do redukcji kosztów i automatyzacji rutynowych procesów. Złożony krajobraz IT wyraźnie nie sprzyja oszczędzaniu i koncentracji na priorytetowych zadaniach. Tanzu Mission Control daje organizacjom możliwość obsługi wielu klastrów Kubernetes wdrożonych u wielu dostawców przy jednoczesnej harmonizacji modelu operacyjnego.
Architektura rozwiązania
Tanzu Mission Control to platforma obsługująca wielu dzierżawców, która zapewnia użytkownikom dostęp do zestawu wysoce konfigurowalnych zasad, które można zastosować do klastrów i grup klastrów Kubernetes. Każdy użytkownik jest powiązany z organizacją, która jest „korzeniem” zasobów — grupami klastrów i obszarami roboczymi.
Co może zrobić Kontrola Misji Tanzu
Powyżej zebraliśmy już pokrótce listę funkcji rozwiązania. Zobaczmy, jak jest to zaimplementowane w interfejsie.
Jeden widok wszystkich klastrów Kubernetes w przedsiębiorstwie:
Tworzenie nowego klastra:
Możesz natychmiast przypisać grupę do klastra, a on odziedziczy przypisane do niego zasady.
Połączenie klastra:
Już istniejące klastry można po prostu połączyć za pomocą specjalnego agenta.
Grupowanie klastrów:
W Grupach klastrów możesz grupować klastry w celu natychmiastowego dziedziczenia przypisanych polityk na poziomie grupy, bez konieczności ręcznej interwencji.
Przestrzenie robocze:
Zapewnia możliwość elastycznej konfiguracji dostępu do aplikacji zlokalizowanej w kilku przestrzeniach nazw, klastrach i infrastrukturze chmurowej.
Przyjrzyjmy się bliżej zasadom działania Tanzu Mission Control w pracy laboratoryjnej.
Laboratorium nr 1
Oczywiście dość trudno wyobrazić sobie szczegółowo działanie Kontroli Misji i nowych rozwiązań Tanzu bez praktyki. Aby umożliwić Ci poznanie głównych cech tej linii, VMware zapewnia dostęp do kilku stołów laboratoryjnych. Stoły te umożliwiają wykonywanie prac laboratoryjnych przy użyciu instrukcji krok po kroku. Oprócz samego Tanzu Mission Control dostępne są inne rozwiązania do testowania i badań. Pełną listę prac laboratoryjnych można znaleźć .
Na praktyczne zapoznanie się z różnymi rozwiązaniami (w tym małą „grą” na vSAN) przydzielana jest różna ilość czasu. Nie martw się, to są bardzo względne liczby. Na przykład laboratorium dotyczące Kontroli Misji w Tanzu można „rozwiązać” w ciągu maksymalnie 9 i pół godziny podczas wychodzenia z domu. Ponadto, nawet jeśli skończy się czas, możesz wrócić i przejść wszystko jeszcze raz.
Zaliczenie pracy laboratoryjnej #1
Aby uzyskać dostęp do laboratoriów, potrzebujesz konta VMware. Po autoryzacji otworzy się wyskakujące okienko z głównym zarysem pracy. Szczegółowe instrukcje zostaną umieszczone po prawej stronie ekranu.
Po przeczytaniu krótkiego wprowadzenia do Tanzu zostaniesz zaproszony do ćwiczeń w interaktywnej symulacji Kontroli Misji.
Otworzy się nowe wyskakujące okno komputera z systemem Windows, w którym zostaniesz poproszony o wykonanie kilku podstawowych operacji:
- utwórz klaster
- skonfigurować jego podstawowe parametry
- odśwież stronę i upewnij się, że wszystko jest poprawnie skonfigurowane
- ustaw zasady i sprawdź klaster
- utwórz przestrzeń roboczą
- utwórz przestrzeń nazw
- ponownie pracować z politykami, każdy krok jest szczegółowo wyjaśniony w instrukcji
- aktualizacja klastra demonstracyjnego
Oczywiście interaktywna symulacja nie zapewnia wystarczającej swobody do samodzielnej nauki: poruszasz się po szynach ułożonych wcześniej przez twórców.
