In diesem Thema wird erläutert, wie Sie die Identitätsverwaltung in Tanzu Kubernetes Grid (TKG) mit einem eigenständigen Verwaltungscluster aktivieren und konfigurieren.
Sie können die Identitätsverwaltung während oder nach der Bereitstellung des Verwaltungsclusters aktivieren, indem Sie einen LDAPS- oder OIDC-Identitätsanbieter konfigurieren. Alle Arbeitslastcluster, die Sie nach der Aktivierung der Identitätsverwaltung erstellen, werden automatisch so konfiguriert, dass sie denselben Identitätsanbieter wie der Verwaltungscluster verwenden. Um vorhandene Arbeitslastcluster rückwirkend mit neu aktivierter Identitätsverwaltung zu konfigurieren, führen Sie die Schritte unter Aktivieren der Identitätsverwaltung auf Arbeitslastclustern aus.
Die Aktivierung und Konfiguration der Identitätsverwaltung umfasst die folgenden Schritte. Wenn Sie standardmäßige, nicht administrative kubeconfig
-Dateien für den Zugriff auf Verwaltungs- und Arbeitslastcluster verwenden möchten, müssen Sie nach Abschluss der Schritte in diesem Thema auch die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) konfigurieren, indem Sie die Anweisungen in Konfigurieren von RBAC befolgen.
(Empfohlen) Aktivieren und Konfigurieren der Identitätsverwaltung während der Bereitstellung des Verwaltungsclusters:
Anweisungen finden Sie nachstehend unter (Empfohlen) Aktivieren und Konfigurieren der Identitätsverwaltung während der Bereitstellung des Verwaltungsclusters.
Aktivieren und Konfigurieren der Identitätsverwaltung nach der Bereitstellung des Verwaltungsclusters:
Anweisungen finden Sie nachstehend unter Aktivieren und Konfigurieren der Identitätsverwaltung in einer vorhandenen Bereitstellung.
In diesem Abschnitt wird erläutert, wie Sie die Identitätsverwaltung während der Bereitstellung des Verwaltungsclusters aktivieren und konfigurieren können.
Bevor Sie die Identitätsverwaltung aktivieren können, müssen Sie über einen Identitätsanbieter verfügen. Tanzu Kubernetes Grid unterstützt LDAPS- und OIDC-Identitätsanbieter.
Um Okta als Ihren OIDC-Anbieter zu verwenden, müssen Sie ein Konto bei Okta erstellen und eine Anwendung für Tanzu Kubernetes Grid mit Ihrem Konto registrieren:
http://localhost:8080/authorization-code/callback
ein. Sie aktualisieren diesen Platzhalter mit der realen URL, nachdem Sie den Verwaltungscluster bereitgestellt haben.WichtigAlle OIDC-Anbieter müssen so konfiguriert sein, dass sie Aktualisierungstoken ausgeben, um TKG 2.3 oder höher verwenden zu können.
Verwenden Sie die oben abgerufenen Details, um LDAPS oder OIDC in Tanzu Kubernetes Grid zu konfigurieren:
Wenn Sie Ihren Verwaltungscluster über eine Konfigurationsdatei bereitstellen, legen Sie die Variablen LDAP_*
oder OIDC_*
in der Konfigurationsdatei fest.
