Als vSphere-Administrator benötigen Sie Rechte zum Konfigurieren eines Supervisors und zum Verwalten von vSphere-Namespaces. Sie definieren Berechtigungen für Namespaces, um festzulegen, welche DevOps-Ingenieure und Entwickler auf sie zugreifen können. Sie können den Supervisor auch mit einem externen OIDC-Anbieter (OpenID Connect) konfigurieren, um die Multifaktor-Authentifizierung zu aktivieren. Als DevOps-Ingenieur oder Entwickler authentifizieren Sie sich beim Supervisor, indem Sie entweder Ihre vCenter Single Sign-On-Anmeldedaten oder die Anmeldedaten eines OIDC-Anbieters verwenden, je nachdem, was Ihr vSphere-Administrator für Sie auf dem Supervisor konfiguriert hat. Sie können nur auf die vSphere-Namespaces zugreifen, für die Sie über Berechtigungen verfügen.

Unterstützte Identitätsanbieter

vSphere IaaS control plane unterstützt folgende Identitätsanbieter:

  • vCenter Single Sign-On. Der Standardidentitätsanbieter, den Sie zur Authentifizierung bei der vSphere IaaS control plane-Umgebung verwenden, einschließlich Supervisoren und Tanzu Kubernetes Grid-Clustern. vCenter Single Sign-On bietet Authentifizierung für die vSphere-Infrastruktur und kann in AD/LDAP-Systeme integriert werden. Weitere Informationen zu vCenter Single Sign-On finden Sie unter vSphere-Authentifizierung mit vCenter Single Sign-On.
  • Externer Identitätsanbieter. Als vSphere-Administrator können Sie einen Supervisor mit einem externen Identitätsanbieter konfigurieren, der das OpenID Connect-Protokoll unterstützt. Nach der Konfiguration mit einem externen Identitätsanbieter fungiert der Supervisor als OAuth 2.0-Client und verwendet den Authentifizierungsdienst Pinniped, um mithilfe der Tanzu-CLI eine Verbindung zu Tanzu Kubernetes Grid-Clustern herzustellen. Die Tanzu-CLI unterstützt die Bereitstellung und Verwaltung des Lebenszyklus von Tanzu Kubernetes Grid-Clustern. Die Supervisor-Instanz kann einen externen Identitätsanbieter unterstützen.

Authentifizierung beim Supervisor

Die verschiedenen Rollen, die mit dem vSphere IaaS control plane interagieren, können sich mit den folgenden Methoden beim Supervisor authentifizieren:

  • vSphere-Administrator. Als vSphere-Administrator verwenden Sie vCenter Single Sign-On, um sich über die vSphere Client bei vSphere zu authentifizieren. Sie können sich auch mit dem vSphere-Plug-In für kubectl beim Supervisor authentifizieren und Cluster über kubectl Tanzu Kubernetes Grid. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem Supervisor als vCenter Single Sign-On-Benutzer.
  • DevOps-Ingenieur oder -Entwickler. Als DevOps-Ingenieur oder -Entwickler verwenden Sie vCenter Single Sign-On, um sich über die vSphere-Plug-In für kubectl und kubectl beim Supervisor zu authentifizieren. Sie können auch eine Verbindung zum Supervisor herstellen, indem Sie Anmeldedaten von den externen Identitätsanbieter verwenden, der beim Supervisor konfiguriert ist. Weitere Informationen finden Sie unter Verbindung zu TKG-Clustern auf dem Supervisor über einen externen Identitätsanbieter.

Anmeldesitzungen mit dem Supervisor

Wenn Sie sich beim Supervisor als vCenter Single Sign-On-Benutzer anmelden, leitet ein Authentifizierungs-Proxy die Anforderung an vCenter Single Sign-On weiter. Das vSphere-Plug-In für kubectl richtet eine Sitzung mit vCenter Server ein und erhält ein Authentifizierungstoken von vCenter Single Sign-On. Es ruft auch eine Liste der vSphere-Namespaces ab, auf die Sie Zugriff haben, und füllt die Konfiguration mit diesen vSphere-Namespaces auf. Die Liste der vSphere-Namespaces wird bei der nächsten Anmeldung aktualisiert, wenn Änderungen an den Berechtigungen Ihres Benutzerkontos vorgenommen wurden.

