Tanzu Mission Control多集群和应用管理解决方案

1、Tanzu Mission Control多集群和应用管理解决方案稳定性速度您所面临的挑战：实现高速与稳定应用基础架构多云25VMware Tanzu：可实现应用现代化的全面产品体系VMware Tanzu 包括 VMware Pivotal LabsSpringVCFVMC公有云Tanzu Kubernetes GridVMware Pivotal Labs 服务其他框架（.NET 等）构建运行管理边缘环境Tanzu Mission ControlTanzu Observability by WavefrontTanzu Service Mesh built on VMware NSXTan

2、zu Application ServiceTanzu Build ServiceTanzu Application CatalogTanzu Data ServicesTanzu 生态系统工作负载集群工作负载集群工作负载集群K8s 集群（纳管）Tanzu Kubernetes GridK8s 集群（纳管）工作负载集群工作负载集群Tanzu Kubernetes GridTanzu Mission Control本地管理本地管理Tanzu 基础体系架构通过本地和全局双控制平面实现高速与稳定4置备纳管Tanzu Mission Control身份和访问安全性 与合规性配置与审核数据保护集群生命周

3、期管理应用 和服务管理可观察性 和诊断优化连接 和流量管理Tanzu Application CatalogTanzu Observability by WavefrontTanzu Service MeshTanzu Kubernetes GridVMware Tanzu Mission Control跨云环境的集中式 Kubernetes 管理平台5Tanzu Kubernetes Grid通用运行时，基于开源技术构建并部署到多个云环境中Tanzu Kubernetes Grid简化的安装自动化的多集群操作集成的平台服务边缘环境公有云VMware 混合云6演示：Tanzu Mission

4、Control将屏幕截图放置在此处7新功能特性聚焦：数据保护10云原生备份和恢复应用是虚拟机/服务器 单租户静态文件系统备份应用是容器和微服务 多租户临时Kubernetes 对象备份Kubernetes 持久卷挑战：转向云原生增加了备份的复杂性备份随时代的转变而改变传统云原生9我们的解决方案：全面的数据保护和迁移技术支持：集群已置备或者已纳管用于数据保护的 TMC UI/CLI/APIAWS 凭证AWS S3 置备存储Velero 完整的生命周期管理完整/部分备份和还原备份和还原详细信息1013备份恢复Demo14 功能特性聚焦：策略管理可大规模实现简化的模板和资源层次结构Tanzu Mis

5、sion Control 的策略数据模型每个租户对应一个org多个集群组将各种集群组合在一起跨多个集群应用策略多个工作空间对来自不同集群的 Namespace 进行分组级联的资源层次结构策略从根流向节点直接策略覆盖继承策略Org集群命名空间集群Namespacensns集群nsNamespace集群组工作空间13Tanzu Mission Control 策略类型如 今 ，Tanzu Mission Control 可满足企业实施 安全性和合规性的 各种策略需求。访问策略镜像策略网络策略安全策略Namespace 配额策略14策略挑战：实现企业范围的访问策略Kubernetes 平台运维人员负

6、责各种集群的安全性Kubernetes 平台运维人员Org集群组 A集群组 B集群Namespace负责多个 Kubernetes 集群的安全性与多个团队打交道不同的应用具有不同的安全需求15统一身份和访问策略集群 Namespace集群Namespace集群nsnsnsNamespace导入 用户/组身份验证TokenKubectl工作空间集群组Tanzu Mission Control策略引擎身份认证VMware Cloud Services Active Directory1定义 访问 策略2开发人员平台运维团队可通过集群组和角色对应关系一次性定义用户对多个集群的访问权限 开发人员可以自

7、助访问集群定义 访问 策略平台运维/IT16镜像仓库策略指定允许使用的镜像仓库，以确保不会从不安全的位置提取镜像集群组集群组工作空间Namespace集群集群Namespace集群NamespaceGoogle容器镜像仓库Docker Hub应用运维Tanzu Mission Control策略引擎组织工作空间Namespace添加已批准的 镜像仓库1217网络策略可以在Org或工作空间设置的 Ingress 网络策略deny-allallow-alldeny-all-for-podallow-all-for-pod应用运维Tanzu Mission Control策略引擎组织工作空间allo

8、w-all-for-podapp : coffeeshop标签app : bookstore标签app : coffeeshop集群组集群组工作空间NamespaceNamespace集群集群集群Namespace允许的Ingress 流量拒绝的Ingress 流量18安全策略应用场景和方法19统一控制一组k8s集群的安全性指定pod security policy精细化控制集群和 namespace 的安全 性应用场景TMC 策略引擎可帮助管理员方便的设置各种策 略管理员可以实施最低权限原则例如，必要时有选择地为某些 namespace 的POD 启用特权模式API 驱动型策略的定义和实施不

9、满足企业合规策略的POD将无法运行TMC 方法我们的解决方案：严格的自定义安全策略模板使集群管理员可以在集群中 强制使用特定的security context一次性定义和管理整个集群组基于 Open Policy Agent- Gatekeeper精细控制 namespace， 防止不同环境策略不一致审计模式下可提供安全警示20Namespace 配额策略控制 Org 的 CPU 和内存配额内置多种配额可用模板满足自定义需求的 配额CPU 和内存限制可以为多集群多namespace统一设置灵活定义全局默认设置21预览：使用 OPA 的自定义策略自带策略代码基 于 Open Policy Agent支持 namespace selector支持审计模式22Tanzu Mission Control：重点功能12457生命周期管理策略管理3可观察性和诊断数据保护应用部署交付模式和平台6流量管理跨环境实现一致的生