Beispiel:
LDAP:
IDENTITY_MANAGEMENT_TYPE: ldap
LDAP_BIND_DN: "cn=bind-user,ou=people,dc=example,dc=com"
LDAP_BIND_PASSWORD: "example-password"
LDAP_GROUP_SEARCH_BASE_DN: dc=example,dc=com
LDAP_GROUP_SEARCH_FILTER: &(objectClass=posixGroup)(memberUid={})
LDAP_GROUP_SEARCH_NAME_ATTRIBUTE: cn
LDAP_GROUP_SEARCH_USER_ATTRIBUTE: uid
LDAP_HOST: ldaps.example.com:636
LDAP_ROOT_CA_DATA_B64: ""
LDAP_USER_SEARCH_BASE_DN: ou=people,dc=example,dc=com
LDAP_USER_SEARCH_FILTER: &(objectClass=posixAccount)(uid={})
LDAP_USER_SEARCH_NAME_ATTRIBUTE: uid
OIDC:
IDENTITY_MANAGEMENT_TYPE: oidc
OIDC_IDENTITY_PROVIDER_CLIENT_ID: 0oa2i[...]NKst4x7
OIDC_IDENTITY_PROVIDER_CLIENT_SECRET: 331!b70[...]60c_a10-72b4
OIDC_IDENTITY_PROVIDER_GROUPS_CLAIM: groups
OIDC_IDENTITY_PROVIDER_ISSUER_URL: https://dev-[...].okta.com
OIDC_IDENTITY_PROVIDER_SCOPES: openid,groups,email,offline_access
OIDC_IDENTITY_PROVIDER_USERNAME_CLAIM: email
Anweisungen zur Vorbereitung einer Konfigurationsdatei für den Verwaltungscluster finden Sie unter Erstellen einer Konfigurationsdatei für den Verwaltungscluster.
Nachdem der Verwaltungscluster bereitgestellt wurde, schließen Sie die Konfiguration der Identitätsverwaltung mithilfe der folgenden Verfahren ab, die in den nachstehenden Abschnitten beschrieben werden:
kubectl
mit dem Verwaltungscluster.kubeconfig
-Dateien für den Zugriff auf den Verwaltungscluster zu unterstützen, führen Sie die Schritte unter Konfigurieren von RBAC für einen Verwaltungscluster aus.kubectl
mit dem Verwaltungscluster verbindenUm die Identitätsverwaltung zu konfigurieren, müssen Sie den admin
-Kontext des Verwaltungsclusters abrufen und verwenden:
Rufen Sie den admin
-Kontext des Verwaltungsclusters ab. Bei den Verfahren in diesem Thema wird ein Verwaltungscluster mit dem Namen id-mgmt-test
verwendet.
tanzu mc kubeconfig get id-mgmt-test --admin
Wenn Ihr Verwaltungscluster den Namen id-mgmt-test
hat, sollte die folgende Bestätigung angezeigt werden: Credentials of workload cluster 'id-mgmt-test' have been saved. You can now access the cluster by running 'kubectl config use-context id-mgmt-test-admin@id-mgmt-test'
. Der admin
-Kontext eines Clusters bietet Ihnen vollständigen Zugriff auf den Cluster, ohne dass eine Authentifizierung bei Ihrem IDP erforderlich ist.
Legen Sie kubectl
auf den admin
-Kontext des Verwaltungsclusters fest:
kubectl config use-context id-mgmt-test-admin@id-mgmt-test
Tanzu Kubernetes Grid verwendet Pinniped zur Integration von Clustern in OIDC- und LDAP-Identitätsanbieter. Wenn Sie die Identitätsverwaltung aktivieren, erstellt Tanzu Kubernetes Grid den Dienst pinniped-supervisor
im pinniped-supervisor
-Namespace und pinniped-concierge
im pinniped-concierge
-Namespace. Führen Sie die folgenden Schritte aus, um den Status des Pinniped-Diensts zu überprüfen, und notieren Sie sich die Adresse EXTERNAL-IP
, unter der der Dienst verfügbar ist.
