使用 Tanzu CLI 连接到 TKG 集群,并向 OIDC 提供程序进行身份验证。

必备条件

这些说明假定 主管 配置了受支持的外部身份提供程序 (IDP),您(DevOps 用户)已使用 Tanzu CLI 连接到 主管,并且您已置备 TKG 集群。根据需要参考以下主题:

DevOps 用户工作流

作为对目标 vSphere 命名空间 具有编辑权限的 DevOps 用户,您可以使用 Tanzu CLI 生成可共享的 kubeconfig 文件,然后将该文件分发给 TKG 集群用户。在 Kubernetes 中,配置上下文包含集群、命名空间和用户。可以在 .kube/config 文件中查看集群上下文。此文件通常称为 kubeconfig 文件。

注: 这些步骤必须由对目标 vSphere 命名空间 具有编辑权限的 DevOps 用户执行。
  1. 确认已将 Tanzu CLI 上下文设置为 主管

    请参见使用 Tanzu CLI 和外部 IDP 连接到 主管

  2. 确认 vSphere 管理员已为目标 vSphere 命名空间 配置用户权限。

    外部 OIDC 用户和组直接映射到 vSphere 命名空间 角色。在生成可共享 kubeconfig 之前,应首先将集群用户添加到 vSphere 命名空间

    请参见为外部身份提供程序用户和组配置 vSphere 命名空间 权限

  3. 列出在目标 vSphere 命名空间 中置备的 TKG 集群。
    tanzu cluster list --namespace VSPHERE-NAMESPACE
  4. 为目标 TKG 集群生成可共享 kubeconfig 文件。
    tanzu cluster kubeconfig get CLUSTER-NAME --namespace=NAMESPACE
  5. 将共享的 kubeconfig 文件分发给集群用户,以便他们可以登录到 TKG 集群。

集群用户工作流

完成以下步骤,以集群用户身份登录到 TKG 集群。

  1. 从 DevOps 用户获取 kubeconfig 文件。
  2. 使用 kubeconfig 文件和 kubectl 登录到 TKGS 集群。
    kubectl --kubeconfig
  3. 完成浏览器身份验证过程。
    1. 发出质询后,使用浏览器访问链接。
    2. 将授权代码复制/粘贴到 CLI 中。
  4. 使用 kubectl 与集群进行交互。