[번역] vSphere 7 – Introduction to Kubernetes Namespaces

출처 : https://blogs.vmware.com/vsphere/2020/04/vsphere-7-kubernetes-namespaces.html

Kubernetes-264x190.png

vSphere with Kubernetes에서 vSphere Administrator를 위해 다룰 다음 구성 요소는 Supervisor Namespaces다. 네임스페이스는 vSphere 관리자가 설정하여 리소스 제한 및 기타 정책을 제어할 수 있도록 허용한다. 아래에 있는 세부 사항들을 살펴보도록 하자!

Kubernetes Namespace란?

프로젝트, 팀 또는 고객이 많은 대형 쿠버네티스 클러스터에서 자원과 사용권의 공정한 배분을 보장하기 위해 조각을 새길 필요가 있을 수 있다. 네임스페이스는 쿠버네티스 클러스터의 리소스를 더 잘 공유할 수 있는 방법을 제공한다. 또한 정책과 권한을 첨부할 수 있다. 또한 클러스터에서 포드, 서비스 및 배포의 범위를 제공할 수 있다. 쿠버네티스 네임스페이스에 대해 자세히 알아보려면 쿠버네티스 웹사이트 링크를 클릭한다.

Supervisor Namespace란?

앞에서 말했듯이, 슈퍼바이저 클러스터는 쿠버네티스 클러스터고, 쿠버네티스 운영하는 데 뛰어난 "플랫폼"이다. 그리고 가끔 TKG 클러스터의 경우처럼 쿠버네티스 플랫폼이다! 이 이미지에서는 두 가지 유형의 네임스페이스가 사용되는 위치를 볼 수 있다.

image-of-an-sddc-running-vsphere-with-kubernetes-1-2.png

그림 1 : 파드와 TKG 클러스터를 실행하는 네임스페이스

오랫동안 vSphere에서는 리소스 풀, RBAC, 암호화 및 기타 vSphere 기능과 기능을 제공해왔다. 그러나 누락된 것은 vSphere 관리자가 2일차 작업을 더 쉽게 하기 위해 활용할 수 있는 종류의 포장지다. 각 기능 또는 구성 요소는 일반적으로 개별적으로 또는 PowerCLI 스크립트 같은 도구의 일부로 조작된다.

네임스페이스는 그 모든 것을 바꿀 수 있는 잠재력을 가지고 있다. 네임스페이스로 프로젝트, 팀 또는 고객에게 그들이 플레이할 수 있는 "샌드박스(sandbox)"를 줄 수 있다. 그들은 다른 샌드박스를 볼 수 없고 샌드박스 한도를 지나 확장도 할 수 없다. 네임스페이스 구성을 통해 vSphere 관리자는 여러 정책을 한 곳에서 설정할 수 있다. 사용자/팀/고객/프로젝트는 네임스페이스 내에서 자신의 핵심 컨텐츠에 새로운 작업 부하를 생성할 수 있다.

VM을 분리하면 VM이 서로 볼 수 없다는 점을 기억하자. NSX-T 분리를 통해 워크로드가 서로 통신할 수 없다. "같은 규칙이 적용된다. 검증된 vSphere 인프라를 활용하고 있다."를 반복한다. 동일한 인프라에서 개발 및 프로덕션을 실행하고 네임스페이스로 각각의 영향을 제어할 수 있다.

운영을 단순화하려는 vSphere Administrator의 경우 향후 몇 가지 흥미로운 기능이 제공될 수 있다. 또한 새로운 애플리케이션을 구축하는 데 상당한 시간과 노력을 절약할 수 있다. vSphere with Kubernetes에는 DevOps 팀이 모든 즐거움을 누릴 수 있다는 것 밖에 없다!

vSphere 관리자가 네임스페이스에서 설정할 수 있는 몇 가지 사항에 대해 알아보자.

Resource Limits

리소스 풀의 지원을 받기 때문에 리소스 풀과 비슷할 것 같다! 여기 아래 이미지에서 볼 수 있다.

a-screenshot-of-the-vsphere-7-client-namespace-con-2-1536x570.png

그림 2 : 네임스페이스 구성

"demo-app-01"이라는 네임스페이스를 만들었는데 새 네임스페이스 아이콘이 있는 리소스 풀이다. "Capacity and Usage"을 클릭하면 다양한 CPU, 메모리 및 스토리지 제한을 설정할 수 있는 대화 상자가 표시된다.

a-screenshot-of-namespace-resource-limits-configur-2.png

그림 3 : 네임스페이스 Resource Limits 구성

Permissions

이 예에서는 사용자 CPBU.LAB\mike에게 네임스페이스의 콘텐츠를 볼 수 있는 권한을 부여한다.

animated-gif-of-adding-permissions-to-a-namespace-2.gif

그림 4 : 네임스페이스에 권한을 추가하는 에니메이션 GIF

Storage

쿠버네티스에는 스토리지 클래스가 있다. vSphere에는 스토리지 기반 정책 관리가 있다. 이 맵은 일대일로. 왼쪽에는 VM 스토리지 정책이 있고 오른쪽에는 Kubernetes 스토리지가 있다.

 

VM-Storage-Policies.pngSelect-Storage-Policies.png

참고: 네임스페이스의 모든 데이터를 암호화하려면 VM 암호화를 사용하도록 설정한 스토리지 정책을 선택한다. 해당 시점의 모든 새 VMDK는 암호화된 것으로 생성될 것이다. 영구 볼륨 VMDK 포함!(예전과 동일한 규칙이 적용됨, VM 암호화에 타사 KMS 필요)

Registry Service

레지스트리 서비스는 컨테이너 이미지의 개인 등록을 허용한다. VMware Harbor 프로젝트를 기반으로 한다. 왜 개인 레지스트리를 사용하는가? 인프라에서 "승인"된 컨테이너 이미지만 실행되도록 하기 위해 테스트되지 않은 업데이트되지 않은 컨테이너 이미지를 다운로드하면 컴플라이언스 및 보안 팀과 매우 흥미로운 대화를 나눌 수 있다.

레지스트리 서비스를 구성하면 레지스트리를 실행할 개인 네임스페이스가 생성된다. 클러스터별로 레지스트리 서비스를 사용하도록 설정한다. 다음 이미지는 구성된 레지스트리 서비스를 보여준다.

image-registry-settings-2.png

그림 7 : Image Registry 설정

네트워크

Kubernetes를 사용한 vSphere 설치 및 구성의 일부로 vSphere가 Kubernetes를 지원하는 데 사용하는 필요한 네트워킹을 제공하도록 NSX-T를 구성해야 했다. vCenter 내에서 관리 네트워크 및 워크로드 네트워크에 대한 설정을 표시할 수 있다.

namespace-network-settings-2.png

그림 8 : 네임스페이스 Network 설정

여기서도 두 설정에 대한 일부 설정을 약간 수정할 수 있다.

Management-Network-Settings.png  Workload-Network-Settings.png

마무리

이 블로그의 소개 시리즈가 vSphere Administrators인 여러분들에게 도움이 되기를 바란다. 이는 vSphere with Kubernetes를 구성하는 구성 요소와 기능을 더 잘 이해할 수 있도록 돕기 위한 것이다.