Ruft Informationen zu den Diensten ab, die im Verwaltungscluster ausgeführt werden. Der Identitätsverwaltungsdienst wird im pinniped-supervisor
-Namespace ausgeführt:
kubectl get services -n pinniped-supervisor
Ihnen wird der folgende Eintrag in der Ausgabe angezeigt:
vSphere mit NSX Advanced Load Balancer (ALB):
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/pinniped-supervisor LoadBalancer 100.70.70.12 20.52.230.18 5556:31234/TCP 84m
Amazon Web Services (AWS):
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/pinniped-supervisor LoadBalancer 100.69.13.66 ab1[...]71.eu-west-1.elb.amazonaws.com 443:30865/TCP 56m
Azure:
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/pinniped-supervisor LoadBalancer 100.69.169.220 20.54.226.44 443:30451/TCP 84m
vSphere ohne NSX ALB:
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/pinniped-supervisor NodePort 100.70.70.12 <none> 5556:31234/TCP 84m
Beachten Sie die folgenden Informationen:
pinniped-supervisor
-Diensts, wie unter EXTERNAL-IP
aufgeführt.pinniped-supervisor
-Dienst ausgeführt wird. Im obigen Beispiel ist dieser Port 31234
.Stellen Sie sicher, dass alle Dienste im Verwaltungscluster ausgeführt werden.
kubectl get pods -A
Es kann einige Minuten dauern, bis der Pinniped-Dienst ausgeführt wird. In AWS- und Azure-Bereitstellungen muss der Dienst beispielsweise warten, bis die IP-Adressen des LoadBalancer
bereit sind. Warten Sie, bis pinniped-post-deploy-job
abgeschlossen ist, bevor Sie mit den nächsten Schritten fortfahren.
NAMESPACE NAME READY STATUS RESTARTS AGE
[...]
pinniped-supervisor pinniped-post-deploy-job-hq8fc 0/1 Completed 0 85m
HinweisSie können
kubectl get pods
ausführen, da Sie denadmin
-Kontext für den Verwaltungscluster verwenden. Benutzer, die versuchen, eine Verbindung mit dem Verwaltungscluster mit dem regulären Kontext herzustellen, können nicht auf dessen Ressourcen zugreifen, da sie noch nicht dazu berechtigt sind.
Tanzu Kubernetes Grid verwendet Pinniped zur Integration von Clustern in einen LDAP-Identitätsdienst, um den Dienst-Endpoint freizugeben. Wenn Sie LDAP aktivieren, erstellt Tanzu Kubernetes Grid den Dienst pinniped-supervisor
im Namespace pinniped-supervisor
und den Dienst pinniped-concierge
im Namespace pinniped-concierge
.
Stellen Sie sicher, dass alle Dienste im Verwaltungscluster ausgeführt werden:
kubectl get services -A
Es kann einige Minuten dauern, bis der Pinniped-Dienst ausgeführt wird. In AWS- und Azure-Bereitstellungen muss der Dienst beispielsweise warten, bis die IP-Adressen des LoadBalancer
bereit sind. Warten Sie, bis pinniped-post-deploy-job
abgeschlossen ist, bevor Sie mit den nächsten Schritten fortfahren.
NAMESPACE NAME READY STATUS RESTARTS AGE
[...]
pinniped-supervisor pinniped-post-deploy-job-hq8fc 0/1 Completed 0 85m
HinweisSie können
kubectl get pods
ausführen, da Sie denadmin
-Kontext für den Verwaltungscluster verwenden. Benutzer, die versuchen, eine Verbindung mit dem Verwaltungscluster mit dem regulären Kontext herzustellen, können nicht auf dessen Ressourcen zugreifen, da sie noch nicht dazu berechtigt sind.
