Os engenheiros de DevOps se conectam a Supervisor para provisionar e gerenciar o ciclo de vida de Tanzu Kubernetes Grid 2 clusters. Os desenvolvedores se conectam a clusters do TKG 2 para implantar pacotes, cargas de trabalho e serviços. Os administradores podem precisar de acesso direto aos nós de cluster do TKG 2 para solucionar problemas. vSphere with Tanzu fornece ferramentas e métodos de gerenciamento de identidade e acesso que dão suporte a cada caso de uso e função.
O acesso do TKG tem escopo para o vSphere Namespace
Você provisiona clusters TKG em um vSphere Namespace. Da mesma forma, as permissões de cluster do TKG são definidas e têm o escopo definido no nível vSphere Namespace. Ao configurar um vSphere Namespace, você define permissões para esse namespace, incluindo a origem de identidade, os usuários, os grupos e as funções. Essas permissões se aplicam a qualquer cluster TKG provisionado nesse vSphere Namespace.
O Tanzu Kubernetes Grid em Supervisor é compatível com dois métodos de autenticação de usuário/grupo: vCenter Single Sign-On e um provedor de identidade externo em conformidade com OIDC.
Autenticação usando vCenter Single Sign-On e Kubectl
Por padrão, vCenter Single Sign-On é usado para autenticar com o ambiente vSphere with Tanzu, incluindo clusters Supervisor e TKG 2. vCenter Single Sign-On fornece autenticação para a infraestrutura vSphere e pode se integrar a sistemas AD/LDAP. Para obter mais informações sobre vCenter Single Sign-On, consulte vSphere Autenticação com vCenter Single Sign-On.
Para autenticar usando vCenter Single Sign-On, use o vSphere Plugin for kubectl. Depois de autenticado, use kubectl para provisionar e gerenciar declarativamente o ciclo de vida de clusters TKG, implantar cargas de trabalho de cluster TKG e implantar outros recursos Supervisor, como vSphere Pods e Supervisor Services.
Para se conectar usando vCenter Single Sign-On, consulte Conectando-se a clusters TKG em Supervisor usando a autenticação de SSO do vCenter.
Autenticação usando um provedor de identidade externo e a CLI Tanzu
Além da autenticação do vCenter Single Sign-On, você pode configurar o Supervisor com um provedor de identidade externo que ofereça suporte ao protocolo OpenID Connect. Depois de configurado, o Supervisor funciona como um cliente OAuth 2.0 e usa o serviço de autenticação Pinniped para se conectar a clusters TKG usando o Tanzu CLI. O Tanzu CLI é compatível com o provisionamento e o gerenciamento do ciclo de vida de clusters TKG.
Cada instância de Supervisor pode oferecer suporte a um único provedor de identidade externo.
Para se conectar usando um provedor OIDC externo, consulte Conectando-se a clusters TKG em Supervisor usando um provedor de identidade externo.
Autenticação usando uma abordagem híbrida: vCenter SSO com Tanzu CLI
Se você estiver usando vCenter Single Sign-On como o provedor de identidade e quiser usar a CLI Tanzu, poderá adotar uma abordagem híbrida e fazer login em Supervisor usando a CLI Tanzu e a vSphere Plugin for kubectl. Essa abordagem pode ser útil para instalar Tanzu Pacotes. Consulte Conectar-se a Supervisor usando a autenticação de CLI do Tanzu e do vCenter SSO.
Usuários e grupos
Ao configurar o vSphere Namespace, você concede acesso ao cluster TKG a usuários e grupos. O usuário ou grupo ao qual você atribui permissões deve existir na origem de identidade. Os usuários se autenticam com clusters TKG em Supervisor usando suas credenciais de provedor de identidade, usando as credenciais vCenter Single Sign-On ou usando um provedor de identidade externo.
Você pode conceder aos desenvolvedores acesso ao cluster TKG com base no provedor de identidade ou usando uma função de cluster e uma associação no Kubernetes. Consulte Conceder aos desenvolvedores vCenter acesso SSO a clusters TKG 2 em Supervisor.
Permissões de função
Os clusters TKG em Supervisor oferecem suporte a três funções: visualizador, editor e proprietário. As permissões de função são atribuídas e no escopo do vSphere Namespace. Consulte Configurando vSphere Namespaces para clusters TKG 2 em Supervisor.
Um usuário/grupo com a permissão de função Pode visualizar em um vSphere Namespace tem acesso somente leitura a clusters TKG provisionados nesse vSphere Namespace.
Um usuário/grupo com a permissão de função Pode editar em um vSphere Namespace pode criar, ler, atualizar e excluir clusters TKG nesse vSphere Namespace.
cluster-admin ClusterRole usando um RoleBinding. A função
cluster-admin permite que os usuários provisionem e operem clusters. Você pode visualizar esse mapeamento usando o comando
kubectl get rolebinding do destino
vSphere Namespace.
kubectl get rolebinding -n tkg2-cluster-namespace NAME ROLE AGE wcp:tkg-cluster-namespace:group:vsphere.local:administrators ClusterRole/edit 33d wcp:tkg-cluster-namespace:user:vsphere.local:administrator ClusterRole/edit 33d
Quando você atribui um usuário/grupo à função de proprietário, o sistema cria um ClusterRoleBinding e o mapeia para um ClusterRole que permite que o usuário/grupo crie e exclua vSphere Namespaces usando o kubectl. Você não pode visualizar esse mapeamento usando a mesma abordagem. Você deve SSH em um nó Supervisor para visualizar esse mapeamento.
Conectividade do administrador do sistema
Os administradores podem se conectar a nós de cluster do TKG como o usuário kubernetes-admin. Esse método pode ser apropriado se a autenticação vCenter Single Sign-On não estiver disponível. Para fins de solução de problemas, os administradores do sistema podem se conectar a um cluster TKG como o vmware-system-user usando SSH e uma chave privada. Consulte Conectando-se a clusters do TKG 2 em Supervisor como administrador do Kubernetes e usuário do sistema.
