Los desarrolladores son los usuarios de destino de Kubernetes. Una vez que se aprovisione un clúster de Tanzu Kubernetes, puede conceder acceso de desarrollador mediante autenticación de vCenter Single Sign-On.

Autenticación para desarrolladores

Un administrador de clústeres puede otorgar acceso al clúster a otros usuarios, como desarrolladores. Los desarrolladores pueden implementar pods en clústeres directamente mediante sus cuentas de usuario o de forma indirecta a través de cuentas de servicio. Para obtener más información, consulte Usar las directivas de seguridad de pods con clústeres de Tanzu Kubernetes.
  • Para la autenticación de la cuenta de usuario, los clústeres de Tanzu Kubernetes admiten usuarios y grupos de vCenter Single Sign-On. El usuario o el grupo pueden ser locales para la instancia de vCenter Server o sincronizarse desde un servidor de directorio compatible.
  • Para la autenticación de la cuenta de servicio, puede utilizar tokens de servicio. Para obtener más información, consulte la documentación de Kubernetes.

Agregar usuarios desarrolladores a un clúster

Para conceder acceso al clúster a desarrolladores, haga lo siguiente:
  1. Defina una función o ClusterRole para el usuario o el grupo y aplíquelos al clúster. Para obtener más información, consulte la documentación de Kubernetes.
  2. Cree un RoleBinding o ClusterRoleBinding para el usuario o grupo y aplíquelo al clúster. Vea el ejemplo siguiente:

Ejemplo de RoleBinding

Para conceder acceso a un usuario o grupo de vCenter Single Sign-On, el asunto en RoleBinding debe contener uno de los siguientes valores para el parámetro name.
Tabla 1. Campos de usuario y grupo admitidos
Campo Descripción
sso:USER-NAME@DOMAIN Por ejemplo, un nombre de usuario local, como sso:[email protected].
sso:GROUP-NAME@DOMAIN Por ejemplo, un nombre de grupo de un servidor de directorio integrado con la instancia de vCenter Server, como sso:[email protected].

El siguiente ejemplo de RoleBinding enlaza el usuario local de vCenter Single Sign-On, llamado Joe, al objeto ClusterRole predeterminado denominado edit. Esta función permite el acceso de lectura/escritura a la mayoría de los objetos en un espacio de nombres, en este caso, el espacio de nombres default.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io