Dnes chceme hovoriť o VMware Tanzu, novom rade produktov a služieb, ktoré boli oznámené počas minuloročnej konferencie VMWorld. Na programe je jeden z najzaujímavejších nástrojov: Tanzu Mission Control.
Buďte opatrní: pod rezom je veľa obrázkov.
Čo je Mission Control
Ako sama spoločnosť uvádza na svojom blogu, hlavným cieľom VMware Tanzu Mission Control je „vniesť poriadok do klastrového chaosu“. Mission Control je platforma riadená API, ktorá umožní správcom aplikovať politiky na klastre alebo skupiny klastrov a nastaviť pravidlá zabezpečenia. Nástroje založené na SaaS sa bezpečne integrujú do klastrov Kubernetes prostredníctvom agenta a podporujú rôzne štandardné klastrové operácie vrátane operácií správy životného cyklu (nasadenie, škálovanie, vymazanie atď.).
Ideológia línie Tanzu je založená na maximálnom využití open-source technológií. Na správu životného cyklu klastrov Tanzu Kubernetes Grid sa používa Cluster API, Velero sa používa na zálohovanie a obnovu, Sonobuoy sa používa na monitorovanie súladu s konfiguráciou klastrov Kubernetes a Contour ako kontrolór vstupu.
Všeobecný zoznam funkcií Tanzu Mission Control vyzerá takto:
- centralizovaná správa všetkých vašich klastrov Kubernetes;
- riadenie identity a prístupu (IAM);
- diagnostika a monitorovanie stavu klastra;
- správa konfiguračných a bezpečnostných nastavení;
- plánovanie pravidelných kontrol stavu klastra;
- vytváranie záloh a obnovy;
- riadenie kvót;
- vizuálne znázornenie využitia zdrojov.
Prečo je to dôležité
Tanzu Mission Control pomôže podnikom vyriešiť problém správy veľkej flotily klastrov Kubernetes umiestnených v priestoroch, v cloude a u viacerých poskytovateľov tretích strán. Skôr či neskôr bude každá spoločnosť, ktorej aktivity sú spojené s IT, nútená podporovať mnoho heterogénnych klastrov umiestnených u rôznych poskytovateľov. Každý klaster sa zmení na snehovú guľu, ktorá potrebuje kompetentnú organizáciu, vhodnú infraštruktúru, politiky, ochranu, monitorovacie systémy a mnoho ďalšieho.
V súčasnosti sa každý podnik snaží znižovať náklady a automatizovať rutinné procesy. A komplexné IT prostredie zjavne nepodporuje úspory a koncentráciu na prioritné úlohy. Tanzu Mission Control dáva organizáciám možnosť prevádzkovať viacero klastrov Kubernetes nasadených u viacerých poskytovateľov a zároveň harmonizovať prevádzkový model.
Architektúra riešenia
Tanzu Mission Control je platforma pre viacerých nájomníkov, ktorá používateľom poskytuje prístup k súboru vysoko konfigurovateľných politík, ktoré možno použiť na klastre a skupiny klastrov Kubernetes. Každý používateľ je viazaný na organizáciu, ktorá je „koreňom“ zdrojov – skupín klastrov a pracovných priestorov.
Čo dokáže Tanzu Mission Control
Vyššie sme už stručne uviedli zoznam funkcií riešenia. Pozrime sa, ako je to implementované v rozhraní.
Jednotné zobrazenie všetkých klastrov Kubernetes v podniku:
Vytvorenie nového klastra:
Skupinu môžete okamžite priradiť ku klastru a tá zdedí politiky, ktoré sú jej priradené.
Pripojenie klastra:
Už existujúce klastre je možné jednoducho pripojiť pomocou špeciálneho agenta.
Zoskupenie klastrov:
V skupinách klastrov môžete zoskupiť klastre a zdediť priradené politiky okamžite na úrovni skupiny bez manuálneho zásahu.
Pracovné priestory:
Poskytuje možnosť flexibilne konfigurovať prístup k aplikácii, ktorá sa nachádza v rámci niekoľkých menných priestorov, klastrov a cloudových infraštruktúr.
Pozrime sa bližšie na princípy fungovania Tanzu Mission Control pri laboratórnej práci.
Laboratórium č. 1
Samozrejme, bez praxe je dosť ťažké si detailne predstaviť fungovanie Mission Control a nových riešení Tanzu. Aby ste mohli preskúmať hlavné funkcie linky, VMware poskytuje prístup k niekoľkým laboratórnym stolom. Tieto lavice vám umožňujú vykonávať laboratórne práce pomocou pokynov krok za krokom. Okrem samotného Tanzu Mission Control sú k dispozícii aj ďalšie riešenia na testovanie a štúdium. Kompletný zoznam laboratórnych prác nájdete .
