Como administrador de vSphere, necesita privilegios para configurar un clúster supervisor y administrar los espacios de nombres. Defina los permisos en los espacios de nombres para determinar qué ingenieros de Desarrollo y operaciones pueden acceder a ellos. Los ingenieros de desarrollo y operaciones se autentican con clúster supervisor mediante las credenciales de vCenter Single Sign-On y únicamente pueden acceder a los espacios de nombres para los que tiene permisos.

Permisos para administradores de vSphere

Como administrador de vSphere, necesita permisos en los clústeres de vSphere para configurarlos como clústeres supervisor, así como para crear y administrar espacios de nombres. Debe tener al menos uno de los siguientes privilegios asociados con sus cuentas de usuario en un clúster de vSphere:

  • Modificar configuración de espacio de nombres. Le permite crear y configurar espacios de nombres en un clúster supervisor.
  • Modificar configuración de todo el clúster. Le permite configurar un clúster de vSphere como un clúster supervisor.

Configurar permisos para ingenieros de desarrollo y operaciones

Los administradores de vSphere pueden conceder permisos de vista, edición o propietario a las cuentas de usuario en el nivel del espacio de nombres. Las cuentas de usuario deben estar disponibles en un origen de identidad conectado a vCenter Single Sign-On. Una cuenta de usuario puede tener acceso a varios espacios de nombres a la vez. Los usuarios que pertenecen a los grupos de administradores pueden acceder a todos los espacios de nombres en clúster supervisor.

Tras configurar un espacio de nombres con permisos, cuotas de recursos y almacenamiento, debe proporcionar la URL del plano de control de Kubernetes a los ingenieros de desarrollo y operaciones, quienes la utilizan para iniciar sesión en el plano de control. Una vez iniciada la sesión, los ingenieros de desarrollo y operaciones pueden acceder a todos los espacios de nombres para los que tienen permisos en todos los clústeres supervisor que pertenecen a un sistema vCenter Server. Cuando los sistemas vCenter Server se encuentran en Enhanced Linked Mode, los ingenieros de desarrollo y operaciones pueden acceder a todos los espacios de nombres para los que tienen permisos en todos los clústeres supervisor disponibles en el grupo de Linked Mode. La dirección IP del plano de control de Kubernetes es una dirección IP virtual generada por NSX-T o un equilibrador de carga en el caso de las redes de VDS para que actúe como punto de acceso al plano de control de Kubernetes.

Los ingenieros de desarrollo y operaciones con permisos de propietario pueden implementar cargas de trabajo. Pueden compartir el espacio de nombres con otros ingenieros o grupos de desarrollo y operaciones, o eliminarlo cuando ya no sea necesario. Cuando los ingenieros de desarrollo y operaciones comparten el espacio de nombres, pueden asignar permisos de vista, edición o propietario a otros ingenieros y grupos de desarrollo y operaciones.

Autenticación con el clúster supervisor

Los ingenieros de desarrollo y operaciones utilizan Herramientas de la CLI de Kubernetes para vSphere para autenticarse en clúster supervisor mediante las credenciales de vCenter Single Sign-On y la dirección IP del plano de control de Kubernetes. Para obtener más información, consulte Conectarse al clúster supervisor como usuario vCenter Single Sign-On.

Cuando haya iniciado sesión en clúster supervisor, un proxy de autenticación redirige la solicitud a vCenter Single Sign-On. El complemento kubectl de vSphere establece una sesión con vCenter Server y obtiene un token de autenticación de vCenter Single Sign-On. También obtiene una lista de los espacios de nombres a los que tiene acceso y rellena la configuración con estos espacios de nombres. La lista de espacios de nombres se actualiza en el próximo inicio de sesión si hay cambios en los permisos de su cuenta de usuario.

La cuenta que utiliza para iniciar sesión en el clúster supervisor proporciona acceso solo a los espacios de nombres que se le asignan. No puede iniciar sesión en vCenter Server con esa cuenta. Para iniciar sesión en vCenter Server, necesitará permisos explícitos.
Nota: La sesión de kubectl dura 10 horas. Después de que caduque la sesión, debe volver a autenticarse con clúster supervisor. Al cerrar sesión, el token se elimina del archivo de configuración de su cuenta de usuario, pero sigue siendo válido hasta que finalice la sesión.

Autenticarse con clústeres de Tanzu Kubernetes

Los usuarios del clúster de Tanzu Kubernetes (incluidos los desarrolladores, los administradores y los ingenieros de desarrollo y operaciones) pueden autenticarse con un clúster de varias maneras. Para obtener más información, consulte Autenticarse con clústeres de Tanzu Kubernetes.

Nota: Los clústeres de Tanzu Kubernetes requieren que las cuentas del usuario y del sistema cuenten con una directiva de seguridad de pods para implementar pods y recursos en un clúster. Para obtener más información, consulte Usar las directivas de seguridad de pods con clústeres de Tanzu Kubernetes.