Os desenvolvedores são os usuários-alvo do Kubernetes. Depois que um cluster Tanzu Kubernetes for provisionado, você poderá conceder acesso ao desenvolvedor usando a autenticação vCenter Single Sign-On.
Autenticação para desenvolvedores
Um administrador de cluster pode conceder acesso de cluster a outros usuários, como desenvolvedores. Os desenvolvedores podem implantar pods em clusters diretamente usando suas contas de usuário ou indiretamente usando contas de serviço. Para obter mais informações, consulte
Conceder aos desenvolvedores acesso SSO a clusters de carga de trabalho em
Usando Tanzu Kubernetes Grid 2 com vSphere with Tanzu.
- Para autenticação de conta de usuário, os clusters Tanzu Kubernetes oferecem suporte a vCenter Single Sign-On usuários e grupos. O usuário ou grupo pode ser local para o vCenter Server ou sincronizado a partir de um servidor de diretório compatível.
- Para a autenticação da conta de serviço, você pode usar tokens de serviço. Para obter mais informações, consulte a documentação do Kubernetes.
Adição de usuários desenvolvedores a um cluster
Para conceder acesso ao cluster aos desenvolvedores:
- Defina uma Função ou ClusterRole para o usuário ou grupo e aplique-a ao cluster. Para obter mais informações, consulte a documentação do Kubernetes.
- Crie um RoleBinding ou ClusterRoleBinding para o usuário ou grupo e aplique-o ao cluster. Consulte o exemplo a seguir.
Exemplo RoleBinding
Para conceder acesso a um usuário ou grupo
vCenter Single Sign-On, o assunto no RoleBinding deve conter um dos seguintes valores para o parâmetro
name
.
Campo | Descrição |
---|---|
sso:USER-NAME@DOMAIN |
Por exemplo, um nome de usuário local, como sso:[email protected] . |
sso:GROUP-NAME@DOMAIN |
Por exemplo, um nome de grupo de um servidor de diretório integrado ao vCenter Server, como sso:[email protected] . |
O seguinte exemplo de RoleBinding associa o usuário local vCenter Single Sign-On chamado Joe ao ClusterRole padrão chamado edit
. Essa função permite acesso de leitura/gravação à maioria dos objetos em um namespace, neste caso, o namespace default
.
kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: rolebinding-cluster-user-joe namespace: default roleRef: kind: ClusterRole name: edit #Default ClusterRole apiGroup: rbac.authorization.k8s.io subjects: - kind: User name: sso:[email protected] #sso:<username>@<domain> apiGroup: rbac.authorization.k8s.io