Na praktické zoznámenie sa s rôznymi riešeniami (vrátane malej „hry“ na vSAN) je vyčlenený rôzny čas. Nebojte sa, sú to veľmi relatívne čísla. Napríklad laboratórium na Tanzu Mission Control môže byť „riešené“ až 9 a pol hodiny pri prechode z domu. Navyše, aj keď vám vyprší časovač, môžete sa vrátiť a prejsť všetko znova.
Absolvovanie laboratórnej práce #1
Na prístup k laboratóriám budete potrebovať účet VMware. Po autorizácii sa otvorí vyskakovacie okno s hlavným obrysom diela. Podrobné pokyny budú umiestnené na pravej strane obrazovky.
Po prečítaní krátkeho úvodu do Tanzu budete pozvaní precvičiť si interaktívnu simuláciu Mission Control.
Otvorí sa nové vyskakovacie okno Windows Machine a budete vyzvaní na vykonanie niekoľkých základných operácií:
- vytvoriť klaster
- konfigurovať jeho základné parametre
- obnovte stránku a uistite sa, že je všetko správne nakonfigurované
- nastaviť politiky a skontrolovať klaster
- vytvoriť pracovný priestor
- vytvoriť menný priestor
- znova pracovať s politikami, každý krok je podrobne vysvetlený v príručke
- demo upgrade klastra
Interaktívna simulácia samozrejme neposkytuje dostatok slobody pre nezávislé štúdium: pohybujete sa po koľajniciach vopred položených vývojármi.
Laboratórium č. 2
Tu už riešime niečo vážnejšie. Táto laboratórna práca nie je taká viazaná na „koľajnice“ ako predchádzajúca a vyžaduje si dôkladnejšie štúdium. Nebudeme ho tu uvádzať celý: pre úsporu času rozoberieme len druhý modul, prvý je venovaný teoretickej stránke práce Tanzu Mission Control. Ak chcete, môžete to prejsť úplne sami. Tento modul nám ponúka hlboký ponor do správy životného cyklu klastra prostredníctvom Tanzu Mission Control.
Poznámka: Laboratórna práca Tanzu Mission Control sa pravidelne aktualizuje a zdokonaľuje. Ak sa niektoré obrazovky alebo kroky po dokončení laboratória líšia od nižšie uvedených, postupujte podľa pokynov na pravej strane obrazovky. Prejdeme si aktuálnu verziu LR v čase písania a zvážime jej kľúčové prvky.
Absolvovanie laboratórnej práce #2
Po procese autorizácie v cloudových službách VMware spustíme Tanzu Mission Control.
Prvým krokom, ktorý laboratórium navrhuje, je nasadenie klastra Kubernetes. Najprv musíme získať prístup k VM Ubuntu pomocou PuTTY. Spustite nástroj a vyberte reláciu s Ubuntu.
Postupne vykonáme tri príkazy:
- vytvorenie klastra:
kind create cluster --config 3node.yaml --name=hol - načítava sa súbor KUBECONFIG:
export KUBECONFIG="$(kind get kubeconfig-path --name="hol")" - výstup uzla:
kubectl get nodes
Teraz je potrebné pridať klaster, ktorý sme vytvorili, do Tanzu Mission Control. Z PuTTY sa vrátime do prehliadača Chrome, prejdeme do Clusters a klikneme PRIPOJTE CLUSTER.
Vyberte skupinu z rozbaľovacej ponuky - štandardné, zadajte názov navrhnutý laboratóriom a kliknite REGISTRÁCIA.
Skopírujte prijatý príkaz a prejdite na PuTTY.
Vykonáme prijatý príkaz.
Ak chcete sledovať priebeh, spustite ďalší príkaz: watch kubectl get pods -n vmware-system-tmc. Čakáme, kým všetky kontajnery získajú stav Bezat alebo Dokončené.
Vráťte sa do Tanzu Mission Control a kliknite OVERITE PRIPOJENIE. Ak všetko prebehlo dobre, indikátory všetkých kontrol by mali byť zelené.
Teraz vytvoríme novú skupinu klastrov a nasadíme tam nový klaster. Prejdite na klastrové skupiny a kliknite NOVÁ KLUSTEROVÁ SKUPINA. Zadajte meno a kliknite CREATE.
Nová skupina by sa mala okamžite objaviť v zozname.
Poďme nasadiť nový klaster: prejdite na klastre, stlačte NOVÝ KLASTER a vyberte možnosť súvisiacu s laboratórnou prácou.
