Conceder acceso de desarrollador a clústeres de Tanzu Kubernetes

Los desarrolladores son los usuarios de destino de Kubernetes. Una vez que se aprovisione un clúster de Tanzu Kubernetes, puede conceder acceso de desarrollador mediante autenticación de vCenter Single Sign-On.

Autenticación para desarrolladores

Un administrador de clústeres puede otorgar acceso al clúster a otros usuarios, como desarrolladores. Los desarrolladores pueden implementar pods en clústeres directamente mediante sus cuentas de usuario o de forma indirecta a través de cuentas de servicio. Para obtener más información, consulte Otorgar acceso de SSO a clústeres de carga de trabajo a los desarrolladores en Uso del servicio TKG con el plano de control de IaaS de vSphere.

Para la autenticación de la cuenta de usuario, los clústeres de Tanzu Kubernetes admiten usuarios y grupos de vCenter Single Sign-On. El usuario o el grupo pueden ser locales para la instancia de vCenter Server o sincronizarse desde un servidor de directorio compatible.
Para la autenticación de la cuenta de servicio, puede utilizar tokens de servicio. Para obtener más información, consulte la documentación de Kubernetes.

Agregar usuarios desarrolladores a un clúster

Para conceder acceso al clúster a desarrolladores, haga lo siguiente:

Defina una función o ClusterRole para el usuario o el grupo y aplíquelos al clúster. Para obtener más información, consulte la documentación de Kubernetes.
Cree un RoleBinding o ClusterRoleBinding para el usuario o grupo y aplíquelo al clúster. Vea el ejemplo siguiente:

Ejemplo de RoleBinding

Para conceder acceso a un usuario o grupo de vCenter Single Sign-On, el asunto en RoleBinding debe contener uno de los siguientes valores para el parámetro name.

Tabla 1. Campos de usuario y grupo admitidos
Campo	Descripción
`sso:USER-NAME@DOMAIN`	Por ejemplo, un nombre de usuario local, como `sso:[email protected]`.
`sso:GROUP-NAME@DOMAIN`	Por ejemplo, un nombre de grupo de un servidor de directorio integrado con la instancia de vCenter Server, como `sso:[email protected]`.

El siguiente ejemplo de RoleBinding enlaza el usuario local de vCenter Single Sign-On, llamado Joe, al objeto ClusterRole predeterminado denominado edit. Esta función permite el acceso de lectura/escritura a la mayoría de los objetos en un espacio de nombres, en este caso, el espacio de nombres default.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io