Das Konto, mit dem Sie sich beim Supervisor anmelden, bietet Ihnen nur Zugriff auf die vSphere-Namespaces, die Ihnen zugewiesen sind. Um sich bei vCenter Server anzumelden, muss Ihr vSphere-Administrator die entsprechenden Berechtigungen für Ihr Konto bei einem oder mehr vSphere-Namespaces festlegen.
Hinweis: Die Sitzung mit kubectl dauert 10 Stunden. Nach Ablauf der Sitzung müssen Sie sich erneut beim Supervisor authentifizieren. Bei der Abmeldung wird das Token aus der Konfigurationsdatei Ihres Benutzerkontos gelöscht. Es bleibt aber bis zum Ende der Sitzung gültig.

Authentifizierung bei Tanzu Kubernetes Grid-Clustern

Als DevOps-Ingenieur oder Entwickler stellen Sie auch eine Verbindung zu bereitgestellten Tanzu Kubernetes Grid-Clustern her, um sie zu betreiben und zu verwalten. Wenn Ihrem Benutzerkonto eine Bearbeitungs- oder Besitzerberechtigung für den vSphere-Namespace erteilt wird, in dem der Tanzu Kubernetes Grid-Cluster bereitgestellt wird, wird Ihr Konto der Rolle cluster-admin zugewiesen. Alternativ können Sie auch den Benutzertyp kubernetes-admin verwenden, um eine Verbindung zu Tanzu Kubernetes Grid aufzubauen. Außerdem haben Sie die Möglichkeit, Entwicklern Zugriff auf Tanzu Kubernetes Grid-Cluster zu gewähren, indem Sie einen Benutzer oder eine Gruppe an die standardmäßige oder benutzerdefinierte Pod-Sicherheitsrichtlinie binden. Weitere Informationen finden Sie unter Verbindung zu TKG-Clustern auf dem Supervisor mit vCenter SSO-Authentifizierung and Verbindung zu TKG-Clustern auf dem Supervisor mit einem externen Identitätsanbieter.

vSphere-NamespacesRollenberechtigungen

Als vSphere-Administrator erteilen Sie DevOps-Ingenieuren oder -Entwicklern Ansichts-, Bearbeitungs- oder Besitzerberechtigungen für vSphere-Namespaces. Ihre Benutzer oder Gruppen müssen in vCenter Single Sign-On oder in einem externen Identitätsanbieter verfügbar sein, der mit dem Supervisor konfiguriert ist. Ein Benutzer oder eine Gruppe können auf mehrere vSphere-Namespaces zugreifen. Jede vSphere-Namespace-Rolle ermöglicht die folgenden Aktionen:

Rolle Beschreibung
Kann ansehen Schreibgeschützter Zugriff für den Benutzer oder die Gruppe. Der Benutzer oder die Gruppe kann sich bei der Supervisor-Steuerungsebene anmelden und die Arbeitslasten, die in der vSphere-Namespace ausgeführt werden, wie z. B. vSphere-Pods- und Tanzu Kubernetes Grid-Cluster und VMs, auflisten.
Kann bearbeiten Der Benutzer oder die Gruppe kann vSphere-Pods, Tanzu Kubernetes Grid Cluster und VMs erstellen, lesen, aktualisieren und löschen. Benutzer, die Teil der Administratorengruppe sind, verfügen über Bearbeitungsberechtigungen für alle Namespaces im Supervisor.
Besitzer Benutzer oder Gruppen mit Besitzerberechtigungen können:
  • Stellen Sie Arbeitslasten im vSphere-Namespace bereit und verwalten Sie sie.
  • vSphere-Namespace für andere Benutzer oder Gruppen freigeben.
  • Erstellen und löschen Sie mithilfe von kubectl zusätzliche vSphere-Namespaces. Wenn Benutzer mit Besitzerberechtigungen den Namensraum freigeben, können sie anderen Benutzern oder Gruppen Ansichts-, Bearbeitungs- oder Besitzerberechtigungen zuweisen.
Hinweis: Die Besitzerrolle wird für Benutzer unterstützt, die in vCenter Single Sign-On verfügbar sind. Sie können die Rolle „Besitzer“ nicht mit einem Benutzer / einer Gruppe eines externen Identitätsanbieters verwenden.

Informationen zum Erstellen einer vSphere-Namespaces finden Sie unter Erstellen und Konfigurieren eines vSphere-Namespace.