Pridajme názov klastra, vyberieme k nemu priradenú skupinu – v našom prípade hands-on-labs – a oblasť nasadenia.
Pri vytváraní klastra sú k dispozícii ďalšie možnosti, ale nemá zmysel ich meniť počas laboratória. Vyberte konfiguráciu, ktorú potrebujete, a kliknite ďalšie.
Niektoré parametre je potrebné upraviť, ak to chcete urobiť, kliknite editovať.
Zvýšime počet pracovných uzlov na dva, uložíme parametre a klikneme CREATE.
Počas procesu uvidíte indikátor priebehu, ako je tento.
Po úspešnom nasadení uvidíte tento obrázok. Všetky účtenky musia byť zelené.
Teraz si musíme stiahnuť súbor KUBECONFIG na správu klastra pomocou štandardných príkazov kubectl. Dá sa to urobiť priamo cez užívateľské rozhranie Tanzu Mission Control. Stiahnite si súbor a pokračujte v sťahovaní Tanzu Mission Control CLI kliknutím kliknite tu.
Vyberte požadovanú verziu a stiahnite si CLI.
Teraz musíme získať token API. Ak to chcete urobiť, prejdite na stránku Môj účet a vygenerujte nový token.
Vyplňte polia a kliknite VYGENEROVAŤ.
Skopírujte výsledný token a kliknite POKRAČOVAŤ. Otvorte Power Shell a zadajte príkaz tmc-login, potom token, ktorý sme dostali a skopírovali v predchádzajúcom kroku, a potom prihlasovacie kontextové meno. Vyberte si Info logy z navrhovaných, kraj a olympus-predvolené ako ssh kľúč.
Dostávame menné priestory:kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get namespaces.
Predstaviť kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get nodesaby ste sa uistili, že všetky uzly sú v stave Pripravený.
Teraz musíme v tomto klastri nasadiť malú aplikáciu. Urobme dve nasadenia – kávu a čaj – vo forme služieb coffee-svc a tea-svc, z ktorých každá spúšťa iné obrázky – nginxdemos/hello a nginxdemos/hello:plain-text. Toto sa robí nasledovne.
Cez PowerShell prejdite na sťahovanie a nájdite súbor cafe-services.yaml.
Kvôli niektorým zmenám v API ho budeme musieť aktualizovať.
Bezpečnostné zásady pod sú predvolene povolené. Ak chcete spúšťať aplikácie s oprávneniami, musíte prepojiť svoj účet.
Vytvorte väzbu: kubectl --kubeconfig=kubeconfig-aws-cluster.yml create clusterrolebinding privileged-cluster-role-binding --clusterrole=vmware-system-tmc-psp-privileged --group=system:authenticated
Poďme nasadiť aplikáciu: kubectl --kubeconfig=kubeconfig-aws-cluster.yml apply -f cafe-services.yaml
skontrolujte: kubectl --kubeconfig=kubeconfig-aws-cluster.yml get pods
Modul 2 je dokončený, ste krásni a úžasní! Odporúčame, aby ste zvyšné moduly vrátane správy pravidiel a kontrol dodržiavania predpisov dokončili sami.
Ak by ste chceli dokončiť toto laboratórium celé, nájdete ho tu . A prejdeme k záverečnej časti článku. Poďme sa porozprávať o tom, čo sa nám podarilo vidieť, vyvodiť prvé presné závery a povedať si podrobne, čo je Tanzu Mission Control vo vzťahu k skutočným obchodným procesom.
Názory a závery
Samozrejme, je príliš skoro hovoriť o praktických otázkach spolupráce s Tanzu. Materiálov na samoštúdium nie je toľko a dnes nie je možné nasadiť testovaciu lavicu, ktorá by nový produkt „opichovala“ zo všetkých strán. Aj z dostupných údajov však možno vyvodiť určité závery.
Výhody Tanzu Mission Control
Systém sa ukázal byť naozaj zaujímavý. Chcel by som okamžite vyzdvihnúť niekoľko pohodlných a užitočných dobrôt:
- Prostredníctvom webového panela a konzoly môžete vytvárať klastre, čo sa vývojárom bude veľmi páčiť.
- Správa RBAC prostredníctvom pracovných priestorov je implementovaná v používateľskom rozhraní. V laboratóriu to zatiaľ nefunguje, ale teoreticky je to skvelá vec.
- Centralizovaná správa privilégií založená na šablónach
- Úplný prístup k priestorom názvov.
- editor YAML.
- Vytváranie sieťových pravidiel.
