Gewähren von vCenter SSO-Zugriff auf TKG-Dienst-Cluster für Entwickler

Entwicklerbenutzer und Entwicklungsgruppen sind die Zielbenutzer von TKG-Dienst-Clustern. Sobald ein TKG-Dienst-Cluster bereitgestellt wurde, können Sie Entwicklerzugriff per vCenter Single Sign-On-Authentifizierung oder über einen unterstützten externen Identitätsanbieter gewähren.

Authentifizierung für Entwickler

Ein Clusteradministrator kann anderen Benutzern, z. B. Entwicklern, Clusterzugriff gewähren. Entwickler können Pods für Cluster direkt über ihre Benutzerkonten oder indirekt über Dienstkonten bereitstellen.

Für die Authentifizierung über Benutzerkonten bieten TKG-Dienst-Cluster Unterstützung für vCenter Single Sign-On-Benutzer und -Gruppen. Der Benutzer oder die Gruppe kann sich lokal in vCenter Server befinden oder von einem unterstützten Verzeichnisserver aus synchronisiert werden.
Externe OIDC-Benutzer und -Gruppen werden vSphere-Namespace-Rollen direkt zugeordnet.
Für die Authentifizierung über Dienstkonten können Sie Diensttoken verwenden. Weitere Informationen dazu finden Sie in der Kubernetes-Dokumentation.

Hinzufügen von Entwicklern zu einem Cluster

So gewähren Sie Entwicklern Clusterzugriff:

Definieren Sie ein Role- oder ClusterRole-Objekt für den Benutzer bzw. die Gruppe und wenden Sie es auf den Cluster an. Weitere Informationen dazu finden Sie in der Kubernetes-Dokumentation.
Erstellen Sie ein RoleBinding- oder ClusterRoleBinding-Objekt für den Benutzer bzw. die Gruppe und wenden Sie es auf den Cluster an. Betrachten Sie das folgende Beispiel.

RoleBinding – Beispiel

Um einem vCenter Single Sign-On-Benutzer oder einer vCenter Single Sign-On-Gruppe Zugriff zu gewähren, muss im RoleBinding-Objekt unter „subjects“ einer der folgenden Werte für den Parameter name angegeben sein.

Tabelle 1. Unterstützte Felder für Benutzer und Gruppen
Bereich	Beschreibung
`sso:USER-NAME@DOMAIN`	Beispielsweise ein lokaler Benutzername wie `sso:[email protected]`.
`sso:GROUP-NAME@DOMAIN`	Beispielsweise ein von einem in vCenter Server integrierten Verzeichnisserver stammender Gruppenname wie `sso:[email protected]`.

Im folgenden Beispiel für ein RoleBinding-Objekt wird der lokale vCenter Single Sign-On-Benutzer mit dem Namen „Joe“ an das standardmäßige ClusterRole-Objekt mit dem Namen edit gebunden. Diese Rolle ermöglicht Lese-/Schreibzugriff auf die meisten Objekte in einem Namespace. In diesem Fall ist dies der Namespace default.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io