Como administrador de vSphere, necesita privilegios para activar y configurar un Supervisor y para administrar los espacios de nombres de vSphere. Defina los permisos en los espacios de nombres para determinar qué ingenieros y desarrolladores de Desarrollo y operaciones pueden acceder a ellos. También puede configurar el Supervisor con un proveedor externo de OpenID Connect (OIDC) para habilitar la autenticación multifactor. Como ingeniero o desarrollador de Desarrollo y operaciones, se autentica con Supervisor mediante las credenciales de vCenter Single Sign-On o las credenciales de un proveedor de OIDC, en función de lo que el administrador de vSphere haya configurado para usted en el Supervisor. Solo puede acceder a los espacios de nombres de vSphere para los que tiene permisos.
Proveedores de identidades compatibles
vSphere IaaS control plane admite los siguientes proveedores de identidad:
- vCenter Single Sign-On. El proveedor de identidad predeterminado que utiliza para autenticarse con el entorno de vSphere IaaS control plane, incluidos los Supervisores y los clústeres de Tanzu Kubernetes Grid. vCenter Single Sign-On proporciona autenticación para la infraestructura de vSphere y se puede integrar con sistemas AD/LDAP. Para obtener más información sobre vCenter Single Sign-On, consulte Autenticación de vSphere con vCenter Single Sign-On.
- Proveedor de identidad externo. Como administrador de vSphere, puede configurar un Supervisor con un proveedor de identidad externo que admita el protocolo OpenID Connect. Una vez configurado con un proveedor de identidad externo, el Supervisor funciona como un cliente de OAuth 2.0 y utiliza el servicio de autenticación Pinniped para conectarse a los clústeres de Tanzu Kubernetes Grid mediante la CLI de Tanzu. La CLI de Tanzu admite el aprovisionamiento y la administración del ciclo de vida de los clústeres de Tanzu Kubernetes Grid. Cada instancia de Supervisor puede admitir un proveedor de identidad externo.
Autenticación con el Supervisor
Las diferentes funciones que interactúan con vSphere IaaS control plane pueden utilizar los siguientes métodos para autenticarse con Supervisor:
- Administrador de vSphere. Como administrador de vSphere, utilice vCenter Single Sign-On para autenticarse con vSphere a través de vSphere Client. También puede utilizar el complemento de vSphere para kubectl para autenticarse con los clústeres de Supervisor y Tanzu Kubernetes Grid a través de kubectl. Para obtener más información, consulte Conectar a Supervisor como usuario de vCenter Single Sign-On.
- Ingeniero o desarrollador de desarrollo y operaciones. Como desarrollador o ingeniero de desarrollo y operaciones, utiliza vCenter Single Sign-On para autenticarse con Supervisor a través del complemento de vSphere para kubectl y kubectl. También puede conectarse a un Supervisor mediante credenciales de un proveedor de identidad externo que esté configurado con ese Supervisor. Para obtener más información, consulte Conectarse a clústeres de TKG en Supervisor mediante un proveedor de identidad externo.
Iniciar sesiones con Supervisor
Cuando haya iniciado sesión en Supervisor como usuario de vCenter Single Sign-On, un proxy de autenticación redirigirá la solicitud a vCenter Single Sign-On. El complemento de vSphere para kubectl establece una sesión con vCenter Server y obtiene un token de autenticación de vCenter Single Sign-On. También obtiene una lista de los espacios de nombres de vSphere a los que tiene acceso y rellena la configuración con estos espacios de nombres de vSphere. La lista de espacios de nombres de vSphere se actualiza en el siguiente inicio de sesión si hay cambios en los permisos de su cuenta de usuario.
Autenticarse con clústeres de Tanzu Kubernetes Grid
Como ingeniero o desarrollador de desarrollo y operaciones, se conecta a clústeres de Tanzu Kubernetes Grid aprovisionados para operar en ellos y administrarlos. Cuando se concede el permiso de edición o propietario a una cuenta de usuario en el espacio de nombres de vSphere en el que se aprovisiona el clúster de Tanzu Kubernetes Grid, a la cuenta se le asigna la función cluster-admin. Como alternativa, también puede utilizar el usuario kubernetes-admin para conectarse a Tanzu Kubernetes Grid. También puede conceder a los desarrolladores acceso a los clústeres de Tanzu Kubernetes Grid enlazando un usuario o grupo a la directiva de seguridad de pods predeterminada o personalizada. Para obtener más información, consulte Conectarse a clústeres de TKG en Supervisor mediante la autenticación de vCenter SSO y Conectarse a clústeres de TKG en Supervisor mediante un proveedor de identidad externo.
