Als vSphere-Administrator benötigen Sie Rechte zum Konfigurieren eines Supervisors und zum Verwalten von vSphere-Namespaces. Sie definieren Berechtigungen für Namespaces, um festzulegen, welche DevOps-Ingenieure und Entwickler auf sie zugreifen können. Sie können den Supervisor auch mit einem externen OIDC-Anbieter (OpenID Connect) konfigurieren, um die Multifaktor-Authentifizierung zu aktivieren. Als DevOps-Ingenieur oder Entwickler authentifizieren Sie sich beim Supervisor, indem Sie entweder Ihre vCenter Single Sign-On-Anmeldedaten oder die Anmeldedaten eines OIDC-Anbieters verwenden, je nachdem, was Ihr vSphere-Administrator für Sie auf dem Supervisor konfiguriert hat. Sie können nur auf die vSphere-Namespaces zugreifen, für die Sie über Berechtigungen verfügen.
Unterstützte Identitätsanbieter
vSphere IaaS control plane unterstützt folgende Identitätsanbieter:
- vCenter Single Sign-On. Der Standardidentitätsanbieter, den Sie zur Authentifizierung bei der vSphere IaaS control plane-Umgebung verwenden, einschließlich Supervisoren und Tanzu Kubernetes Grid-Clustern. vCenter Single Sign-On bietet Authentifizierung für die vSphere-Infrastruktur und kann in AD/LDAP-Systeme integriert werden. Weitere Informationen zu vCenter Single Sign-On finden Sie unter vSphere-Authentifizierung mit vCenter Single Sign-On.
- Externer Identitätsanbieter. Als vSphere-Administrator können Sie einen Supervisor mit einem externen Identitätsanbieter konfigurieren, der das OpenID Connect-Protokoll unterstützt. Nach der Konfiguration mit einem externen Identitätsanbieter fungiert der Supervisor als OAuth 2.0-Client und verwendet den Authentifizierungsdienst Pinniped, um mithilfe der Tanzu-CLI eine Verbindung zu Tanzu Kubernetes Grid-Clustern herzustellen. Die Tanzu-CLI unterstützt die Bereitstellung und Verwaltung des Lebenszyklus von Tanzu Kubernetes Grid-Clustern. Die Supervisor-Instanz kann einen externen Identitätsanbieter unterstützen.
Authentifizierung beim Supervisor
Die verschiedenen Rollen, die mit dem vSphere IaaS control plane interagieren, können sich mit den folgenden Methoden beim Supervisor authentifizieren:
- vSphere-Administrator. Als vSphere-Administrator verwenden Sie vCenter Single Sign-On, um sich über die vSphere Client bei vSphere zu authentifizieren. Sie können sich auch mit dem vSphere-Plug-In für kubectl beim Supervisor authentifizieren und Cluster über kubectl Tanzu Kubernetes Grid. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem Supervisor als vCenter Single Sign-On-Benutzer.
- DevOps-Ingenieur oder -Entwickler. Als DevOps-Ingenieur oder -Entwickler verwenden Sie vCenter Single Sign-On, um sich über die vSphere-Plug-In für kubectl und kubectl beim Supervisor zu authentifizieren. Sie können auch eine Verbindung zum Supervisor herstellen, indem Sie Anmeldedaten von den externen Identitätsanbieter verwenden, der beim Supervisor konfiguriert ist. Weitere Informationen finden Sie unter Verbindung zu TKG-Clustern auf dem Supervisor über einen externen Identitätsanbieter.
Anmeldesitzungen mit dem Supervisor
Wenn Sie sich beim Supervisor als vCenter Single Sign-On-Benutzer anmelden, leitet ein Authentifizierungs-Proxy die Anforderung an vCenter Single Sign-On weiter. Das vSphere-Plug-In für kubectl richtet eine Sitzung mit vCenter Server ein und erhält ein Authentifizierungstoken von vCenter Single Sign-On. Es ruft auch eine Liste der vSphere-Namespaces ab, auf die Sie Zugriff haben, und füllt die Konfiguration mit diesen vSphere-Namespaces auf. Die Liste der vSphere-Namespaces wird bei der nächsten Anmeldung aktualisiert, wenn Änderungen an den Berechtigungen Ihres Benutzerkontos vorgenommen wurden.
Authentifizierung bei Tanzu Kubernetes Grid-Clustern
Als DevOps-Ingenieur oder Entwickler stellen Sie auch eine Verbindung zu bereitgestellten Tanzu Kubernetes Grid-Clustern her, um sie zu betreiben und zu verwalten. Wenn Ihrem Benutzerkonto eine Bearbeitungs- oder Besitzerberechtigung für den vSphere-Namespace erteilt wird, in dem der Tanzu Kubernetes Grid-Cluster bereitgestellt wird, wird Ihr Konto der Rolle cluster-admin zugewiesen. Alternativ können Sie auch den Benutzertyp kubernetes-admin verwenden, um eine Verbindung zu Tanzu Kubernetes Grid aufzubauen. Außerdem haben Sie die Möglichkeit, Entwicklern Zugriff auf Tanzu Kubernetes Grid-Cluster zu gewähren, indem Sie einen Benutzer oder eine Gruppe an die standardmäßige oder benutzerdefinierte Pod-Sicherheitsrichtlinie binden. Weitere Informationen finden Sie unter Verbindung zu TKG-Clustern auf dem Supervisor mit vCenter SSO-Authentifizierung and Verbindung zu TKG-Clustern auf dem Supervisor mit einem externen Identitätsanbieter.
