Como administrador do vSphere, você precisa de privilégios para configurar um Supervisor Cluster e gerenciar namespaces. Você define permissões em namespaces para determinar quais engenheiros de DevOps podem acessá-los. Como engenheiro de DevOps, você se autentica com o Supervisor Cluster usando suas credenciais do vCenter Single Sign-On e pode acessar apenas os namespaces para os quais você tem permissões.
Permissões para administradores do vSphere
Como administrador do vSphere, você precisa de permissões em clusters do vSphere para configurá-los como Supervisor Clusters, bem como para criar e gerenciar namespaces. Você deve ter pelo menos um dos seguintes privilégios associados à sua conta de usuário em um cluster do vSphere:
- Modifique a configuração do namespace . Permite criar e configurar namespaces em um Supervisor Cluster.
- Modifique a configuração de todo o cluster . Permite que você configure um cluster do vSphere como um Supervisor Cluster.
Definindo permissões para engenheiros de DevOps
Como administrador do vSphere, você concede permissões de visualização, edição ou proprietário para contas de usuário no nível do namespace. As contas de usuário devem estar disponíveis em uma origem de identidade que esteja conectada a vCenter Single Sign-On. Uma conta de usuário pode ter acesso a vários namespaces. Os usuários que são membros dos grupos de administradores têm acesso a todos os namespaces no Supervisor Cluster.
Depois de configurar um namespace com permissões, cotas de recursos e armazenamento, você fornece a URL do plano de controle do Kubernetes para os engenheiros de DevOps, que podem usá-lo para fazer login no plano de controle. Depois de fazer login, os engenheiros de DevOps podem acessar todos os namespaces para os quais eles têm permissões em todos os Supervisor Clusters que pertencem a um sistema vCenter Server. Quando os sistemas do vCenter Server estão no modo vinculado aprimorado, os engenheiros de DevOps podem acessar todos os namespaces para os quais eles têm permissões em todos os Supervisor Clusters disponíveis no grupo do modo vinculado. O endereço IP do plano de controle do Kubernetes é um IP virtual gerado pelo NSX-T para servir como um ponto de acesso para o plano de controle do Kubernetes.
Os engenheiros de DevOps com permissões de proprietário podem implantar cargas de trabalho. Eles podem compartilhar o namespace com outros engenheiros ou grupos de DevOps e excluí-lo quando não for mais necessário. Quando os engenheiros de DevOps compartilham o namespace, eles podem atribuir permissões de visualização, edição ou proprietário a outros engenheiros e grupos de DevOps.
Autenticação com o Supervisor Cluster
Como engenheiro de DevOps, você usa o Kubernetes CLI Tools for vSphere para se autenticar no Supervisor Cluster usando suas credenciais do vCenter Single Sign-On e o endereço IP do plano de controle do Kubernetes. Para obter mais informações, consulte Conecte-se ao Supervisor Cluster como um usuário do vCenter Single Sign-On.
Quando você faz login no Supervisor Cluster, um proxy de autenticação redireciona a solicitação para vCenter Single Sign-On. O plug-in vSphere kubectl estabelece uma sessão com vCenter Server e obtém um token de autenticação de vCenter Single Sign-On. Ele também obtém uma lista de namespaces aos quais você tem acesso e preenche a configuração com esses namespaces. A lista de namespaces é atualizada no próximo login, se houver alterações nas permissões da sua conta de usuário.
Autenticação com Tanzu Kubernetes clusters
Os usuários do cluster do Tanzu Kubernetes, incluindo engenheiros, desenvolvedores e administradores de DevOps, podem se autenticar em um cluster de várias maneiras. Para obter mais informações, consulte Autenticando com Tanzu Kubernetes clusters.