Als vSphere-Administrator benötigen Sie Rechte zum Konfigurieren eines Supervisor-Clusters und zum Verwalten von Namespaces. Sie definieren Berechtigungen für Namespaces, um festzulegen, welche DevOps-Ingenieure auf sie zugreifen können. Als DevOps-Ingenieur authentifizieren Sie sich mithilfe Ihrer vCenter Single Sign-On-Anmeldedaten beim Supervisor-Cluster und können nur auf die Namespaces zugreifen, für die Sie über Berechtigungen verfügen.

Berechtigungen für vSphere-Administratoren

Als vSphere-Administrator benötigen Sie Berechtigungen für vSphere-Cluster, um diese als Supervisor-Cluster zu konfigurieren und um Namespaces zu erstellen und zu verwalten. Sie müssen über mindestens eines der folgenden Rechte verfügen, die Ihrem Benutzerkonto in einem vSphere-Cluster zugeordnet sind:

  • Namespace-Konfiguration ändern. Ermöglicht es Ihnen, Namespaces in einem Supervisor-Cluster zu erstellen und zu konfigurieren.
  • Clusterweite Konfiguration ändern. Ermöglicht es Ihnen, einen vSphere-Cluster als Supervisor-Cluster zu konfigurieren.

Einstellen von Berechtigungen für DevOps-Ingenieure

Als vSphere-Administrator gewähren Sie Benutzerkonten auf Namespace-Ebene Anzeige-, Bearbeitungs- oder Besitzerberechtigungen. Die Benutzerkonten müssen in einer Identitätsquelle verfügbar sein, die mit vCenter Single Sign-On verbunden ist. Ein Benutzerkonto kann auf mehrere Namespaces zugreifen. Benutzer, die Mitglieder der Administratorengruppen sind, haben Zugriff auf alle Namespaces auf dem Supervisor-Cluster.

Nachdem Sie einen Namespace mit Berechtigungen, Ressourcenkontingenten und Speicher konfiguriert haben, stellen Sie die URL der Kubernetes-Steuerungsebene den DevOps-Ingenieuren zur Verfügung, die sich damit bei der Steuerungsebene anmelden können. Sobald sie angemeldet sind, können DevOps-Ingenieure auf alle Namespaces, für die sie über Berechtigungen verfügen, in allen zu einem vCenter Server-System gehörenden Supervisor-Cluster zugreifen. Wenn sich vCenter Server-Systeme im erweiterten verknüpften Modus befinden, können DevOps-Ingenieure auf alle Namespaces, für die sie über Berechtigungen verfügen, in allen in der Gruppe „Verknüpfter Modus“ verfügbaren Supervisor-Cluster zugreifen. Die IP-Adresse der Kubernetes-Steuerungsebene ist eine virtuelle IP-Adresse, die von NSX-T oder von einem Lastausgleichsdienst zusammen mit dem VDS-Netzwerk-Stack generiert wird und als Zugriffspunkt auf die Kubernetes-Steuerungsebene dient.

DevOps-Ingenieure mit Besitzerberechtigungen können Arbeitslasten bereitstellen. Sie können den Namespace für andere DevOps-Ingenieure oder -Gruppen freigeben und ihn löschen, wenn er nicht mehr benötigt wird. Wenn DevOps-Ingenieure den Namespace gemeinsam nutzen, können sie anderen DevOps-Ingenieuren und -Gruppen Anzeige-, Bearbeitungs- oder Besitzerberechtigungen zuweisen.

Authentifizierung beim Supervisor-Cluster

Als DevOps-Ingenieur verwenden Sie das Kubernetes-CLI-Tools für vSphere, um sich mit Ihren vCenter Single Sign-On-Anmeldedaten und der IP-Adresse der Kubernetes-Steuerungsebene beim Supervisor-Cluster zu authentifizieren. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit dem Supervisor-Cluster als vCenter Single Sign-On-Benutzer.

Wenn Sie sich beim Supervisor-Cluster anmelden, leitet ein Authentifizierungs-Proxy die Anforderung an vCenter Single Sign-On weiter. Das vSphere kubectl-Plug-In richtet eine Sitzung mit vCenter Server ein und erhält ein Authentifizierungstoken von vCenter Single Sign-On. Es ruft auch eine Liste der Namespaces ab, auf die Sie Zugriff haben, und füllt die Konfiguration mit diesen Namespaces auf. Die Liste der Namespaces wird bei der nächsten Anmeldung aktualisiert, wenn Änderungen an den Berechtigungen Ihres Benutzerkontos vorgenommen wurden.

Das Konto, mit dem Sie sich beim Supervisor-Cluster anmelden, bietet Ihnen nur Zugriff auf die Namespaces, die Ihnen zugewiesen sind. Sie können sich nicht bei einem vCenter Server mit diesem Konto anmelden. Um sich bei vCenter Server anmelden zu können, benötigen Sie explizite Berechtigungen.
Hinweis: Die Sitzung mit kubectl dauert 10 Stunden. Nach Ablauf der Sitzung müssen Sie sich erneut beim Supervisor-Cluster authentifizieren. Bei der Abmeldung wird das Token aus der Konfigurationsdatei Ihres Benutzerkontos gelöscht. Es bleibt aber bis zum Ende der Sitzung gültig.

Authentifizierung bei Tanzu Kubernetes-Clustern

Tanzu Kubernetes-Clusterbenutzer, einschließlich DevOps-Ingenieuren, Entwicklern und Administratoren, können sich auf verschiedene Arten bei einem Cluster authentifizieren. Weitere Informationen finden Sie unter Authentifizieren bei Tanzu Kubernetes-Clustern.

Hinweis: Tanzu Kubernetes-Cluster erfordern, dass Benutzer- und Systemkonten über eine Pod-Sicherheitsrichtlinie zum Bereitstellen von Pods und Ressourcen für einen Cluster verfügen. Weitere Informationen finden Sie unter Verwenden von Pod-Sicherheitsrichtlinien mit Tanzu Kubernetes-Clustern.