Permisos de función de los espacios de nombres de vSphere
Como administrador de vSphere, puede conceder permisos de vista, edición o propietario a los ingenieros o desarrolladores de desarrollo y operaciones. en los espacios de nombres de vSphere. Sus usuarios o grupos deben estar disponibles en vCenter Single Sign-On o en un proveedor de identidad externo configurado con Supervisor. Un usuario o un grupo puede tener acceso a varios espacios de nombres de vSphere. Cada función de espacio de nombres de vSphere permite las siguientes acciones:
| Función | Descripción |
|---|---|
| Puede ver | Acceso de solo lectura para el usuario o el grupo. El usuario o el grupo pueden iniciar sesión en el plano de control del Supervisor y crear una lista con las cargas de trabajo que se ejecutan en el espacio de nombres de vSphere, como los pods de vSphere y los clústeres de Tanzu Kubernetes Grid, y las máquinas virtuales. |
| Puede editar | El usuario o el grupo pueden crear, leer, actualizar y eliminar pods de vSphere, clústeres de Tanzu Kubernetes Grid y máquinas virtuales. Los usuarios que forman parte del grupo Administradores tienen permisos de edición en todos los espacios de nombres del Supervisor. |
| Propietario | Los usuarios o los grupos con permisos de propietario pueden:
Nota: La función de propietario es compatible con los usuarios disponibles en
vCenter Single Sign-On. No se puede usar la función de propietario con un usuario o grupo que provenga de un proveedor de identidad externo.
|
Para obtener información sobre cómo crear una configuración de los espacios de nombres de vSphere, consulte Crear y configurar un espacio de nombres de vSphere.
Como administrador de vSphere, tras configurar un espacio de nombres de vSphere con permisos de función, cuotas de recursos y almacenamiento, debe proporcionar la URL del plano de control de Supervisor a los ingenieros y desarrolladores de desarrollo y operaciones, quienes la utilizan para iniciar sesión en el plano de control. Una vez iniciada la sesión, los ingenieros y desarrolladores de desarrollo y operaciones pueden acceder a los espacios de nombres de vSphere para los que tienen permisos en todos los Supervisores configurados con los mismos proveedores de identidad que pertenecen a un sistema vCenter Server. Cuando los sistemas vCenter Server se encuentran en Enhanced Linked Mode, los ingenieros y desarrolladores de desarrollo y operaciones pueden acceder a todos los espacios de nombres de vSphere para los que tienen permisos en todos los Supervisores disponibles en el grupo de Linked Mode. La dirección IP del plano de control de Supervisor es una dirección IP virtual generada por NSX o un equilibrador de carga en el caso de las redes de VDS para que actúe como punto de acceso al plano de control de Supervisor.
Permisos de administrador de vSphere
| Objeto | Permisos |
|---|---|
| usuario de vCenter Single Sign-On | Grupo Administradores |
| usuario de espacios de nombres de vSphere | A los miembros del grupo Administradores se les conceden permisos de edición en todos los espacios de nombres de vSphere. |
| Interfaz | Operaciones |
|---|---|
| vSphere Client | Cuando inicie sesión como administrador en vSphere Client, puede:
|
| kubectl | Si inició sesión en el plano de control de Supervisor con una cuenta de administrador de vCenter Single Sign-On, puede:
Sin embargo, cuando se inicia sesión en el plano de control de Supervisor con una cuenta que forma parte del grupo Administradores, no se permite editar ningún recurso en el nivel del clúster, crear espacios de nombres de vSphere mediante kubectl ni crear enlaces de funciones. Debe utilizar vSphere Client como la interfaz principal para establecer cuotas de recursos, crear y configurar espacios de nombres de vSphere, y configurar permisos de usuario. |
Permisos de ingenieros y desarrolladores de desarrollo y operaciones
| Objeto | Permisos |
|---|---|
| espacios de nombres de vSphere | Editar o propietario |
| usuario de vCenter Single Sign-On | Ninguno o Solo lectura |
Como ingeniero o desarrollador de desarrollo y operaciones, puede utilizar kubectl como interfaz principal para interactuar con vSphere IaaS control plane. Debe poder iniciar sesión en el plano de control de Supervisor a través del complemento de vSphere para kubectl para ver, ejecutar y administrar cargas de trabajo en los espacios de nombres de vSphere que tiene asignados. Por lo tanto, su cuenta de usuario necesita permisos de edición o propietario en uno o varios espacios de nombres de vSphere.
Normalmente, no es necesario realizar ninguna operación administrativa en los Supervisores a través de vSphere Client. Sin embargo, en algunos casos, es posible que desee iniciar sesión en vSphere Client para ver los recursos y las cargas de trabajo en los espacios de nombres de vSphere que están asignados a su cuenta. Con este fin, es posible que necesite permisos de solo lectura en vSphere.
Privilegios de espacios de nombres de vSphere
| Nombre del privilegio en vSphere Client | Descripción | Necesario para | Nombre de privilegio en la API |
|---|---|---|---|
| Permite operaciones de retiro de disco | Permite realizar operaciones de retirada de almacenes de datos. | Almacenes de datos |
Namespaces.ManageDisks |
| Archivos de componentes de cargas de trabajo de copia de seguridad | Permite realizar una copia de seguridad del contenido del clúster etcd (solo se utiliza en VMware Cloud on AWS). | Clústeres |
Namespaces.Backup |
| Espacios de nombres accesibles en lista | Permite enumerar los espacios de nombres de vSphere accesibles. | Clústeres |
Namespaces.ListAccess |
| Modificar configuración de todo el clúster | Permite modificar la configuración de Supervisor, así como crear y eliminar los espacios de nombres de vSphere. |
Clústeres |
Namespaces.ManageCapabilities |
| Modificar configuración de autoservicio del espacio de nombres en todo el clúster | Permite modificar la configuración de autoservicio del espacio de nombres de vSphere. | Clústeres (para activar y desactivar)Plantillas (para modificar la configuración)vCenter Server (para crear una plantilla) |
Namespaces.SelfServiceManage |
| Modificar configuración del espacio de nombres | Permite modificar las opciones de configuración del espacio de nombres de vSphere, como la asignación de recursos, los permisos de usuario y las asociaciones de bibliotecas de contenido. |
Clústeres |
Namespaces.Manage |
| Alternar capacidades de clúster | Permite manipular el estado de las capacidades del clúster Supervisor (se utiliza internamente solo para VMware Cloud on AWS). | Clústeres |
No corresponde |
| Actualizar clústeres a versiones más recientes | Permite el inicio de la actualización de Supervisor. | Clústeres |
Namespaces.Upgrade |
Privilegios de servicios de supervisor
Los privilegios de los servicios de supervisor controlan quién puede crear y administrar servicios de supervisor en el entorno de vSphere IaaS control plane.
| Nombre del privilegio en vSphere Client | Descripción | Necesario para | Nombre de privilegio en la API |
|---|---|---|---|
| Administrar servicios de supervisor | Permite crear, actualizar o eliminar un servicio de supervisor. También permite instalar un servicio de supervisor en un Supervisor y crear o eliminar una versión del servicio de supervisor. | Clústeres |
SupervisorServices.Manage |
Privilegios de clases de máquinas virtuales
Los privilegios de clases de máquinas virtuales controlan quién puede agregar y eliminar clases de máquinas virtuales en un espacio de nombres de vSphere.
| Nombre del privilegio en vSphere Client | Descripción | Necesario para | Nombre de privilegio en la API |
|---|---|---|---|
| Administrar clases de máquinas virtuales | Permite administrar clases de máquinas virtuales en los espacios de nombres de vSphere en un Supervisor. |
Clústeres |
VirtualMachineClasses.Manage |
Privilegios de vistas de almacenamiento
Con los privilegios de vistas de almacenamiento, podrá ver las directivas de almacenamiento en vCenter Server para poder asignarlas a los espacios de nombres de vSphere.
| Nombre del privilegio en vSphere Client | Descripción | Necesario para | Nombre de privilegio en la API |
|---|---|---|---|
| Configurar servicio | Permite a los usuarios con privilegios utilizar todas las API del servicio de supervisión de almacenamiento. Utilice para los privilegios sobre las API de solo lectura del servicio de supervisión de almacenamiento. |
vCenter Server raíz |
StorageViews.ConfigureService |
| Ver | Permite a los usuarios con privilegios utilizar las API de solo lectura del servicio de supervisión de almacenamiento. |
vCenter Server raíz |
StorageViews.View |