Laboratorium nr 2
Tutaj mamy już do czynienia z czymś poważniejszym. Ta praca laboratoryjna nie jest tak przywiązana do „szyn” jak poprzednia i wymaga dokładniejszych badań. Nie będziemy go tutaj prezentować w całości: aby zaoszczędzić Państwa czas, przeanalizujemy jedynie moduł drugi, pierwszy poświęcony jest teoretycznemu aspektowi pracy Kontroli Misji Tanzu. Jeśli chcesz, możesz przejść przez to całkowicie samodzielnie. Moduł ten pozwala nam szczegółowo zapoznać się z zarządzaniem cyklem życia klastra za pośrednictwem kontroli misji Tanzu.
Uwaga: prace laboratorium Kontroli Misji Tanzu są regularnie aktualizowane i udoskonalane. Jeśli po ukończeniu laboratorium jakiekolwiek ekrany lub kroki różnią się od poniższych, postępuj zgodnie ze wskazówkami po prawej stronie ekranu. W momencie pisania tego tekstu przeanalizujemy aktualną wersję LR i rozważymy jej kluczowe elementy.
Zaliczenie pracy laboratoryjnej #2
Po procesie autoryzacji w VMware Cloud Services uruchamiamy Tanzu Mission Control.
Pierwszym krokiem sugerowanym przez laboratorium jest wdrożenie klastra Kubernetes. Najpierw musimy uzyskać dostęp do maszyny wirtualnej Ubuntu za pomocą PuTTY. Uruchom narzędzie i wybierz sesję z Ubuntu.
Wykonujemy po kolei trzy polecenia:
- tworzenie klastra:
kind create cluster --config 3node.yaml --name=hol - ładowanie pliku KUBECONFIG:
export KUBECONFIG="$(kind get kubeconfig-path --name="hol")" - wyjście węzła:
kubectl get nodes
Teraz utworzony przez nas klaster należy dodać do kontroli misji Tanzu. Z PuTTY wracamy do Chrome, przechodzimy do Clusters i klikamy DOŁĄCZ KLASTER.
Wybierz grupę z rozwijanego menu - domyślnym, wpisz nazwę zaproponowaną przez laboratorium i kliknij Zarejestruj się.
Skopiuj otrzymane polecenie i przejdź do PuTTY.
Wykonujemy otrzymane polecenie.
Aby śledzić postęp, uruchom kolejne polecenie: watch kubectl get pods -n vmware-system-tmc. Czekamy, aż wszystkie kontenery będą miały status Bieganie lub Zakończony.
Wróć do Kontroli Misji Tanzu i kliknij SPRAWDŹ POŁĄCZENIE. Если все прошло успешно, индикаторы всех проверок должны быть зелеными.
Utwórzmy teraz nową grupę klastrów i wdróżmy tam nowy klaster. Przejdź do Grupy klastrów i kliknij NOWA GRUPA KLASTER. Wpisz nazwę i kliknij TWORZENIE.
Nowa grupa powinna od razu pojawić się na liście.
Wdróżmy nowy klaster: przejdź do Klastry, naciskać NOWY KLASTER i wybierz opcję związaną z pracą laboratoryjną.
Dodajmy nazwę klastra, wybierzmy przypisaną do niego grupę – w naszym przypadku laboratoria praktyczne – i region wdrożenia.
Podczas tworzenia klastra dostępne są inne opcje, ale nie ma sensu ich zmieniać w trakcie laboratorium. Wybierz potrzebną konfigurację i kliknij Następna.
Niektóre parametry wymagają edycji, w tym celu kliknij Edytuj.
Zwiększmy liczbę działających węzłów do dwóch, zapisz parametry i kliknij TWORZENIE.
Podczas procesu zobaczysz taki pasek postępu.
Po pomyślnym wdrożeniu zobaczysz ten obrazek. Wszystkie rachunki muszą być zielone.
Teraz musimy pobrać plik KUBECONFIG, aby zarządzać klastrem za pomocą standardowych poleceń kubectl. Można to zrobić bezpośrednio poprzez interfejs użytkownika Tanzu Mission Control. Pobierz plik i kontynuuj pobieranie CLI Tanzu Mission Control, klikając kliknij tutaj.
Wybierz żądaną wersję i pobierz CLI.
