DevOps-Ingenieure stellen eine Verbindung zum Supervisor her, um Tanzu Kubernetes Grid-Cluster bereitzustellen und deren Lebenszyklus zu verwalten. Entwickler stellen eine Verbindung zu TKG-Clustern her, um Pakete, Arbeitslasten und Dienste bereitzustellen. Administratoren benötigen möglicherweise direkten Zugriff auf TKG-Clusterknoten, um Fehler zu beheben. vSphere with Tanzu 8 bietet Identitäts- und Zugriffsverwaltungstools und ‑methoden, die alle Anwendungsfälle und Rollen unterstützen.

TKG Cluster-Zugriff erfolgt über den vSphere-Namespace

Sie stellen TKG-Cluster in einem vSphere-Namespace bereit. Darüber hinaus werden TKG-Clusterberechtigungen auf der vSphere-Namespace-Ebene festgelegt und beschränkt. Wenn Sie einen vSphere-Namespace konfigurieren, legen Sie die entsprechenden Berechtigungen für den Namespace fest, einschließlich der Identitätsquelle, der Benutzer und Gruppen sowie der Rollen. Diese Berechtigungen gelten für alle in diesem vSphere-Namespace bereitgestellten TKG-Cluster.

Tanzu Kubernetes Grid auf Supervisor unterstützt zwei Benutzer-/Gruppenauthentifizierungsmethoden: vCenter Single Sign-On und einen OIDC-konformen externen Identitätsanbieter.

Authentifizierung mithilfe von vCenter Single Sign-On und Kubectl

Standardmäßig wird vCenter Single Sign-On zur Authentifizierung bei der vSphere with Tanzu-Umgebung verwendet, einschließlich Supervisor- und TKG-Clustern. vCenter Single Sign-On bietet Authentifizierung für die vSphere-Infrastruktur und kann in AD/LDAP-Systeme integriert werden. Weitere Informationen zu vCenter Single Sign-On finden Sie unter vSphere-Authentifizierung mit vCenter Single Sign-On.

Für die Authentifizierung mit vCenter Single Sign-On verwenden Sie das vSphere-Plug-In für kubectl. Nach der Authentifizierung verwenden Sie kubectl, um den Lebenszyklus von TKG-Clustern deklarativ bereitzustellen und zu verwalten, TKG-Cluster-Arbeitslasten bereitzustellen und andere Supervisor-Funktionen wie vSphere-Pods und Supervisor-Dienste bereitzustellen.

Das kubectl-vsphere-Plug-In hängt von kubectl ab. Wenn Sie sich mit kubectl-vsphere authentifizieren, führt das Plug-In eine POST mit Standardauthentifizierung für einen /wcp/login-Endpoint auf Supervisor durch. Anschließend wird ein JSON-Web-Token (JWT) von vCenter ausgestellt, dem der Supervisor vertraut.

Informationen zum Herstellen einer Verbindung über vCenter Single Sign-On finden Sie unter Herstellen einer Verbindung zu TKG-Clustern auf Supervisor mithilfe der vCenter SSO-Authentifizierung.

Authentifizierung mithilfe eines externen Identitätsanbieters und der Tanzu-CLI

Zusätzlich zur vCenter Single Sign-On-Authentifizierung können Sie Supervisor mit einem externen Identitätsanbieter konfigurieren, der das OpenID Connect-Protokoll unterstützt. Nach der Konfiguration funktioniert Supervisor als OAuth 2.0-Client und verwendet den Authentifizierungsdienst Pinniped, um mithilfe der Tanzu-CLI eine Verbindung mit TKG-Clustern herzustellen. Die Tanzu-CLI unterstützt die Bereitstellung und Verwaltung des Lebenszyklus von TKG-Clustern.

Jede Supervisor-Instanz kann nur einen externen Identitätsanbieter unterstützen.

Sobald das Authentifizierungs-Plug-In und der OIDC-Aussteller ordnungsgemäß für die Funktion der pinniped-auth-CLI konfiguriert sind, sucht das System bei Supervisor mit tanzu login --endpoint nach einigen bekannten Configmaps, um die pinniped config-Konfigurationsdatei zu erstellen.

Informationen zum Herstellen einer Verbindung mithilfe eines externen OIDC-Anbieters finden Sie unter Herstellen einer Verbindung zu TKG-Clustern auf Supervisor mithilfe eines externen Identitätsanbieters.

Authentifizierung mit einem hybriden Ansatz: vCenter SSO mit Tanzu CLI

Wenn Sie vCenter Single Sign-On als Identitätsanbieter verwenden und die Tanzu-CLI verwenden möchten, können Sie einen hybriden Ansatz nutzen und sich bei Supervisor mit der Tanzu-CLI und dem vSphere-Plug-In für kubectl anmelden. Dieser Ansatz kann für die Installation von Tanzu-Paketen nützlich sein. Weitere Informationen finden Sie unter Herstellen einer Verbindung zu Supervisor mithilfe der Tanzu-CLI und der vCenter SSO-Authentifizierung.