Wenn Sie den Verwaltungscluster für die Verwendung der OIDC-Authentifizierung konfiguriert haben, müssen Sie Ihrem OIDC-Identitätsanbieter den Callback-URI für diesen Verwaltungscluster zur Verfügung stellen. Wenn Sie beispielsweise OIDC verwenden und Ihr IDP Okta ist, führen Sie die folgenden Schritte aus:
Aktualisieren Sie unter „Anmelden (Login)“ die Umleitungs-URIs für die Anmeldung (Login redirect URIs), um die Adresse des Knotens aufzunehmen, in dem der pinniped-supervisor
ausgeführt wird:
vSphere mit NSX ALB, AWS und Azure: Fügen Sie die externe IP-Adresse und die Portnummer des pinniped-supervisor
-Diensts hinzu, die Sie im vorherigen Verfahren notiert haben:
https://EXTERNAL-IP/callback
vSphere ohne NSX ALB: Fügen Sie die IP-Adresse, die Sie als API-Endpoint festgelegt haben, und die pinniped-supervisor
-Portnummer, die Sie im vorherigen Verfahren notiert haben, hinzu:
https://API-ENDPOINT-IP:31234/callback
In allen Fällen müssen Sie https
und nicht http
angeben.
Wenn Sie planen, standardmäßige, nicht administrative kubeconfig
-Dateien für den Zugriff auf den Verwaltungscluster zu verwenden, konfigurieren Sie nach Abschluss der Konfiguration der Identitätsverwaltung RBAC mithilfe der Anweisungen im Abschnitt Konfigurieren von RBAC für einen Verwaltungscluster.
In diesem Abschnitt wird erläutert, wie Sie die Identitätsverwaltung in einer vorhandenen Bereitstellung aktivieren und konfigurieren können.
Befolgen Sie die Anweisungen im Abschnitt Abrufen der Details Ihres Identitätsanbieters oben.
Mit diesem Verfahren werden das Pinniped-Add-on konfiguriert und die Authentifizierungskomponenten in Ihrem Verwaltungscluster bereitgestellt. So generieren Sie einen geheimen Kubernetes-Schlüssel für das Pinniped-Add-on:
Legen Sie den Kontext von kubectl
auf Ihren Verwaltungscluster fest. Beispielsweise mit einem Verwaltungscluster mit dem Namen id-mgmt-test
:
kubectl config use-context id-mgmt-test-admin@id-mgmt-test
Erstellen Sie eine Clusterkonfigurationsdatei, indem Sie die Konfigurationseinstellungen, die Sie bei der Bereitstellung Ihres Verwaltungsclusters definiert haben, in eine neue Datei kopieren. Fügen Sie der Konfigurationsdatei des Verwaltungsclusters die folgenden Einstellungen hinzu, einschließlich der Details zum OIDC- oder LDAP-Identitätsanbieter:
HinweisSie müssen diese Variablen nur für Verwaltungscluster festlegen.
# Identity management type. This must be "oidc" or "ldap".
IDENTITY_MANAGEMENT_TYPE:
# Explicitly set the namespace, which for management clusters is "tkg-system".
NAMESPACE: tkg-system
# Set these variables if you want to configure OIDC.
OIDC_IDENTITY_PROVIDER_CLIENT_ID:
OIDC_IDENTITY_PROVIDER_CLIENT_SECRET:
OIDC_IDENTITY_PROVIDER_GROUPS_CLAIM:
OIDC_IDENTITY_PROVIDER_ISSUER_URL:
OIDC_IDENTITY_PROVIDER_SCOPES: "email,profile,groups,offline_access"
OIDC_IDENTITY_PROVIDER_USERNAME_CLAIM:
# Set these variables if you want to configure LDAP.
LDAP_BIND_DN:
LDAP_BIND_PASSWORD:
LDAP_GROUP_SEARCH_BASE_DN:
LDAP_GROUP_SEARCH_FILTER:
LDAP_GROUP_SEARCH_NAME_ATTRIBUTE: dn
LDAP_GROUP_SEARCH_USER_ATTRIBUTE: dn
LDAP_HOST:
LDAP_ROOT_CA_DATA_B64:
LDAP_USER_SEARCH_BASE_DN:
LDAP_USER_SEARCH_FILTER:
LDAP_USER_SEARCH_ID_ATTRIBUTE: dn
LDAP_USER_SEARCH_NAME_ATTRIBUTE:
# Set these variables if you want to configure certificate duration
CERT_DURATION: 2160h
CERT_RENEW_BEFORE: 360h
Um festzustellen, welche dieser Variablen optional sind und ausgelassen werden können, wechseln Sie zu Variablen für die Konfiguration von Identitätsanbietern – OIDC und Variablen für die Konfiguration von Identitätsanbietern – LDAP.