Nachdem Sie als vSphere-Administrator einen vSphere-Namespace mit Rollenberechtigungen, Ressourcenkontingenten und Speicher konfiguriert haben, stellen Sie die URL der Supervisor-Steuerungsebene den DevOps-Ingenieuren oder Entwicklern zur Verfügung, die sich damit bei der Steuerungsebene anmelden können. Nach der Anmeldung können DevOps-Ingenieure und Entwickler auf die vSphere-Namespaces zugreifen, für die sie über Berechtigungen verfügen, in den zu einem vCenter Server-System gehörenden Supervisorenn, die mit demselben Identitätsanbieter konfiguriert wurden. Wenn sich vCenter Server-Systeme im erweiterten verknüpften Modus befinden, können DevOps-Ingenieure auf alle vSphere-Namespaces, für die sie über Berechtigungen verfügen, in allen in der Gruppe „Verknüpfter Modus“ verfügbaren Supervisoren zugreifen. Die IP-Adresse der Supervisor-Steuerungsebene ist eine virtuelle IP-Adresse, die von NSX oder bei einem VDS-Netzwerk von einem Lastenausgleichsdienst generiert wird und als Zugriffspunkt auf die Supervisor-Steuerungsebene dient.

vSphere-Administratorberechtigungen

Als vSphere-Administrator kann Ihr Benutzerkonto in der Regel über die folgenden Berechtigungen verfügen:
Objekt Berechtigungen
Benutzer vCenter Single Sign-On Administratorengruppe
Benutzer vSphere-Namespaces Mitgliedern der Gruppe „Administratoren“ werden Bearbeitungsberechtigungen auf allen vSphere-Namespaces gewährt.
Abhängig von der Schnittstelle, die Sie für die Interaktion mit vSphere IaaS control plane verwenden, können Sie verschiedene Vorgänge mit Ihnen erteilten Berechtigungen durchführen:
Schnittstelle Vorgänge
vSphere Client Wenn Sie als Administrator bei der vSphere Client angemeldet sind, haben Sie folgende Möglichkeiten:
  • Aktivieren und Konfigurieren von Supervisoren
  • Erstellen und konfigurieren Sie vSphere-Namespaces mit Ressourcenzuteilungen und Rollenberechtigungen für DevOps-Ingenieure oder Entwickler. Rollenberechtigungen auf vSphere-Namespaces sind für Benutzer oder Gruppen erforderlich, die sich über kubectl bei der Supervisor-Steuerungsebene anmelden möchten, um Arbeitslasten verwalten zu können.
  • Bereitstellung und Verwaltung von Supervisor-Dienst auf Supervisoren
kubectl Wenn Sie bei der Supervisor-Steuerungsebene mit einem vCenter Single Sign-On Administratorkonto angemeldet sind, haben Sie folgende Möglichkeiten:
  • Ressourcen in allen vSphere-Namespaces anzeigen, einschließlich system vSphere-Namespaces (kube-system und alle vmware-system-* Namespaces)
  • Bearbeiten Sie Ressourcen in allen Nicht-System-vSphere-Namespaces, bei denen es sich um Namespaces handelt, die über die vSphere Client- oder vCenter Server-APIs erstellt wurden.

Wenn Sie jedoch bei der Supervisor-Steuerungsebene mit einem Konto, das Teil der Administratorgruppe ist, angemeldet sind, dürfen Sie keine Ressourcen auf Clusterebene bearbeiten, vSphere-Namespaces mithilfe von kubectl erstellen oder Rollenbindungen erstellen. Sie müssen das vSphere Client als primäre Schnittstelle verwenden, um Ressourcenkontingente festzulegen, vSphere-Namespaces zu erstellen und zu konfigurieren und Benutzerberechtigungen einzurichten.

DevOps-Ingenieure und Entwicklerberechtigungen

Als DevOps-Ingenieur oder -Entwickler benötigt Ihr Benutzerkonto in der Regel die folgenden Berechtigungen:
Objekt Berechtigungen
vSphere-Namespaces Bearbeiten oder Besitzer
Benutzer vCenter Single Sign-On Nicht oder nur lesen

Als DevOps-Ingenieur oder -Entwickler verwenden Sie kubectl als primäre Schnittstelle für die Interaktion mit vSphere IaaS control plane. Sie müssen sich über die vSphere-Plug-In für kubectl bei der Supervisor-Steuerungsebene anmelden können, um Arbeitslasten in der ihnen zugewiesenen vSphere-Namespaces anzuzeigen, auszuführen und zu verwalten. Aus diesem Grund benötigt Ihr Benutzerkonto Bearbeitungs- oder Besitzerberechtigungen für eine oder mehrere vSphere-Namespaces.

