Precaución: hay muchas imágenes debajo del corte.
Qué es Mission Control
Como dice la compañía en una publicación de blog, el objetivo principal de VMware Tanzu Mission Control es "poner orden en el caos del clúster". Mission Control es una plataforma impulsada por API que permite a los administradores aplicar políticas a clústeres o grupos de clústeres y establecer reglas de seguridad. Las herramientas basadas en SaaS se integran de forma segura en los clústeres de Kubernetes a través de un agente y admiten una amplia gama de operaciones de clúster estándar, incluidas las operaciones de gestión del ciclo de vida (implementación, escalado, eliminación, etc.).
La ideología de la línea Tanzu se basa en el uso máximo de tecnologías de código abierto. La API de clúster se usa para administrar el ciclo de vida de los clústeres de Tanzu Kubernetes Grid, Velero se usa para respaldos y restauraciones, Sonobuoy se usa para controlar la correspondencia de la configuración de los clústeres de Kubernetes y Contour como un controlador de entrada.
La lista general de funciones de Tanzu Mission Control se ve así:
- gestión centralizada de todos sus clústeres de Kubernetes;
- Gestión de identidades y accesos (IAM);
- diagnóstico y seguimiento del estado de los clusters;
- gestión de la configuración y los ajustes de seguridad;
- programar controles periódicos sobre el estado del clúster;
- creación de copias de seguridad y restauración;
- gestión de cuotas;
- una representación visualizada de la utilización de recursos.
Por qué es importante
Tanzu Mission Control ayuda a las empresas a administrar una gran flota de clústeres de Kubernetes ubicados en las instalaciones, en la nube y con varios proveedores externos. Tarde o temprano, cualquier empresa cuyas actividades estén ligadas a la TI se verá obligada a mantener muchos clústeres heterogéneos ubicados en diferentes proveedores. Cada grupo se convierte en una bola de nieve que necesita una organización competente, infraestructura adecuada, políticas, protección, sistemas de monitoreo y mucho más.
Hoy en día, cualquier negocio busca reducir costos y automatizar procesos rutinarios. Y el complejo panorama de TI claramente no favorece el ahorro y se centra en tareas prioritarias. Tanzu Mission Control permite a las organizaciones operar en múltiples clústeres de Kubernetes implementados en múltiples proveedores, mientras armoniza el modelo operativo.
Arquitectura de soluciones
Tanzu Mission Control es una plataforma multiinquilino que brinda a los usuarios acceso a un conjunto de políticas altamente personalizables que se pueden aplicar a clústeres y grupos de clústeres de Kubernetes. Cada usuario está vinculado a la Organización, es ella quien es la "raíz" de los recursos - grupos de clústeres y espacios de trabajo (Workspaces).
Qué puede hacer Tanzu Mission Control
Arriba, ya hemos enumerado brevemente la lista de funciones de solución. Veamos cómo se implementa esto en la interfaz.
Una vista única de todos los clústeres de Kubernetes en una empresa:
Cree un nuevo clúster:
puede asignar inmediatamente un clúster a un clúster, y este heredará las políticas establecidas para él.
Conexión de clúster:
los clústeres ya existentes se pueden conectar simplemente mediante un agente especial.
Agrupación de clústeres:
en los grupos de clústeres, puede agrupar clústeres para heredar las políticas asignadas inmediatamente a nivel de grupo, sin intervención manual.
Espacios de trabajo:
brinda la capacidad de configurar de manera flexible el acceso a una aplicación que se encuentra dentro de múltiples espacios de nombres, clústeres e infraestructuras en la nube.
Echemos un vistazo más de cerca a los principios de Tanzu Mission Control en el trabajo de laboratorio.
Laboratorio # 1
Por supuesto, es bastante difícil imaginar en detalle el trabajo de Mission Control y las nuevas soluciones de Tanzu sin práctica. Para que pueda explorar las capacidades básicas de la línea, VMware le brinda acceso a varios puestos de laboratorio. En estos bancos, puede realizar trabajos de laboratorio siguiendo instrucciones paso a paso. Además de Tanzu Mission Control en sí, hay otras soluciones disponibles para probar y estudiar. En esta página se puede encontrar una lista completa del trabajo de laboratorio .
Se asignan diferentes tiempos para la familiarización práctica con diferentes soluciones (incluido un pequeño "juego" de vSAN). No se preocupe, estos son números muy relativos. Por ejemplo, un laboratorio de control de misión de Tanzu se puede "resolver" hasta por 9 horas y media cuando se pasa de casa. Además, incluso si el temporizador expira, puede volver atrás y volver a hacerlo.
