作为 vSphere 管理员,您需要具备配置 主管集群 和管理命名空间的特权。您可以定义命名空间的权限,以确定哪些 DevOps 工程师可以访问这些命名空间。作为 DevOps 工程师,您可以使用 vCenter Single Sign-On 凭据向 主管集群 进行身份验证,且只能访问您有权访问的命名空间。

vSphere 管理员的权限

作为 vSphere 管理员,您需要具有 vSphere 集群的权限,以便将其配置为 主管集群,以及创建和管理命名空间。您必须至少具有与 vSphere 集群中的用户帐户关联的以下特权之一:

  • 修改命名空间配置。允许您在 主管集群 上创建和配置命名空间。
  • 修改集群范围配置。允许您将 vSphere 集群配置为 主管集群

设置 DevOps 工程师的权限

作为 vSphere 管理员,您可以向命名空间级别的用户帐户授予查看、编辑或所有者权限。用户帐户必须在连接到 vCenter Single Sign-On 的标识源中可用。一个用户帐户可以访问多个命名空间。属于管理员组的用户可以访问 主管集群 上的所有命名空间。

配置具有权限、资源配额和存储的命名空间后,您可以将 Kubernetes 控制平面的 URL 提供给 DevOps 工程师,使其可以使用该 URL 登录到控制平面。登录后,DevOps 工程师可以跨属于 vCenter Server 系统的所有 主管集群 访问具有权限的所有命名空间。当 vCenter Server 系统处于增强型链接模式时,DevOps 工程师可以跨链接模式组中的所有可用 主管集群 访问具有权限的所有命名空间。Kubernetes 控制平面的 IP 地址是由 NSX-T 或负载均衡器搭配使用 VDS 网络连接堆栈生成的虚拟 IP,用作 Kubernetes 控制平面的访问点。

具有所有者权限的 DevOps 工程师可以部署工作负载。您可以将命名空间与其他 DevOps 工程师或组共享,也可以在不再需要时将其删除。DevOps 工程师共享命名空间时,他们可以将查看、编辑或所有者权限分配给其他 DevOps 工程师和组。

使用 主管集群 进行身份验证

作为 DevOps 工程师,您可以使用 适用于 vSphere 的 Kubernetes CLI 工具 以及 vCenter Single Sign-On 凭据和 Kubernetes 控制平面 IP 地址向 主管集群 进行身份验证。有关详细信息,请参见以 vCenter Single Sign-On 用户的身份连接到 主管集群

在您登录到 主管集群 后,身份验证代理会将请求重定向到 vCenter Single Sign-On。vSphere kubectl 插件与 vCenter Server 建立会话,并从 vCenter Single Sign-On 中获取身份验证令牌。它还会获取您有权访问的命名空间列表,并使用这些命名空间填充配置。如果您的用户帐户的权限发生变化,则下次登录时将更新命名空间列表。

用于登录到 主管集群 的帐户仅提供对分配给您的命名空间的访问权限。您无法使用该帐户登录到 vCenter Server。要登录到 vCenter Server,您需要具有显式权限。
注:kubectl 的会话将持续 10 小时。会话过期后,必须再次向 主管集群 进行身份验证。注销时,将从您的用户帐户的配置文件中删除令牌,但该令牌在会话结束之前一直有效。

Tanzu Kubernetes 集群进行身份验证

Tanzu Kubernetes 集群用户(包括 DevOps 工程师、开发人员和管理员)可以通过多种方式向集群进行身份验证。有关详细信息,请参见对 Tanzu Kubernetes 集群进行身份验证

注: Tanzu Kubernetes 集群要求用户和系统帐户具有 Pod 安全策略,以便将 Pod 和资源部署到集群。有关详细信息,请参见 对 Tanzu Kubernetes 集群使用 POD 安全策略