vSphere-NamespacesRollenberechtigungen
Als vSphere-Administrator erteilen Sie DevOps-Ingenieuren oder -Entwicklern Ansichts-, Bearbeitungs- oder Besitzerberechtigungen für vSphere-Namespaces. Ihre Benutzer oder Gruppen müssen in vCenter Single Sign-On oder in einem externen Identitätsanbieter verfügbar sein, der mit dem Supervisor konfiguriert ist. Ein Benutzer oder eine Gruppe können auf mehrere vSphere-Namespaces zugreifen. Jede vSphere-Namespace-Rolle ermöglicht die folgenden Aktionen:
| Rolle | Beschreibung |
|---|---|
| Kann ansehen | Schreibgeschützter Zugriff für den Benutzer oder die Gruppe. Der Benutzer oder die Gruppe kann sich bei der Supervisor-Steuerungsebene anmelden und die Arbeitslasten, die in der vSphere-Namespace ausgeführt werden, wie z. B. vSphere-Pods- und Tanzu Kubernetes Grid-Cluster und VMs, auflisten. |
| Kann bearbeiten | Der Benutzer oder die Gruppe kann vSphere-Pods, Tanzu Kubernetes Grid Cluster und VMs erstellen, lesen, aktualisieren und löschen. Benutzer, die Teil der Administratorengruppe sind, verfügen über Bearbeitungsberechtigungen für alle Namespaces im Supervisor. |
| Besitzer | Benutzer oder Gruppen mit Besitzerberechtigungen können:
Hinweis: Die Besitzerrolle wird für Benutzer unterstützt, die in
vCenter Single Sign-On verfügbar sind. Sie können die Rolle „Besitzer“ nicht mit einem Benutzer / einer Gruppe eines externen Identitätsanbieters verwenden.
|
Informationen zum Erstellen einer vSphere-Namespaces finden Sie unter Erstellen und Konfigurieren eines vSphere-Namespace.
Nachdem Sie als vSphere-Administrator einen vSphere-Namespace mit Rollenberechtigungen, Ressourcenkontingenten und Speicher konfiguriert haben, stellen Sie die URL der Supervisor-Steuerungsebene den DevOps-Ingenieuren oder Entwicklern zur Verfügung, die sich damit bei der Steuerungsebene anmelden können. Nach der Anmeldung können DevOps-Ingenieure und Entwickler auf die vSphere-Namespaces zugreifen, für die sie über Berechtigungen verfügen, in den zu einem vCenter Server-System gehörenden Supervisorenn, die mit demselben Identitätsanbieter konfiguriert wurden. Wenn sich vCenter Server-Systeme im erweiterten verknüpften Modus befinden, können DevOps-Ingenieure auf alle vSphere-Namespaces, für die sie über Berechtigungen verfügen, in allen in der Gruppe „Verknüpfter Modus“ verfügbaren Supervisoren zugreifen. Die IP-Adresse der Supervisor-Steuerungsebene ist eine virtuelle IP-Adresse, die von NSX oder bei einem VDS-Netzwerk von einem Lastenausgleichsdienst generiert wird und als Zugriffspunkt auf die Supervisor-Steuerungsebene dient.
vSphere-Administratorberechtigungen
| Objekt | Berechtigungen |
|---|---|
| Benutzer vCenter Single Sign-On | Administratorengruppe |
| Benutzer vSphere-Namespaces | Mitgliedern der Gruppe „Administratoren“ werden Bearbeitungsberechtigungen auf allen vSphere-Namespaces gewährt. |
| Schnittstelle | Vorgänge |
|---|---|
| vSphere Client | Wenn Sie als Administrator bei der vSphere Client angemeldet sind, haben Sie folgende Möglichkeiten:
|
| kubectl | Wenn Sie bei der Supervisor-Steuerungsebene mit einem vCenter Single Sign-On Administratorkonto angemeldet sind, haben Sie folgende Möglichkeiten:
Wenn Sie jedoch bei der Supervisor-Steuerungsebene mit einem Konto, das Teil der Administratorgruppe ist, angemeldet sind, dürfen Sie keine Ressourcen auf Clusterebene bearbeiten, vSphere-Namespaces mithilfe von kubectl erstellen oder Rollenbindungen erstellen. Sie müssen das vSphere Client als primäre Schnittstelle verwenden, um Ressourcenkontingente festzulegen, vSphere-Namespaces zu erstellen und zu konfigurieren und Benutzerberechtigungen einzurichten. |
DevOps-Ingenieure und Entwicklerberechtigungen
| Objekt | Berechtigungen |
|---|---|
| vSphere-Namespaces | Bearbeiten oder Besitzer |
| Benutzer vCenter Single Sign-On | Nicht oder nur lesen |
Als DevOps-Ingenieur oder -Entwickler verwenden Sie kubectl als primäre Schnittstelle für die Interaktion mit vSphere IaaS control plane. Sie müssen sich über die vSphere-Plug-In für kubectl bei der Supervisor-Steuerungsebene anmelden können, um Arbeitslasten in der ihnen zugewiesenen vSphere-Namespaces anzuzeigen, auszuführen und zu verwalten. Aus diesem Grund benötigt Ihr Benutzerkonto Bearbeitungs- oder Besitzerberechtigungen für eine oder mehrere vSphere-Namespaces.