- Monitorovanie zdravia klastra.
- Možnosť zálohovania a obnovy cez konzolu.
- Spravujte kvóty a zdroje s vizualizáciou skutočného využitia.
- Automatické spustenie kontroly klastra.
Opäť platí, že veľa komponentov je momentálne vo vývoji, takže je príliš skoro hovoriť o výhodách a nevýhodách niektorých nástrojov. Mimochodom, Tanzu MC na základe ukážky dokáže upgradovať klaster za chodu a vo všeobecnosti zabezpečiť celý životný cyklus klastra pre viacerých poskytovateľov naraz.
Tu je niekoľko príkladov „na vysokej úrovni“.
Do klastra niekoho iného s vlastnou chartou
Povedzme, že máte vývojový tím s jasne definovanými úlohami a zodpovednosťami. Každý je zaneprázdnený vlastným biznisom a nemal by ani náhodou zasahovať do práce svojich kolegov. Alebo má tím jedného či viacerých menej skúsených špecialistov, ktorým nechcete dať zbytočné práva a slobody. Predpokladajme tiež, že máte Kubernetes od troch poskytovateľov naraz. Preto, aby ste obmedzili práva a priviedli ich k spoločnému menovateľovi, budete musieť prejsť na každý ovládací panel jeden po druhom a zaregistrovať všetko ručne. Súhlasíte, nie je to najproduktívnejšia zábava. A čím viac zdrojov máte, tým je proces zdĺhavejší. Tanzu Mission Control vám umožní spravovať vymedzenie rolí z „jednoho okna“. Podľa nášho názoru je to veľmi pohodlná funkcia: nikto nič nepokazí, ak náhodou niekde zabudnete špecifikovať potrebné práva.
Mimochodom, naši kolegovia z MTS vo svojom blogu Kubernetes od dodávateľa a open source. Ak ste už dlho chceli vedieť, aké sú rozdiely a na čo sa zamerať pri výbere, vitajte.
Kompaktná práca s guľatinou
Ďalším príkladom z reálneho života je práca s guľatinou. Predpokladajme, že tím má aj testera. Jedného pekného dňa príde za vývojármi a oznámi: „V aplikácii sa našla chyba, urýchlene ju opravíme.“ Je prirodzené, že prvá vec, s ktorou sa bude chcieť vývojár zoznámiť, sú protokoly. Posielať ich ako súbory e-mailom alebo telegramom je zlé správanie minulého storočia. Mission Control ponúka alternatívu: vývojárovi môžete nastaviť špeciálne práva, aby mohol čítať záznamy iba v konkrétnom mennom priestore. V tomto prípade musí tester povedať: „v takej a takej aplikácii sú chyby, v takom a takom poli, v takom a takom priestore názvov“ a vývojár môže ľahko otvoriť protokoly a byť schopný lokalizovať problém. A kvôli obmedzeným právam to nebudete môcť opraviť hneď, ak to vaša kompetencia nedovoľuje.
Zdravý klaster má zdravé uplatnenie.
Ďalšou skvelou funkciou Tanzu MC je sledovanie zdravia klastrov. Podľa predbežných materiálov vám systém umožňuje zobraziť niektoré štatistiky. V súčasnosti je ťažké presne povedať, aké podrobné budú tieto informácie: zatiaľ všetko vyzerá celkom skromne a jednoducho. Nechýba monitorovanie zaťaženia CPU a RAM, zobrazuje sa stav všetkých komponentov. Ale aj v takejto sparťanskej podobe ide o veľmi užitočný a efektný detail.
Výsledky
Samozrejme, v laboratórnej prezentácii Mission Control sa v zdanlivo sterilných podmienkach nájdu aj nejaké drsné hrany. Sami si ich pravdepodobne všimnete, ak sa rozhodnete prejsť cez prácu. Niektoré aspekty nie sú vytvorené dostatočne intuitívne – aj skúsený administrátor si bude musieť prečítať príručku, aby pochopil rozhranie a jeho možnosti.
Vzhľadom na zložitosť produktu, jeho dôležitosť a úlohu, ktorú bude hrať na trhu, to však dopadlo výborne. Zdá sa, že sa tvorcovia pokúsili zlepšiť pracovný postup používateľa. Urobte každý ovládací prvok maximálne funkčný a zrozumiteľný.
Ostáva už len vyskúšať Tanzu na testovacej stolici, aby ste skutočne pochopili všetky jeho plusy, mínusy a inovácie. Hneď ako sa takáto príležitosť naskytne, podelíme sa s čitateľmi Habr o podrobnú správu o práci s produktom.
Zdroj: hab.com