Wenn sich Ihr Verwaltungscluster hinter einem Proxy befindet, müssen Sie sicherstellen, dass die neue Konfigurationsdatei die Details Ihrer Proxy-Konfiguration enthält:
TKG_HTTP_PROXY:
TKG_HTTPS_PROXY:
TKG_NO_PROXY:
Weitere Informationen zu diesen Variablen finden Sie unter Proxy-Konfiguration.
vSphere: Ändern Sie die Konfigurationseinstellung VSPHERE_CONTROL_PLANE_ENDPOINT
als Dummy-Wert zum Bestehen interner Prüfungen in eine nicht verwendete IP-Adresse.
Stellen Sie sicher, dass in Ihrer lokalen Umgebung IDENTITY_MANAGEMENT_TYPE
entweder auf oidc
oder ldap
und nicht auf none
gesetzt wurde:
echo $IDENTITY_MANAGEMENT_TYPE
Wenn diese Variable auf none
festgelegt ist, führen Sie einen export
-Befehl aus, um sie wieder auf oidc
oder ldap
festzulegen.
Legen Sie die Umgebungsvariable FILTER_BY_ADDON_TYPE
auf authentication/pinniped
fest, damit tanzu management-cluster create
nur für Objekte im Zusammenhang mit Pinniped funktioniert:
export FILTER_BY_ADDON_TYPE="authentication/pinniped"
Generieren Sie einen geheimen Schlüssel für das Pinniped-Add-on:
tanzu management-cluster create CLUSTER-NAME --dry-run -f CLUSTER-CONFIG-FILE > CLUSTER-NAME-example-secret.yaml
Dabei gilt:
CLUSTER-NAME
ist der Name Ihres Zielverwaltungsclusters.CLUSTER-CONFIG-FILE
ist die oben erstellte Konfigurationsdatei.Die Einstellungen der Umgebungsvariablen führen dazu, dass tanzu management-cluster create --dry-run
einen geheimen Kubernetes-Schlüssel und kein vollständiges Cluster-Manifest generiert.
Überprüfen Sie den geheimen Schlüssel und wenden Sie ihn dann auf den Verwaltungscluster an. Beispiel:
kubectl apply -f CLUSTER-NAME-example-secret.yaml
Überprüfen Sie nach dem Anwenden des geheimen Schlüssels den Status des Pinniped-Add-ons, indem Sie den Befehl kubectl get app
ausführen:
$ kubectl get app CLUSTER-NAME-pinniped -n tkg-system
NAME DESCRIPTION SINCE-DEPLOY AGE
pinniped Reconcile succeeded 3m23s 7h50m
Wenn der zurückgegebene Status Reconcile failed
lautet, führen Sie den folgenden Befehl aus, um Details zu dem Fehler abzurufen:
kubectl get app CLUSTER-NAME-pinniped -n tkg-system -o yaml
Befolgen Sie oben die Anweisungen unter Abschließen der Konfiguration der Identitätsverwaltung.
Alle Arbeitslastcluster, die Sie erstellen, wenn Sie die Identitätsverwaltung im Verwaltungscluster aktivieren, werden automatisch so konfiguriert, dass sie denselben Identitätsverwaltungsdienst verwenden.