Aprobación del trabajo de laboratorio # 1
VMware. . .
Tanzu Mission Control.
windows-, :
, : .
Tanzu Mission Control.
windows-, :
- ,
- ,
- -
, : .
Laboratorio n. ° 2
Aquí ya estamos ante algo más serio. Este trabajo de laboratorio no está tan ligado a los "rieles" como el anterior y requiere un estudio más detenido. No lo citaremos aquí en su totalidad: para ahorrar su tiempo, analizaremos solo el segundo módulo, el primero está dedicado al aspecto teórico de Tanzu Mission Control. Si lo desea, puede completarlo usted mismo. Este módulo nos invita a sumergirnos en la gestión del ciclo de vida del clúster a través de Tanzu Mission Control.
Nota: Los laboratorios de Tanzu Mission Control se actualizan y perfeccionan periódicamente. Si tiene pantallas o pasos diferentes a los siguientes mientras completa el laboratorio, siga las instrucciones en el lado derecho de la pantalla. Revisaremos la versión actual del LR en el momento de escribir este artículo y consideraremos sus elementos clave.
Aprobación del trabajo de laboratorio # 2
VMware Cloud Services, Tanzu Mission Control.
, , — Kubernetes. Ubuntu PuTTY. Ubuntu.
:
Tanzu Mission Control. PuTTY Chrome, Clusters ATTACH CLUSTER.
— default, REGISTER.
PuTTY.
.
:
Tanzu Mission Control VERIFY CONNECTION. , .
. Cluster groups NEW CLUSTER GROUP. CREATE.
.
: Clusters, NEW CLUSTER .
, — hands-on-labs — .
, . , Next.
, Edit.
, CREATE.
.
. .
KUBECONFIG, kubectl. Tanzu Mission Control. Tanzu Mission Control CLI click here.
CLI.
API Token. My Account .
GENERATE.
CONTINUE. Power Shell tmc-login, — , , — Login Context Name. info , olympus-default ssh-.
namespaces:
. — coffee and tea — coffee-svc tea-svc, — nginxdemos/hello and nginxdemos/hello:plain-text. .
PowerShell cafe-services.yaml.
- API .
Pod Security Policies . .
:
:
:
2 , ! , .
, . . , , , Tanzu Mission Control -.
, , — Kubernetes. Ubuntu PuTTY. Ubuntu.
:
- :
kind create cluster --config 3node.yaml --name=hol - KUBECONFIG-:
export KUBECONFIG="$(kind get kubeconfig-path --name="hol")" - :
kubectl get nodes
Tanzu Mission Control. PuTTY Chrome, Clusters ATTACH CLUSTER.
— default, REGISTER.
PuTTY.
.
:
watch kubectl get pods -n vmware-system-tmc. , Running Completed.
Tanzu Mission Control VERIFY CONNECTION. , .
. Cluster groups NEW CLUSTER GROUP. CREATE.
.
: Clusters, NEW CLUSTER .
, — hands-on-labs — .
, . , Next.
, Edit.
, CREATE.
.
. .
KUBECONFIG, kubectl. Tanzu Mission Control. Tanzu Mission Control CLI click here.
CLI.
API Token. My Account .
GENERATE.
CONTINUE. Power Shell tmc-login, — , , — Login Context Name. info , olympus-default ssh-.
namespaces:
kubectl --kubeconfig=C:\Users\Administrator\Downloads\kubeconfig-aws-cluster.yml get namespaces.
kubectl --kubeconfig=C:\Users\Administrator\Downloads\kubeconfig-aws-cluster.yml get nodes, , Ready.
. — coffee and tea — coffee-svc tea-svc, — nginxdemos/hello and nginxdemos/hello:plain-text. .
PowerShell cafe-services.yaml.
- API .
Pod Security Policies . .
:
kubectl --kubeconfig=kubeconfig-aws-cluster.yml create clusterrolebinding privileged-cluster-role-binding --clusterrole=vmware-system-tmc-psp-privileged --group=system:authenticated
:
kubectl --kubeconfig=kubeconfig-aws-cluster.yml apply -f cafe-services.yaml
:
kubectl --kubeconfig=kubeconfig-aws-cluster.yml get pods
2 , ! , .
, . . , , , Tanzu Mission Control -.
Opiniones y conclusiones
Por supuesto, es demasiado pronto para hablar sobre cuestiones prácticas de trabajar con Tanzu. No hay tantos materiales para el estudio independiente, y hoy no es posible desplegar un banco de pruebas para "pinchar" un nuevo producto por todos lados. Sin embargo, incluso a partir de los datos disponibles, se pueden extraer algunas conclusiones.