In der Regel müssen Sie keine administrativen Vorgänge auf Supervisoren über das vSphere Client durchführen. In bestimmten Fällen möchten Sie sich jedoch beim vSphere Client anmelden können, um die Ressourcen und Arbeitslasten im vSphere-Namespaces anzuzeigen, die Ihrem Konto zugewiesen sind. Zu diesem Zweck benötigen Sie möglicherweise Leseberechtigungen in vSphere.

vSphere-Namespaces-Rechte

vSphere-Namespaces-Berechtigungen steuern, wie Sie mit vSphere IaaS control plane interagieren. Sie können eine Berechtigung auf verschiedenen Ebenen der Hierarchie festlegen. Wenn Sie beispielsweise ein Recht auf der Ordnerebene festgelegt haben, können Sie das Recht an ein oder mehrere Objekte innerhalb des Ordners weitergeben. Die in der Required On-Spalte aufgelisteten Objekte müssen, auf direkte oder geerbte Art und Weise, über das Recht verfügen.
Rechtename im vSphere Client Beschreibung Erforderlich bei Rechtename in der API
Lässt Vorgänge zur Außerbetriebnahme von Festplatten zu Ermöglicht die Außerbetriebnahme von Datenspeichern.

Datenspeicher

Namespaces.ManageDisks
Dateien der Arbeitslastkomponente sichern Ermöglicht das Sichern der Inhalte des etcd-Clusters (wird nur in VMware Cloud on AWS verwendet).

Cluster

Namespaces.Backup
Verfügbare Namespaces auflisten Ermöglicht das Auflisten der einsehbaren vSphere-Namespaces.

Cluster

Namespaces.ListAccess
Clusterweite Konfiguration ändern

Ermöglicht das Ändern der Supervisor-Konfiguration sowie das Erstellen und Löschen von vSphere-Namespaces.

Cluster

Namespaces.ManageCapabilities
Clusterweite Namespace-Self-Service-Konfiguration ändern Ermöglicht das Ändern der vSphere-Namespace-Self-Service-Konfiguration.

Cluster

(zum Aktivieren und Deaktivieren)

Vorlagen

(zum Ändern der Konfiguration)

vCenter Server

(zum Erstellen einer Vorlage)
Namespaces.SelfServiceManage
Namespace-Konfiguration ändern

Ermöglicht das Ändern der vSphere-Namespace-Konfigurationsoptionen wie Ressourcenzuteilung, Benutzerberechtigungen und Inhaltsbibliothekszuordnungen.

Cluster

Namespaces.Manage
Clusterfunktionen umschalten Ermöglicht die Änderung des Status von Cluster-Supervisor-Funktionen (wird intern nur für VMware Cloud on AWS verwendet).

Cluster

Upgrade von Clustern auf neuere Versionen durchführen Ermöglicht die Initiierung des Supervisor-Upgrades.

Cluster

Namespaces.Upgrade

Supervisor-Dienste-Rechte

Supervisor-Dienste-Rechte bestimmen, wer Supervisor-Dienste in der vSphere IaaS control plane-Umgebung erstellen und verwalten kann.

Tabelle 1. Supervisor-Dienste-Rechte
Rechtename im vSphere Client Beschreibung Erforderlich bei Rechtename in der API
Supervisor-Dienste verwalten Ermöglicht das Erstellen, Aktualisieren oder Löschen eines Supervisor-Dienst-Diensts. Darüber hinaus können Sie einen Supervisor-Dienst auf einem Supervisor installieren und eine Supervisor-Dienst-Version erstellen oder löschen.

Cluster

SupervisorServices.Manage

Rechte für VM-Klassen

Rechte für VM-Klassen steuern, wer VM-Klassen in einem vSphere-Namespace hinzufügen und entfernen kann.

Tabelle 2. Rechte für VM-Klassen
Rechtename im vSphere Client Beschreibung Erforderlich bei Rechtename in der API
Klassen virtueller Maschinen verwalten

Ermöglicht die Verwaltung von VM-Klassen auf vSphere-Namespaces in einem Supervisor.

Cluster

VirtualMachineClasses.Manage

Speicheransichtsberechtigungen

In den Rechten für Speicheransichten können Sie Speicherrichtlinien in vCenter Server anzeigen, sodass Sie sie vSphere-Namespaces zuweisen können.

Tabelle 3. Speicheransichtsberechtigungen
Rechtename im vSphere Client Beschreibung Erforderlich bei Rechtename in der API
Dienst konfigurieren

Erlaubt berechtigten Benutzern die Verwendung aller Speicherüberwachungsdienst-APIs. Verwenden Sie Speicheransichten.Anzeigen für Rechte bezüglich schreibgeschützter Speicherüberwachungsdienst-APIs.

Root-vCenter Server

StorageViews.ConfigureService
Anzeigen

Erlaubt berechtigten Benutzern die Verwendung schreibgeschützter Speicherüberwachungsdienst-APIs.

Root-vCenter Server

StorageViews.View