Wenn es sich bei Ihrer Bootstrap-Maschine um eine Jumpbox oder einen anderen Computer ohne Display handelt, können Sie sich über einen Browser, der auf Ihrem lokalen Computer ausgeführt wird, bei einem Cluster authentifizieren. Wie Sie dabei vorgehen, hängt von der Pinniped-Version des Clusters ab, die aus dem Tanzu Kubernetes-Release stammt, auf dem der Cluster basiert:
Cluster-TKr-Version | Authentifizierungsvorgang ohne Browser |
---|---|
TKr v1.23.10 (standardmäßig für Tanzu Kubernetes Grid v1.6.1) oder höher | Befolgen Sie die nachstehenden Anweisungen. |
Cluster, die auf älteren TKrs basieren oder von älteren Versionen von Tanzu Kubernetes Grid erstellt wurden | Führen Sie das Verfahren unter Authentifizieren von Benutzern auf einem Computer ohne Browser in der Dokumentation zu Tanzu Kubernetes Grid v1.4 aus. |
HinweisTanzu Kubernetes Grid v2.3 unterstützt keine browserlose CLI-Anmeldung basierend auf nicht interaktiven Konten oder Kennworterteilungen.
Führen Sie in einem Terminalfenster auf Ihrem lokalen Computer ssh
aus, um sich remote bei Ihrer Bootstrap-Maschine anzumelden.
Legen Sie die Umgebungsvariable TANZU_CLI_PINNIPED_AUTH_LOGIN_SKIP_BROWSER=true
fest. Dadurch wird die Option --skip-browser
zu kubeconfig
für den Cluster hinzugefügt.
# Linux
export TANZU_CLI_PINNIPED_AUTH_LOGIN_SKIP_BROWSER=true
# Windows
set TANZU_CLI_PINNIPED_AUTH_LOGIN_SKIP_BROWSER=true
Exportieren Sie die Standard-kubeconfig
für den Cluster in eine lokale Datei. Beachten Sie, dass der Befehl die Option --admin
nicht enthält. Daher handelt es sich bei der exportierten kubeconfig
um die Standard-kubeconfig
und nicht um die admin
-Version. So können Sie beispielsweise die kubeconfig
-Datei in /tmp/my-cluster-kubeconfig
exportieren:
Führen Sie für einen Verwaltungscluster Folgendes aus:
tanzu mc kubeconfig get --export-file /tmp/my-cluster-kubeconfig
Ihnen sollte die folgende Bestätigungsmeldung angezeigt werden: You can now access the cluster by specifying '--kubeconfig /tmp/my-mgmt-cluster-kubeconfig' flag when using 'kubectl' command
.
Führen Sie für einen Arbeitslastcluster Folgendes aus:
tanzu cluster kubeconfig get my-cluster --export-file /tmp/my-cluster-kubeconfig
Stellen Sie mithilfe der neu erstellten kubeconfig
-Datei eine Verbindung zum Cluster her:
kubectl get pods -A --kubeconfig /tmp/my-cluster-kubeconfig
Die CLI gibt einen Anmeldelink für Ihren Identitätsanbieter aus. Beispiel:
Log in by visiting this link:
https://10.180.105.166:31234/oauth2/authorize?access_type=offline&client_id=pinniped-cli&code_challenge=-aJ617vJZXZeEnHPab1V2_VHPmc5VwspFig5QQKyTwg&code_challenge_method=S256&nonce=cafaf8f4d2cb714ef8fb3320c1b088ba&redirect_uri=http%3A%2F%2F127.0.0.1%3A33087%2Fcallback&response_mode=form_post&response_type=code&scope=offline_access+openid+pinniped%3Arequest-audience&state=fff3d4d46b36359d5ba2f24fad471dd8
Optionally, paste your authorization code:
Kopieren Sie den Link und fügen Sie ihn in einen Browser auf Ihrem lokalen Computer ein.
Melden Sie sich im Browser bei Ihrem Identitätsanbieter an. Es wird eine Seite angezeigt, auf der Sie aufgefordert werden, einen Autorisierungscode in die CLI einzufügen:
Kopieren Sie den Autorisierungscode und fügen Sie ihn in die CLI ein, nachdem Sie die Eingabeaufforderung Optionally, paste your authorization code:
erhalten haben.
