Entwickler sind die Zielbenutzer von Kubernetes. Sobald ein Tanzu Kubernetes-Cluster bereitgestellt wurde, können Sie mittels vCenter Single Sign-On-Authentifizierung Entwicklerzugriff darauf gewähren.
Authentifizierung für Entwickler
Ein Clusteradministrator kann anderen Benutzern, z. B. Entwicklern, Clusterzugriff gewähren. Entwickler können Pods für Cluster direkt über ihre Benutzerkonten oder indirekt über Dienstkonten bereitstellen. Weitere Informationen finden Sie unter
Gewähren von SSO-Zugriff für Entwickler auf Arbeitslastclustern in
Verwenden des TKG-Dienstes mit der vSphere IaaS-Steuerungsebene.
- Für die Authentifizierung über Benutzerkonten bieten Tanzu Kubernetes-Cluster Unterstützung für vCenter Single Sign-On-Benutzer und -Gruppen. Der Benutzer oder die Gruppe kann sich lokal in vCenter Server befinden oder von einem unterstützten Verzeichnisserver aus synchronisiert werden.
- Für die Authentifizierung über Dienstkonten können Sie Diensttoken verwenden. Weitere Informationen dazu finden Sie in der Kubernetes-Dokumentation.
Hinzufügen von Entwicklern zu einem Cluster
So gewähren Sie Entwicklern Clusterzugriff:
- Definieren Sie ein Role- oder ClusterRole-Objekt für den Benutzer bzw. die Gruppe und wenden Sie es auf den Cluster an. Weitere Informationen dazu finden Sie in der Kubernetes-Dokumentation.
- Erstellen Sie ein RoleBinding- oder ClusterRoleBinding-Objekt für den Benutzer bzw. die Gruppe und wenden Sie es auf den Cluster an. Betrachten Sie das folgende Beispiel.
RoleBinding – Beispiel
Um einem
vCenter Single Sign-On-Benutzer oder einer vCenter Single Sign-On-Gruppe Zugriff zu gewähren, muss im RoleBinding-Objekt unter „subjects“ einer der folgenden Werte für den Parameter
name
angegeben sein.
Feld | Beschreibung |
---|---|
sso:USER-NAME@DOMAIN |
Beispielsweise ein lokaler Benutzername wie sso:[email protected] . |
sso:GROUP-NAME@DOMAIN |
Beispielsweise ein von einem in vCenter Server integrierten Verzeichnisserver stammender Gruppenname wie sso:[email protected] . |
Im folgenden Beispiel für ein RoleBinding-Objekt wird der lokale vCenter Single Sign-On-Benutzer mit dem Namen „Joe“ an das standardmäßige ClusterRole-Objekt mit dem Namen edit
gebunden. Diese Rolle ermöglicht Lese-/Schreibzugriff auf die meisten Objekte in einem Namespace. In diesem Fall ist dies der Namespace default
.
kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: rolebinding-cluster-user-joe namespace: default roleRef: kind: ClusterRole name: edit #Default ClusterRole apiGroup: rbac.authorization.k8s.io subjects: - kind: User name: sso:[email protected] #sso:<username>@<domain> apiGroup: rbac.authorization.k8s.io