Teraz musimy zdobyć token API. Aby to zrobić, przejdź do Moje konto i wygeneruj nowy token.
Wypełnij pola i kliknij GENEROWAĆ.
Skopiuj wynikowy token i kliknij DALEJ. Otwórz Power Shell i wprowadź polecenie tmc-login, następnie token, który otrzymaliśmy i skopiowaliśmy w poprzednim kroku, a następnie nazwę kontekstu logowania. Wybierać Informacje logi z proponowanych, regionu i domyślny-olympus jako klucz ssh.
Otrzymujemy przestrzenie nazw:kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get namespaces.
Wchodzić kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get nodesaby upewnić się, że wszystkie węzły mają status Gotowy.
Teraz musimy wdrożyć małą aplikację w tym klastrze. Zróbmy dwa wdrożenia - kawę i herbatę - w postaci usług Coffee-Svc i Tea-Svc, z których każde uruchamia różne obrazy - nginxdemos/hello i nginxdemos/hello:zwykły tekst. Odbywa się to w następujący sposób.
Przez PowerShell przejdź do pobierania i znajdź plik cafe-services.yaml.
Ze względu na pewne zmiany w API będziemy musieli je zaktualizować.
Zasady zabezpieczeń kapsuły są domyślnie włączone. Aby uruchamiać aplikacje z uprawnieniami, musisz połączyć swoje konto.
Utwórz powiązanie: kubectl --kubeconfig=kubeconfig-aws-cluster.yml create clusterrolebinding privileged-cluster-role-binding --clusterrole=vmware-system-tmc-psp-privileged --group=system:authenticated
Wdróżmy aplikację: kubectl --kubeconfig=kubeconfig-aws-cluster.yml apply -f cafe-services.yaml
Sprawdzanie: kubectl --kubeconfig=kubeconfig-aws-cluster.yml get pods
Moduł 2 dobiegł końca, jesteś piękna i niesamowita! Zalecamy samodzielne ukończenie pozostałych modułów, w tym zarządzania polityką i kontroli zgodności.
Jeśli chcesz ukończyć całe to laboratorium, znajdziesz je tutaj . I przejdziemy do ostatniej części artykułu. Porozmawiajmy o tym, co udało nam się zobaczyć, wyciągnijmy pierwsze trafne wnioski i opowiedzmy szczegółowo, czym jest Tanzu Mission Control w odniesieniu do realnych procesów biznesowych.
Opinie i wnioski
Oczywiście jest jeszcze za wcześnie, aby mówić o praktycznych kwestiach pracy z Tanzu. Materiałów do samodzielnej nauki nie jest zbyt wiele, a dziś nie ma możliwości rozmieszczenia stanowiska testowego, aby „szturchać” nowy produkt ze wszystkich stron. Jednak nawet na podstawie dostępnych danych można wyciągnąć pewne wnioski.
Korzyści z kontroli misji Tanzu
System okazał się naprawdę ciekawy. Chciałbym od razu podkreślić kilka wygodnych i przydatnych gadżetów:
- Klastry możesz tworzyć za pośrednictwem panelu internetowego i konsoli, co naprawdę spodoba się programistom.
- Zarządzanie RBAC za pośrednictwem obszarów roboczych jest realizowane w interfejsie użytkownika. Nie działa to jeszcze w laboratorium, ale w teorii jest świetną rzeczą.
- Scentralizowane zarządzanie uprawnieniami oparte na szablonach
- Pełny dostęp do przestrzeni nazw.
- Edytor YAML-a.
- Tworzenie polityk sieciowych.
- Monitorowanie kondycji klastra.
- Możliwość tworzenia kopii zapasowych i przywracania za pośrednictwem konsoli.
- Zarządzaj przydziałami i zasobami dzięki wizualizacji rzeczywistego wykorzystania.
- Automatyczne uruchomienie inspekcji klastra.
Ponownie, wiele komponentów jest obecnie w fazie rozwoju, więc jest zbyt wcześnie, aby w pełni mówić o zaletach i wadach niektórych narzędzi. Nawiasem mówiąc, Tanzu MC, na podstawie demonstracji, może aktualizować klaster w locie i, ogólnie rzecz biorąc, zapewniać cały cykl życia klastra dla wielu dostawców jednocześnie.