Stellen Sie mithilfe derselben kubeconfig
-Datei, die Sie zuvor verwendet haben, erneut eine Verbindung zum Cluster her:
kubectl get pods -A --kubeconfig FILE-PATH
Wenn Sie bereits eine Rollenbindung im Cluster für den authentifizierten Benutzer konfiguriert haben, werden in der Ausgabe die Pod-Informationen angezeigt.
Wenn Sie keine Rollenbindung im Cluster konfiguriert haben, wird eine Meldung angezeigt, die besagt, dass dem Benutzerkonto der Zugriff auf die Pods verweigert wird: Error from server (Forbidden): pods is forbidden: User "[email protected]" cannot list resource "pods" in API group "" at the cluster scope
. Dies geschieht, weil der Benutzer erfolgreich authentifiziert wurde, aber noch nicht berechtigt ist, auf Ressourcen im Cluster zuzugreifen. Um den Benutzer für den Zugriff auf die Clusterressourcen zu autorisieren, müssen Sie RBAC im Cluster konfigurieren, indem Sie eine Clusterrollenbindung erstellen:
So deaktivieren Sie die Identitätsverwaltung in einer vorhandenen Bereitstellung, in der die Identitätsverwaltung aktiviert ist:
Legen Sie den Kontext von kubectl
auf Ihren Verwaltungscluster fest. Beispielsweise mit einem Verwaltungscluster mit dem Namen id-mgmt-test
:
kubectl config use-context id-mgmt-test-admin@id-mgmt-test
Rufen Sie die Konfigurationsdatei des Verwaltungsclusters ab und bearbeiten Sie sie, um IDENTITY_MANAGEMENT_TYPE: none
festzulegen.
Generieren Sie eine Pinniped-Secret-Definition, indem Sie tanzu management-cluster create
mit --dry-run
ausführen und nach Objekten im Zusammenhang mit Pinniped filtern.
FILTER_BY_ADDON_TYPE=authentication/pinniped tanzu management-cluster create --dry-run CLUSTER-CONFIG > PINNIPED-SECRET
Dabei ist CLUSTER-CONFIG
die Clusterkonfigurationsdatei und PINNIPED-SECRET
die Definition des generierten geheimen Pinniped-Schlüssels (Secret
), wie z. B. mc-no-idp.yaml
.
Wenden Sie den neuen geheimen Schlüssel an, um Pinniped auf dem Verwaltungscluster zu deaktivieren:
kubectl apply -f PINNIPED-SECRET
Nachdem Sie Pinniped auf dem Verwaltungscluster deaktiviert haben, werden seine klassenbasierten Cluster automatisch deaktiviert. Sie müssen jedoch die zugehörigen Legacy-Cluster manuell deaktivieren:
Listet alle geheimen Pinniped-Schlüssel auf, die im Kontext des Verwaltungsclusters verbleiben:
kubectl get secret -A | grep pinniped-addon
Untersuchen Sie die geheimen Schlüssel in der kubectl get secret
-Ausgabe, sofern vorhanden, mit dem aufgelisteten geheimen Namen und Namespace:
kubectl get secret SECRET-NAME -n SECRET-NAMESPACE -o yaml
Löschen Sie geheime Schlüssel, die eines der folgenden Elemente enthalten:
type: tkg.tanzu.vmware.com/addon
– dies sind geheime Schlüssel für Legacy-Clusterkubectl delete secret SECRET-NAME
Dabei ist SECRET-NAME
der Wert von metadata.name
, der in der Secret
-Spezifikation festgelegt wurde.
Wenn Sie beabsichtigen, standardmäßige, nicht administrative kubeconfig
-Dateien zu verwenden, um Benutzern Zugriff auf Ihre Verwaltungs- und Arbeitslastcluster zu gewähren, müssen Sie die RBAC-Autorisierung konfigurieren: