Como administrador de vSphere, necesita privilegios para configurar un Supervisor y administrar los espacios de nombres. Defina los permisos en los espacios de nombres para determinar qué ingenieros de Desarrollo y operaciones pueden acceder a ellos. También puede configurar el Supervisor con un proveedor externo de OpenID Connect (OIDC) para habilitar la autenticación multifactor. Como ingeniero de Desarrollo y operaciones, se autentica con Supervisor mediante las credenciales de vCenter Single Sign-On o las credenciales de un proveedor de OIDC, en función de lo que el administrador de vSphere haya configurado para usted en el Supervisor. Solo puede acceder a los espacios de nombres para los que tiene permisos.
Permisos para administradores de vSphere
Como administrador de vSphere, necesita permisos en los clústeres de vSphere para configurarlos como Supervisor, así como para crear y administrar espacios de nombres. Debe tener al menos uno de los siguientes privilegios asociados con sus cuentas de usuario en un clúster de vSphere:
- Modificar configuración de espacio de nombres. Le permite crear y configurar espacios de nombres en un Supervisor.
- Modificar configuración de todo el clúster. Le permite configurar un clúster de vSphere como un Supervisor.
Configurar permisos para ingenieros de desarrollo y operaciones
Los administradores de vSphere pueden conceder permisos de vista, edición o propietario a las cuentas de usuario en el nivel del espacio de nombres. Las cuentas de usuario deben estar disponibles en un origen de identidad conectado a vCenter Single Sign-On o en un proveedor OIDC configurado con el Supervisor. Una cuenta de usuario puede tener acceso a varios espacios de nombres a la vez. Los usuarios que pertenecen a los grupos de administradores pueden acceder a todos los espacios de nombres en Supervisor.
Tras configurar un espacio de nombres con permisos, cuotas de recursos y almacenamiento, debe proporcionar la URL del plano de control de Kubernetes a los ingenieros de desarrollo y operaciones, quienes la utilizan para iniciar sesión en el plano de control. Una vez iniciada la sesión, los ingenieros de desarrollo y operaciones pueden acceder a los espacios de nombres para los que tienen permisos en todos los Supervisores configurados con el mismo proveedor de identidad que pertenecen a un sistema vCenter Server. Cuando los sistemas vCenter Server se encuentran en Enhanced Linked Mode, los ingenieros de desarrollo y operaciones pueden acceder a todos los espacios de nombres para los que tienen permisos en todos los Supervisores disponibles en el grupo de Linked Mode. La dirección IP del plano de control de Kubernetes es una dirección IP virtual generada por NSX o un equilibrador de carga en el caso de las redes de VDS para que actúe como punto de acceso al plano de control de Kubernetes.
Los ingenieros de desarrollo y operaciones con permisos de propietario pueden implementar cargas de trabajo. Pueden compartir el espacio de nombres con otros usuarios o grupos de desarrollo y operaciones, o eliminarlo cuando ya no sea necesario. Cuando los ingenieros de desarrollo y operaciones comparten el espacio de nombres, pueden asignar permisos de vista, edición o propietario a otros ingenieros y grupos de desarrollo y operaciones.
Autenticación con el Supervisor
Los ingenieros de desarrollo y operaciones utilizan Herramientas de la CLI de Kubernetes para vSphere para autenticarse en Supervisor mediante las credenciales de vCenter Single Sign-On y la dirección IP del plano de control de Kubernetes. También puede conectarse al Supervisor mediante credenciales en un proveedor de OIDC que esté registrado en el Supervisor. Para obtener más información, consulte la documentación sobre Usar Tanzu Kubernetes Grid 2 con vSphere with Tanzu .
Cuando haya iniciado sesión en Supervisor, un proxy de autenticación redirige la solicitud a vCenter Single Sign-On. El complemento kubectl de vSphere establece una sesión con vCenter Server y obtiene un token de autenticación de vCenter Single Sign-On. También obtiene una lista de los espacios de nombres a los que tiene acceso y rellena la configuración con estos espacios de nombres. La lista de espacios de nombres se actualiza en el próximo inicio de sesión si hay cambios en los permisos de su cuenta de usuario.