Oto kilka przykładów „z wysokiego poziomu”.
Do cudzego klastra posiadającego własny statut
Załóżmy, że masz zespół programistów z jasno określonymi rolami i obowiązkami. Każdy jest zajęty swoimi sprawami i nie powinien nawet przypadkowo ingerować w pracę swoich kolegów. Albo w zespole jest jeden lub więcej mniej doświadczonych specjalistów, którym nie chcesz dawać niepotrzebnych praw i wolności. Załóżmy również, że masz Kubernetes od trzech dostawców jednocześnie. W związku z powyższym, aby ograniczyć uprawnienia i sprowadzić je do wspólnego mianownika, trzeba będzie po kolei podchodzić do każdej centrali i rejestrować wszystko ręcznie. Zgadzam się, nie jest to najbardziej produktywna rozrywka. Im więcej masz zasobów, tym proces jest bardziej żmudny. Tanzu Mission Control pozwoli Ci zarządzać podziałem ról z „jednego okna”. Naszym zdaniem jest to bardzo wygodna funkcja: nikt niczego nie zepsuje, jeśli przypadkowo zapomnisz gdzieś określić niezbędne uprawnienia.
Przy okazji nasi koledzy z MTS na swoim blogu Kubernetes od dostawcy i open source. Jeśli od dawna chciałeś wiedzieć czym się różnią i na co zwrócić uwagę przy wyborze, zapraszamy.
Kompaktowa praca z kłodami
Innym przykładem z życia jest praca z kłodami. Załóżmy, że zespół ma także testera. Pewnego pięknego dnia przychodzi do programistów i ogłasza: „Znaleziono błąd w aplikacji, pilnie go naprawimy”. To naturalne, że pierwszą rzeczą, z którą programista będzie chciał się zapoznać, są logi. Wysyłanie ich jako plików e-mailem lub telegramem to złe maniery i to już w zeszłym stuleciu. Kontrola Misji oferuje alternatywę: możesz nadać programiście specjalne uprawnienia, aby mógł czytać tylko logi z określonej przestrzeni nazw. W tym przypadku testerowi wystarczy, że powie: „są błędy w takiej a takiej aplikacji, w takim a takim polu, w takiej a takiej przestrzeni nazw”, a programista może łatwo otworzyć logi i być w stanie zlokalizować problem. A ze względu na ograniczone uprawnienia nie będziesz w stanie tego naprawić od razu, jeśli Twoje kompetencje na to nie pozwalają.
Zdrowy klaster ma zdrową aplikację.
Kolejną wspaniałą funkcją Tanzu MC jest śledzenie stanu klastra. Sądząc po wstępnych materiałach, system umożliwia przeglądanie niektórych statystyk. Na razie trudno powiedzieć, jak szczegółowe będą to informacje: na razie wszystko wygląda dość skromnie i prosto. Monitorowane jest obciążenie procesora i pamięci RAM, pokazywany jest stan wszystkich komponentów. Ale nawet w tak spartańskiej formie jest to bardzo przydatny i efektowny detal.
Wyniki
Oczywiście w laboratoryjnej prezentacji Kontroli Misji, w pozornie sterylnych warunkach, zdarzają się pewne ostre krawędzie. Prawdopodobnie sam je zauważysz, jeśli zdecydujesz się przejść przez tę pracę. Niektóre aspekty nie są wykonane wystarczająco intuicyjnie – nawet doświadczony administrator będzie musiał przeczytać instrukcję, aby zrozumieć interfejs i jego możliwości.
Biorąc jednak pod uwagę złożoność produktu, jego znaczenie i rolę, jaką będzie pełnił na rynku, wyszło znakomicie. Można odnieść wrażenie, że twórcy starali się usprawnić pracę użytkownika. Spraw, aby każdy element sterujący był jak najbardziej funkcjonalny i zrozumiały.
Pozostaje tylko wypróbować Tanzu na stanowisku testowym, aby naprawdę zrozumieć wszystkie jego zalety, wady i innowacje. Gdy tylko pojawi się taka możliwość, podzielimy się z czytelnikami Habr szczegółowym raportem z pracy z produktem.
Źródło: www.habr.com