Benutzer und Gruppen

Wenn Sie vSphere-Namespace konfigurieren, gewähren Sie Benutzern und Gruppen Zugriff auf TKG-Cluster. Der Benutzer oder die Gruppe, dem oder der Sie Berechtigungen zuweisen, muss in der Identitätsquelle vorhanden sein. Benutzer authentifizieren sich bei TKG-Clustern auf Supervisor mit ihren Identitätsanbieter-Anmeldedaten, entweder mit den vCenter Single Sign-On-Anmeldedaten oder über einen externen Identitätsanbieter.

Sie können Entwicklern auf der Grundlage ihres Identitätsanbieters oder mithilfe einer Clusterrolle und Bindung an Kubernetes Zugriff auf TKG-Cluster gewähren. Weitere Informationen finden Sie unter Gewähren des vCenter SSO-Zugriffs auf TKG-Cluster auf Supervisor für Entwickler.

Rollenberechtigungen und RoleBindings

TKG-Cluster auf Supervisor unterstützen drei Rollen: Lesezugriff (Viewer), Schreibzugriff (Editor) und Besitzer (Owner). Rollenberechtigungen werden dem vSphere-Namespace zugewiesen und sind auf diesen beschränkt. Weitere Informationen finden Sie unter Konfigurieren von vSphere-Namespaces für TKG-Cluster auf Supervisor.

Ein Benutzer/eine Gruppe, dem/der die Rollenberechtigung Kann ansehen für einen vSphere-Namespace gewährt wird, hat Schreibzugriff auf TKG-Cluster, die in diesem vSphere-Namespace bereitgestellt werden.

Ein Benutzer / eine Gruppe, dem/der die Rollenberechtigung Kann bearbeiten für einen vSphere-Namespace zugewiesen wurde, kann TKG-Cluster in diesem vSphere-Namespace erstellen, lesen, aktualisieren und löschen.

Ein Benutzer/eine Gruppe, dem/der die Berechtigung Besitzer für einen vSphere-Namespace gewährt wurde, kann TKG-Cluster in diesem vSphere-Namespace verwalten und zusätzliche vSphere-Namespaces mithilfe von kubectl erstellen und löschen.
Hinweis: Die Besitzerrolle wird für Benutzer unterstützt, die aus der vCenter Single Sign-On-Identitätsquelle stammen. Sie können die Rolle „Besitzer“ nicht mit einem Benutzer / einer Gruppe eines externen Identitätsanbieters verwenden.
Wenn Sie der Rolle Kann ansehen oder Kann bearbeiten einen Benutzer/eine Gruppe zuweisen, erstellt das System ein RoleBinding-Objekt und ordnet es einem ClusterRole-Objekt zu. Beispielsweise wird ein Benutzer/eine Gruppe, der/die der Kann bearbeiten-Rolle zugewiesen ist, über ein RoleBinding-Objekt dem Kubernetes- cluster-admin-ClusterRole-Objekt zugewiesen. Mit der Rolle cluster-admin können Benutzer TKG-Cluster im Ziel- vSphere-Namespace bereitstellen und betreiben. Sie können diese Zuordnung mit dem Befehl kubectl get rolebinding im Ziel- vSphere-Namespace anzeigen.
kubectl get rolebinding -n tkg2-cluster-namespace
NAME                                                           ROLE                         AGE
wcp:tkg-cluster-namespace:group:vsphere.local:administrators   ClusterRole/edit             33d
wcp:tkg-cluster-namespace:user:vsphere.local:administrator     ClusterRole/edit             33d

Wenn Sie der Rolle „Besitzer“ einen Benutzer bzw. eine Gruppe zuweisen, erstellt das System ein ClusterRoleBinding-Objekt und ordnet es einem ClusterRole-Objekt zu, mit dem der Benutzer bzw. die Gruppe vSphere-Namespaces mithilfe von kubectl erstellen und löschen kann. Sie können diese Zuordnung nicht mit demselben Verfahren anzeigen. Sie müssen sich per SSH bei einem Supervisor-Knoten anmelden, um diese Zuordnung anzuzeigen.

vSphere-Berechtigungen

Die Tabelle zeigt die Typen von vSphere-Berechtigungen, die für verschiedene vSphere with Tanzu-Personas erforderlich sind.

Tabelle 1. vSphere-Berechtigungen für vSphere with Tanzu-Personas
Persona vSphere-Rolle vSphere-SSO-Gruppe vSphere-Namespace
VI/Cloud-Administrator Administrator Administratoren SSO-Benutzer und/oder AD-Benutzer
DevOps-/Plattform-Operator Nicht-Admin oder benutzerdefinierte Rolle ServiceProviderUsers SSO-Benutzer und/oder AD-Benutzer
Entwickler Schreibgeschützt oder keine Keine SSO-Benutzer und/oder AD-Benutzer

Systemadministrator-Konnektivität

Administratoren können als kubernetes-admin-Benutzer eine Verbindung mit TKG-Clusterknoten herstellen. Diese Methode kann empfehlenswert sein, wenn die vCenter Single Sign-On-Authentifizierung nicht verfügbar ist. Zu Fehlerbehebungszwecken können Systemadministratoren mithilfe von SSH und einem privaten Schlüssel als vmware-system-user eine Verbindung mit einem TKG-Cluster herstellen. Weitere Informationen finden Sie unter Herstellen einer Verbindung zu TKG-Clustern auf Supervisor als Kubernetes-Administrator und Systembenutzer.