Como administrador do vSphere, você precisa de privilégios para configurar um Supervisor e gerenciar namespaces. Você define permissões em namespaces para determinar quais engenheiros de DevOps podem acessá-los. Você também pode configurar o Supervisor com um provedor OpenID Connect (OIDC) externo para habilitar a autenticação multifator. Como engenheiro de DevOps, você se autentica com o Supervisor usando suas credenciais do vCenter Single Sign-On ou as credenciais de um provedor OIDC, dependendo do que o administrador do vSphere configurou para você no Supervisor. Você pode acessar apenas os namespaces para os quais tem permissões.
Permissões para vSphere administradores
Como administrador do vSphere, você precisa de permissões nos clusters do vSphere para configurá-los como Supervisor, bem como para criar e gerenciar namespaces. Você deve ter pelo menos um dos seguintes privilégios associados à sua conta de usuário em um cluster vSphere:
- Modificar a configuração do namespace. Permite criar e configurar namespaces em um Supervisor.
- Modificar a configuração em todo o cluster. Permite configurar um cluster vSphere como um Supervisor.
Definindo permissões para engenheiros de DevOps
Como administrador do vSphere, você concede permissões de visualização, edição ou proprietário a contas de usuário no nível do namespace. As contas de usuário devem estar disponíveis em uma fonte de identidade conectada a vCenter Single Sign-On ou em um provedor OIDC configurado com o Supervisor. Uma conta de usuário pode ter acesso a vários namespaces. Os usuários que são membros dos grupos Administradores têm acesso a todos os namespaces no Supervisor.
Depois de configurar um namespace com permissões, cotas de recursos e armazenamento, você fornece a URL do plano de controle do Kubernetes aos engenheiros de DevOps, que podem usá-la para fazer login no plano de controle. Depois de fazer o login, os engenheiros de DevOps podem acessar os namespaces para os quais têm permissões no Supervisors configurado com o mesmo provedor de identidade que pertence a um sistema vCenter Server. Quando os sistemas vCenter Server estão no Modo Vinculado Avançado, os engenheiros de DevOps podem acessar todos os namespaces para os quais eles têm permissões em todos os Supervisors disponíveis no grupo Modo Vinculado. O endereço IP do plano de controle do Kubernetes é um IP virtual gerado por NSX ou um balanceador de carga no caso da rede VDS para servir como um ponto de acesso ao plano de controle do Kubernetes.
Os engenheiros de DevOps com permissões de proprietário podem implantar cargas de trabalho. Eles podem compartilhar o namespace com outros usuários ou grupos de DevOps e excluí-lo quando não for mais necessário. Quando os engenheiros de DevOps compartilham o namespace, eles podem atribuir permissões de visualização, edição ou proprietário a outros engenheiros e grupos de DevOps.
Autenticação com o Supervisor
Como engenheiro de DevOps, você usa o Kubernetes CLI Tools for vSphere para autenticar no Supervisor usando suas credenciais do vCenter Single Sign-On e o endereço IP do plano de controle do Kubernetes. Você também pode se conectar ao Supervisor usando credenciais em um provedor OIDC registrado com o Supervisor. Para obter mais informações, consulte a documentação Usando Tanzu Kubernetes Grid 2 com vSphere with Tanzu.
Quando você faz login no Supervisor, um proxy de autenticação redireciona a solicitação para vCenter Single Sign-On. O plug-in kubectl vSphere estabelece uma sessão com vCenter Server e obtém um token de autenticação de vCenter Single Sign-On. Ele também busca uma lista de namespaces aos quais você tem acesso e preenche a configuração com esses namespaces. A lista de namespaces será atualizada no próximo logon, se houver alterações nas permissões da sua conta de usuário.