Tanzu Mission Control多集群和應(yīng)用管理解決方案

1、Tanzu Mission Control多集群和應(yīng)用管理解決方案穩(wěn)定性速度您所面臨的挑戰(zhàn)：實現(xiàn)高速與穩(wěn)定應(yīng)用基礎(chǔ)架構(gòu)多云25VMware Tanzu：可實現(xiàn)應(yīng)用現(xiàn)代化的全面產(chǎn)品體系VMware Tanzu 包括 VMware Pivotal LabsSpringVCFVMC公有云Tanzu Kubernetes GridVMware Pivotal Labs 服務(wù)其他框架（.NET 等）構(gòu)建運行管理邊緣環(huán)境Tanzu Mission ControlTanzu Observability by WavefrontTanzu Service Mesh built on VMware NSXTan

2、zu Application ServiceTanzu Build ServiceTanzu Application CatalogTanzu Data ServicesTanzu 生態(tài)系統(tǒng)工作負(fù)載集群工作負(fù)載集群工作負(fù)載集群K8s 集群（納管）Tanzu Kubernetes GridK8s 集群（納管）工作負(fù)載集群工作負(fù)載集群Tanzu Kubernetes GridTanzu Mission Control本地管理本地管理Tanzu 基礎(chǔ)體系架構(gòu)通過本地和全局雙控制平面實現(xiàn)高速與穩(wěn)定4置備納管Tanzu Mission Control身份和訪問安全性 與合規(guī)性配置與審核數(shù)據(jù)保護(hù)集群生命周

3、期管理應(yīng)用 和服務(wù)管理可觀察性 和診斷優(yōu)化連接 和流量管理Tanzu Application CatalogTanzu Observability by WavefrontTanzu Service MeshTanzu Kubernetes GridVMware Tanzu Mission Control跨云環(huán)境的集中式 Kubernetes 管理平臺5Tanzu Kubernetes Grid通用運行時，基于開源技術(shù)構(gòu)建并部署到多個云環(huán)境中Tanzu Kubernetes Grid簡化的安裝自動化的多集群操作集成的平臺服務(wù)邊緣環(huán)境公有云VMware 混合云6演示：Tanzu Mission

4、Control將屏幕截圖放置在此處7新功能特性聚焦：數(shù)據(jù)保護(hù)10云原生備份和恢復(fù)應(yīng)用是虛擬機(jī)/服務(wù)器 單租戶靜態(tài)文件系統(tǒng)備份應(yīng)用是容器和微服務(wù) 多租戶臨時Kubernetes 對象備份Kubernetes 持久卷挑戰(zhàn)：轉(zhuǎn)向云原生增加了備份的復(fù)雜性備份隨時代的轉(zhuǎn)變而改變傳統(tǒng)云原生9我們的解決方案：全面的數(shù)據(jù)保護(hù)和遷移技術(shù)支持：集群已置備或者已納管用于數(shù)據(jù)保護(hù)的 TMC UI/CLI/APIAWS 憑證AWS S3 置備存儲Velero 完整的生命周期管理完整/部分備份和還原備份和還原詳細(xì)信息1013備份恢復(fù)Demo14 功能特性聚焦：策略管理可大規(guī)模實現(xiàn)簡化的模板和資源層次結(jié)構(gòu)Tanzu Mis

5、sion Control 的策略數(shù)據(jù)模型每個租戶對應(yīng)一個org多個集群組將各種集群組合在一起跨多個集群應(yīng)用策略多個工作空間對來自不同集群的 Namespace 進(jìn)行分組級聯(lián)的資源層次結(jié)構(gòu)策略從根流向節(jié)點直接策略覆蓋繼承策略O(shè)rg集群命名空間集群Namespacensns集群nsNamespace集群組工作空間13Tanzu Mission Control 策略類型如 今 ，Tanzu Mission Control 可滿足企業(yè)實施 安全性和合規(guī)性的 各種策略需求。訪問策略鏡像策略網(wǎng)絡(luò)策略安全策略Namespace 配額策略14策略挑戰(zhàn)：實現(xiàn)企業(yè)范圍的訪問策略Kubernetes 平臺運維人員負(fù)

6、責(zé)各種集群的安全性Kubernetes 平臺運維人員Org集群組 A集群組 B集群Namespace負(fù)責(zé)多個 Kubernetes 集群的安全性與多個團(tuán)隊打交道不同的應(yīng)用具有不同的安全需求15統(tǒng)一身份和訪問策略集群 Namespace集群Namespace集群nsnsnsNamespace導(dǎo)入 用戶/組身份驗證TokenKubectl工作空間集群組Tanzu Mission Control策略引擎身份認(rèn)證VMware Cloud Services Active Directory1定義 訪問 策略2開發(fā)人員平臺運維團(tuán)隊可通過集群組和角色對應(yīng)關(guān)系一次性定義用戶對多個集群的訪問權(quán)限 開發(fā)人員可以自

7、助訪問集群定義 訪問 策略平臺運維/IT16鏡像倉庫策略指定允許使用的鏡像倉庫，以確保不會從不安全的位置提取鏡像集群組集群組工作空間Namespace集群集群Namespace集群NamespaceGoogle容器鏡像倉庫Docker Hub應(yīng)用運維Tanzu Mission Control策略引擎組織工作空間Namespace添加已批準(zhǔn)的 鏡像倉庫1217網(wǎng)絡(luò)策略可以在Org或工作空間設(shè)置的 Ingress 網(wǎng)絡(luò)策略deny-allallow-alldeny-all-for-podallow-all-for-pod應(yīng)用運維Tanzu Mission Control策略引擎組織工作空間allo

8、w-all-for-podapp : coffeeshop標(biāo)簽app : bookstore標(biāo)簽app : coffeeshop集群組集群組工作空間NamespaceNamespace集群集群集群Namespace允許的Ingress 流量拒絕的Ingress 流量18安全策略應(yīng)用場景和方法19統(tǒng)一控制一組k8s集群的安全性指定pod security policy精細(xì)化控制集群和 namespace 的安全 性應(yīng)用場景TMC 策略引擎可幫助管理員方便的設(shè)置各種策 略管理員可以實施最低權(quán)限原則例如，必要時有選擇地為某些 namespace 的POD 啟用特權(quán)模式API 驅(qū)動型策略的定義和實施不

9、滿足企業(yè)合規(guī)策略的POD將無法運行TMC 方法我們的解決方案：嚴(yán)格的自定義安全策略模板使集群管理員可以在集群中 強(qiáng)制使用特定的security context一次性定義和管理整個集群組基于 Open Policy Agent- Gatekeeper精細(xì)控制 namespace， 防止不同環(huán)境策略不一致審計模式下可提供安全警示20Namespace 配額策略控制 Org 的 CPU 和內(nèi)存配額內(nèi)置多種配額可用模板滿足自定義需求的 配額CPU 和內(nèi)存限制可以為多集群多namespace統(tǒng)一設(shè)置靈活定義全局默認(rèn)設(shè)置21預(yù)覽：使用 OPA 的自定義策略自帶策略代碼基 于 Open Policy Agent支持 namespace selector支持審計模式22Tanzu Mission Control：重點功能12457生命周期管理策略管理3可觀察性和診斷數(shù)據(jù)保護(hù)應(yīng)用部署交付模式和平臺6流量管理跨環(huán)境實現(xiàn)一致的生