In den Themen in diesem Abschnitt wird erläutert, wie Sie die Identitäts- und Zugriffsverwaltung in Tanzu Kubernetes Grid (TKG) mit einem eigenständigen Verwaltungscluster konfigurieren können.
Informationen zur Aktivierung und Konfiguration der Identitäts- und Zugriffsverwaltung finden Sie unter den unten verlinkten Themen:
Tanzu Kubernetes Grid (TKG) verwendet Pinniped, um die Authentifizierung und Autorisierung für die Identitäts- und Zugriffsverwaltung zu implementieren.
Tanzu Kubernetes Grid implementiert die Benutzerauthentifizierung mit Pinniped, einem Open Source-Authentifizierungsdienst für Kubernetes-Cluster. Mit Pinniped können Sie externe OpenID Connect (OIDC)- oder LDAP-Identitätsanbieter (IdP) mit Arbeitslastclustern verbinden, sodass Sie den Benutzerzugriff auf diese Cluster steuern können. Pinniped wird automatisch als clusterinterner Dienst in Ihren Verwaltungsclustern ausgeführt, wenn Sie die Identitätsverwaltung aktivieren. Anweisungen zum Aktivieren der Identitätsverwaltung in Tanzu Kubernetes Grid finden Sie unter Konfiguration der Identitätsverwaltung.
Der Authentifizierungsablauf zwischen dem Verwaltungs- und dem Arbeitslastcluster umfasst Folgendes:
kubeconfig
für den Arbeitslastcluster zur Verfügung.kubeconfig
, um eine Verbindung zum Arbeitslastcluster herzustellen, z. B. durch Ausführen von kubectl get pods --kubeconfig
.kubectl get pods
-Anforderung, je nach den Berechtigungen der Benutzerrolle.In der folgenden Abbildung stellen die blauen Pfeile den Authentifizierungsfluss zwischen dem Arbeitslastcluster, dem Verwaltungscluster und dem externen Identitätsanbieter dar. Die grünen Pfeile stellen Tanzu CLI- und kubectl
-Datenverkehr zwischen dem Arbeitslastcluster, dem Verwaltungscluster und dem externen Identitätsanbieter dar.
Das folgende Diagramm zeigt die Komponenten der Identitätsverwaltung, die Tanzu Kubernetes Grid im Verwaltungscluster und in Arbeitslastclustern bereitstellt, wenn Sie die Identitätsverwaltung aktivieren.
Grundlegendes zum Diagramm:
Die blaugrünen Rechtecke zeigen die Komponenten der Identitätsverwaltung, zu denen Pinniped und ein Auftrag nach der Bereitstellung im Verwaltungscluster sowie Pinniped und ein Auftrag nach der Bereitstellung im Arbeitslastcluster gehören.
Die dunkelblauen Rechtecke zeigen die Komponenten, die Tanzu Kubernetes Grid verwendet, um den Lebenszyklus der Komponenten für die Identitätsverwaltung zu steuern, darunter tanzu-addons-manager
und kapp-controller
.
Das hellgrüne Rechteck zeigt den für den Verwaltungscluster erstellten geheimen Pinniped-Add-On-Schlüssel an.
Das orangefarbene Rechteck im Verwaltungscluster zeigt den geheimen Pinniped-Add-On-Schlüssel an, der für den Arbeitslastcluster erstellt wurde. Der geheime Schlüssel wird im Arbeitslastcluster gespiegelt.
Intern stellt Tanzu Kubernetes Grid die Komponenten der Identitätsverwaltung als automatisch verwaltetes Paket pinniped
bereit. Dieses Paket enthält das Add-on pinniped
. Wenn Sie einen Verwaltungscluster bereitstellen, bei dem die Identitätsverwaltung aktiviert ist, oder ihn als Schritt nach der Bereitstellung aktivieren, erstellt die Tanzu CLI einen geheimen Kubernetes-Schlüssel für das pinniped
-Add-on im Verwaltungscluster. tanzu-addons-manager
liest den geheimen Schlüssel, der die Konfigurationsinformationen Ihres Identitätsanbieters enthält, und weist kapp-controller
an, das pinniped
-Add-on mithilfe der Konfigurationsinformationen aus dem geheimen Schlüssel zu konfigurieren.
Die Tanzu CLI erstellt einen separaten pinniped
-Add-on-Schlüssel für jeden Arbeitslastcluster, den Sie über den Verwaltungscluster bereitstellen. Alle geheimen Schlüssel werden im Verwaltungscluster gespeichert. Weitere Informationen finden Sie unter Automatisch verwaltete Pakete.
Tanzu Kubernetes Grid nutzt die Autorisierung über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Anweisungen zum Konfigurieren von RBAC finden Sie unter Konfigurieren von RBAC.