Entwickler sind die Zielbenutzer von Kubernetes. Sobald ein Tanzu Kubernetes-Cluster bereitgestellt wurde, können Sie mittels vCenter Single Sign-On-Authentifizierung Entwicklerzugriff darauf gewähren.

Authentifizierung für Entwickler

Ein Clusteradministrator kann anderen Benutzern, z. B. Entwicklern, Clusterzugriff gewähren. Entwickler können Pods für Cluster direkt über ihre Benutzerkonten oder indirekt über Dienstkonten bereitstellen. Weitere Informationen finden Sie unter Verwenden von Pod-Sicherheitsrichtlinien mit Tanzu Kubernetes-Clustern.
  • Für die Authentifizierung über Benutzerkonten bieten Tanzu Kubernetes-Cluster Unterstützung für vCenter Single Sign-On-Benutzer und -Gruppen. Der Benutzer oder die Gruppe kann sich lokal in vCenter Server befinden oder von einem unterstützten Verzeichnisserver aus synchronisiert werden.
  • Für die Authentifizierung über Dienstkonten können Sie Diensttoken verwenden. Weitere Informationen dazu finden Sie in der Kubernetes-Dokumentation.

Hinzufügen von Entwicklern zu einem Cluster

So gewähren Sie Entwicklern Clusterzugriff:
  1. Definieren Sie ein Role- oder ClusterRole-Objekt für den Benutzer bzw. die Gruppe und wenden Sie es auf den Cluster an. Weitere Informationen dazu finden Sie in der Kubernetes-Dokumentation.
  2. Erstellen Sie ein RoleBinding- oder ClusterRoleBinding-Objekt für den Benutzer bzw. die Gruppe und wenden Sie es auf den Cluster an. Betrachten Sie das folgende Beispiel.

RoleBinding – Beispiel

Um einem vCenter Single Sign-On-Benutzer oder einer vCenter Single Sign-On-Gruppe Zugriff zu gewähren, muss im RoleBinding-Objekt unter „subjects“ einer der folgenden Werte für den Parameter name angegeben sein.
Tabelle 1. Unterstützte Felder für Benutzer und Gruppen
Feld Beschreibung
sso:USER-NAME@DOMAIN Beispielsweise ein lokaler Benutzername wie sso:joe@vsphere.local.
sso:GROUP-NAME@DOMAIN Beispielsweise ein von einem in vCenter Server integrierten Verzeichnisserver stammender Gruppenname wie sso:devs@ldap.example.com.

Im folgenden Beispiel für ein RoleBinding-Objekt wird der lokale vCenter Single Sign-On-Benutzer mit dem Namen „Joe“ an das standardmäßige ClusterRole-Objekt mit dem Namen edit gebunden. Diese Rolle ermöglicht Lese-/Schreibzugriff auf die meisten Objekte in einem Namespace. In diesem Fall ist dies der Namespace default.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:joe@vsphere.local            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io