Beneficios de Tanzu Mission Control
El sistema resultó realmente interesante. Inmediatamente me gustaría destacar algunos bollos convenientes y útiles:
- Puede crear clústeres a través del panel web y a través de la consola, lo que a los desarrolladores les gustará mucho.
- La gestión de RBAC a través de espacios de trabajo se implementa en la interfaz de usuario. Todavía no funciona en el laboratorio, pero en teoría es algo grandioso.
- Gestión de privilegios centralizada basada en plantillas
- Acceso completo a los espacios de nombres.
- Editor de YAML.
- Creación de políticas de red.
- Monitoreo del estado del clúster.
- Capacidad de copia de seguridad y restauración de la consola.
- Gestión de cuotas y recursos con visualización de la disposición real.
- Lanzamiento automático de la inspección de racimos.
Una vez más, actualmente se están finalizando muchos componentes, por lo que es demasiado pronto para hablar completamente sobre los pros y los contras de algunas herramientas. Por cierto, Tanzu MC, basado en la demostración, puede actualizar el clúster sobre la marcha y, en general, proporcionar el ciclo de vida completo del clúster a la vez de muchos proveedores.
A continuación, se muestran algunos ejemplos de "alto nivel".
En el grupo de otra persona con su propia carta
Digamos que tiene un equipo de desarrollo con roles y responsabilidades claramente definidos. Todos están ocupados con sus propios asuntos y ni siquiera deben interferir accidentalmente con el trabajo de sus colegas. O bien, el equipo tiene uno o más especialistas con menos experiencia a los que no desea otorgar derechos y libertades innecesarios. Supongamos también que tiene Kubernetes de tres proveedores a la vez. En consecuencia, para limitar los derechos y llevarlos a un denominador común, deberá ingresar a cada panel de control uno a uno y registrar todo manualmente. De acuerdo, no es el pasatiempo más productivo. Y cuantos más recursos tenga, más aburrido será el proceso. Tanzu Mission Control te permitirá gestionar la delimitación de roles desde una "ventana única". En nuestra opinión, esta es una función muy conveniente: nadie romperá nada si accidentalmente olvida especificar los derechos necesarios en algún lugar.
Por cierto, nuestros colegas de MTS en su blog compararon Kubernetes del proveedor y el código abierto. Si durante mucho tiempo ha querido saber cuáles son las diferencias y qué mirar al elegir, bienvenido.
Trabajo compacto con troncos
Otro ejemplo de la vida real es trabajar con registros. Suponga que el equipo también tiene un probador. Un buen día llega a los desarrolladores y les anuncia: "Se ha encontrado un error en la aplicación, lo arreglaremos urgentemente". Naturalmente, lo primero con lo que un desarrollador quiere familiarizarse son los registros. Enviarlos en archivos por correo electrónico o Telegram es de mala educación y del siglo pasado. Mission Control ofrece una alternativa: puede otorgarle al desarrollador derechos especiales para que solo pueda leer los registros en un espacio de nombres específico. En este caso, es suficiente que un evaluador diga: "hay errores en tal o cual aplicación, en tal o cual campo, en tal o cual espacio de nombres", y el desarrollador abrirá fácilmente los registros y podrá localizar el problema. Y debido a los derechos limitados, no subirá de inmediato para arreglarlo si la competencia no lo permite.
Aplicación Healthy Cluster Healthy
Otra gran característica de Tanzu MC es el seguimiento de la salud del clúster. A juzgar por los materiales preliminares, el sistema le permite ver algunas estadísticas. Por el momento, es difícil decir qué tan detallada será esta información: hasta ahora, todo parece bastante modesto y simple. Se supervisa la utilización de la CPU y la RAM, se muestran los estados de todos los componentes. Pero incluso en esta forma espartana, es un detalle muy útil y eficaz.
Salir
Por supuesto, en la representación de laboratorio de Mission Control, en condiciones aparentemente estériles, se observa cierta aspereza. Usted mismo probablemente los notará si decide realizar el trabajo. Algunos puntos no se plantean de forma suficientemente intuitiva; incluso un administrador experimentado tendrá que leer el manual para comprender la interfaz y sus capacidades.
Sin embargo, dada la complejidad del producto, su importancia y el papel que jugará en el mercado, resultó genial. Parece que los creadores intentaron arreglar el flujo de trabajo del usuario. Haga que cada control sea lo más funcional y comprensible posible.
Solo queda probar Tanzu en un banco de pruebas para comprender realmente todos sus pros, contras e innovaciones. Tan pronto como se nos presente esta oportunidad, compartiremos con los lectores de Habr un informe detallado sobre cómo trabajar con el producto.