Web 流量和服务的爆炸式增长迫使组织对其基础架构进行现代化和优化。Kubernetes 是战略和现代化故事的核心，但它只是其中的一部分。随着 VMware 与客户的互动，出现了重大的复杂性和资源需求，这在 Kubernetes 部署的规划阶段并不总是很明显。即使是单个部署的复杂性也可能导致延迟并使项目缓慢。

VMware Tanzu Mission Control 旨在通过确保客户在其整个组织的 Kubernetes 集群上具有一致的策略应用来缓解这些复杂性。这是通过将群集管理统一到单个控制平面并将资源分组为资源层次结构来完成的。

本指南将帮助新用户开始使用 Tanzu Mission Control 在 vSphere 上部署 Tanzu Kubernetes 集群，并展示如何开始使用集群组组织集群，以便在未来的集群上实施一致的策略。

本指南旨在让任何人快速入门，并将展示如何执行以下操作：

• 创建群集组
• 向 Tanzu Mission Control 注册 vSphere 到 Tanzu Services 主管集群
• 部署 Tanzu Kubernetes 集群
• 创建基本策略以禁用 Pod 安全性

群集先决条件：

• 启用了 Tanzu Services 的 vCenter 7u3c
• 已创建 vSphere 命名空间

群集网络连接：

• 来自主管和工作负载群集节点的出站互联网连接 – Tanzu 任务控制要求
• 适用于工作负载群集的专用虚拟分布式交换机 （vDS） 网络

创建群集组

需要群集组来对群集进行逻辑分组，以便出于组织目的和策略应用。建议使用群集组以避免群集配置错误，因为群集组提供了轻松应用群集策略和设置的功能。

首先通过购买或试用注册后提供的 URL 访问您的 Tanzu 任务控制控制台。这通常以以下形式出现：<orgname>.tmc.cloud.vmware.com。

单击左侧菜单中的群集组，然后单击创建群集组并输入群集组的名称。集群组可以命名为任何名称，例如测试、生产、alpha、beta 等。

在 Tanzu 任务控制中心中创建集群组

注册管理群集

下一阶段将把 vSphere 主管集群注册为 Tanzu 任务控制管理集群。这为 Tanzu Mission Control 提供了直接从 Mission Control 界面配置和部署 Kubernetes 集群的能力，而无需使用 Tanzu CLI。

请务必注意，vSphere 主管集群是 vSphere Kubernetes 控制平面，可以通过 Tanzu Mission Control 注册为管理集群，从而使您能够置备 Tanzu Kubernetes 集群。

在 Tanzu 任务控制中心中创建注册链接

创建主管集群的注册链接，以便可以通过 Tanzu Mission Control 对 VMware Tanzu Kubernetes Grid 集群进行生命周期管理和部署。

单击左侧菜单栏中的管理，然后单击管理群集。

在 Tanzu 任务控制中心中创建主管集群的注册链接

接下来，单击注册管理群集下拉列表，然后单击带有 Tanzu 的 vSphere（启用了工作负载管理的 vSphere 7）。

在 Tanzu 任务控制中注册管理集群

在注册向导的第一步中，请确保为托管工作负载群集的默认群集组选择在前面的步骤中创建的群集组。

在 Tanzu 任务控制中选择集群组

复制在步骤 3 中生成的注册 URL，因为在下一步中将需要此 URL。

在 Tanzu 任务控制中心中查找管理群集的注册 URL

向 Tanzu Services 注册 vSphere

登录到 vCenter Server，单击清单视图，然后单击启用了工作负载管理的群集。单击配置选项卡，然后向下滚动到 TKG 服务部分，单击 Tanzu 任务控制，将第一步中复制的 URL 粘贴到注册 URL 框中，然后单击注册。

在 Tanzu 任务控制中心注册集群

注册完成后，您将验证集群是否出现在Tanzu任务控制中。打开 Tanzu 任务控制中心并单击管理，然后单击管理集群并验证您的集群是否显示在列表中。

验证新集群是否出现在 Tanzu 任务控制中

创建 Tanzu Kubernetes Grid 工作负载集群

要开始使用 Tanzu Kubernetes Grid 上的工作负载，需要创建一个 Tanzu Kubernetes 集群。

下一步假定已在 vSphere 主管集群上创建了命名空间;如果尚未创建，可以​​在此处​​执行创建 vSphere 命名空间的步骤。您创建的 vSphere 命名空间将在 Tanzu 任务控制中心中称为置备器。

在 Tanzu 任务控制中，单击左侧​的集群，然后在右上角单击创建集群。

创建集群

选择已注册到 Tanzu 任务控制中心的管理集群，然后单击继续以创建集群。

在 Tanzu 任务控制中心中选择管理集群

在下一步中，选择置备程序（即所需的 vSphere 命名空间），然后单击下一步。提供群集名称并选择在开始时创建的默认群集组。

在步骤 3 中，在下拉列表中选择 Kubernetes 版本、网络设置和每个所需的存储类，然后单击添加存储类。如果垃圾桶图标出现在存储类的右侧，您将知道存储类已正确添加。

确认正确的存储类

注意：建议选择默认存储类型。否则，您可能会遇到使用动态持久卷部署 Pod 的问题。

在“默认存储类”下，选择所需的默认值。正如你在这里看到的，我正在使用“vsan-default-storage-policy”。

单击下一步，然后选择适合您需求的部署计划。

在 Tanzu 任务控制中选择部署计划

单击下一步并选择所需的节点池设置（例如辅助角色计数），然后单击创建群集。

创建完成后，将转到群集的状态，您可以在其中观察基线运行状况统计信息。

创建用于测试的默认安全策略

默认情况下，Tanzu Kubernetes 集群启用了 Pod 安全策略 （PSP），这将防止 NGINX 等 Pod 在没有适当权限的情况下运行。在这里，我们将创建一个策略来禁用测试阶段的这些限制。请注意，您希望仅出于测试目的禁用这些策略。

在左侧菜单中，单击策略，然后单击分配。单击安全选项卡，然后选择群集组。单击创建安全策略。

在 Tanzu 任务控制中心中创建默认安全策略

为策略命名，然后向下滚动并切换禁用本机容器安全策略旁边的单选按钮。

在 Tanzu 任务控制中命名安全策略

系统将提示您确认是否要禁用本机策略。单击禁用本机策略。

在 Tanzu 任务控制中禁用本机安全策略

对于所有生产环境，强烈建议重新启用这些限制，并使用适当的权限限定容器的范围。您可以使用禁用策略实施开关来记录策略冲突而不强制执行，以便了解在部署之前是否会遇到任何容器问题。

由于 Tanzu Mission Control 的策略引擎由 Open Policy Agent Gatekeeper 提供支持，因此从 Kubernetes 中删除 Pod 安全策略时需要进行最少的更改。

了解更多信息

本快速入门指南介绍了如何创建集群组、向 Tanzu Mission Control 注册 vSphere 到 Tanzu Services 主管集群、通过 Mission Control 创建 Tanzu Kubernetes 集群以及创建您的第一个集群安全策略。

完成这些基本步骤后，您可以开始利用具有映像注册表策略和安全策略的 Tanzu Mission Control 资源层次结构，并开始为开发人员提供对新预配的 Tanzu Kubernetes Grid 集群的访问权限。