In der Regel müssen Sie keine administrativen Vorgänge auf Supervisoren über das vSphere Client durchführen. In bestimmten Fällen möchten Sie sich jedoch beim vSphere Client anmelden können, um die Ressourcen und Arbeitslasten im vSphere-Namespaces anzuzeigen, die Ihrem Konto zugewiesen sind. Zu diesem Zweck benötigen Sie möglicherweise Leseberechtigungen in vSphere.
vSphere-Namespaces-Rechte
| Rechtename im vSphere Client | Beschreibung | Erforderlich bei | Rechtename in der API |
|---|---|---|---|
| Lässt Vorgänge zur Außerbetriebnahme von Festplatten zu | Ermöglicht die Außerbetriebnahme von Datenspeichern. | Datenspeicher |
Namespaces.ManageDisks |
| Dateien der Arbeitslastkomponente sichern | Ermöglicht das Sichern der Inhalte des etcd-Clusters (wird nur in VMware Cloud on AWS verwendet). | Cluster |
Namespaces.Backup |
| Verfügbare Namespaces auflisten | Ermöglicht das Auflisten der einsehbaren vSphere-Namespaces. | Cluster |
Namespaces.ListAccess |
| Clusterweite Konfiguration ändern | Ermöglicht das Ändern der Supervisor-Konfiguration sowie das Erstellen und Löschen von vSphere-Namespaces. |
Cluster |
Namespaces.ManageCapabilities |
| Clusterweite Namespace-Self-Service-Konfiguration ändern | Ermöglicht das Ändern der vSphere-Namespace-Self-Service-Konfiguration. | Cluster (zum Aktivieren und Deaktivieren)Vorlagen (zum Ändern der Konfiguration)vCenter Server (zum Erstellen einer Vorlage) |
Namespaces.SelfServiceManage |
| Namespace-Konfiguration ändern | Ermöglicht das Ändern der vSphere-Namespace-Konfigurationsoptionen wie Ressourcenzuteilung, Benutzerberechtigungen und Inhaltsbibliothekszuordnungen. |
Cluster |
Namespaces.Manage |
| Clusterfunktionen umschalten | Ermöglicht die Änderung des Status von Cluster-Supervisor-Funktionen (wird intern nur für VMware Cloud on AWS verwendet). | Cluster |
– |
| Upgrade von Clustern auf neuere Versionen durchführen | Ermöglicht die Initiierung des Supervisor-Upgrades. | Cluster |
Namespaces.Upgrade |
Supervisor-Dienste-Rechte
Supervisor-Dienste-Rechte bestimmen, wer Supervisor-Dienste in der vSphere IaaS control plane-Umgebung erstellen und verwalten kann.
| Rechtename im vSphere Client | Beschreibung | Erforderlich bei | Rechtename in der API |
|---|---|---|---|
| Supervisor-Dienste verwalten | Ermöglicht das Erstellen, Aktualisieren oder Löschen eines Supervisor-Dienst-Diensts. Darüber hinaus können Sie einen Supervisor-Dienst auf einem Supervisor installieren und eine Supervisor-Dienst-Version erstellen oder löschen. | Cluster |
SupervisorServices.Manage |
Rechte für VM-Klassen
Rechte für VM-Klassen steuern, wer VM-Klassen in einem vSphere-Namespace hinzufügen und entfernen kann.
| Rechtename im vSphere Client | Beschreibung | Erforderlich bei | Rechtename in der API |
|---|---|---|---|
| Klassen virtueller Maschinen verwalten | Ermöglicht die Verwaltung von VM-Klassen auf vSphere-Namespaces in einem Supervisor. |
Cluster |
VirtualMachineClasses.Manage |
Speicheransichtsberechtigungen
In den Rechten für Speicheransichten können Sie Speicherrichtlinien in vCenter Server anzeigen, sodass Sie sie vSphere-Namespaces zuweisen können.
| Rechtename im vSphere Client | Beschreibung | Erforderlich bei | Rechtename in der API |
|---|---|---|---|
| Dienst konfigurieren | Erlaubt berechtigten Benutzern die Verwendung aller Speicherüberwachungsdienst-APIs. Verwenden Sie für Rechte bezüglich schreibgeschützter Speicherüberwachungsdienst-APIs. |
Root-vCenter Server |
StorageViews.ConfigureService |
| Anzeigen | Erlaubt berechtigten Benutzern die Verwendung schreibgeschützter Speicherüberwachungsdienst-APIs. |
Root-vCenter Server |
StorageViews.View |
