Los desarrolladores son los usuarios de destino de Kubernetes. Una vez que se aprovisione un clúster de Tanzu Kubernetes, puede conceder acceso de desarrollador mediante autenticación de vCenter Single Sign-On.
Autenticación para desarrolladores
Un administrador de clústeres puede otorgar acceso al clúster a otros usuarios, como desarrolladores. Los desarrolladores pueden implementar pods en clústeres directamente mediante sus cuentas de usuario o de forma indirecta a través de cuentas de servicio. Para obtener más información, consulte
Otorgar acceso de SSO a clústeres de carga de trabajo a los desarrolladores en
Uso del servicio TKG con el plano de control de IaaS de vSphere.
- Para la autenticación de la cuenta de usuario, los clústeres de Tanzu Kubernetes admiten usuarios y grupos de vCenter Single Sign-On. El usuario o el grupo pueden ser locales para la instancia de vCenter Server o sincronizarse desde un servidor de directorio compatible.
- Para la autenticación de la cuenta de servicio, puede utilizar tokens de servicio. Para obtener más información, consulte la documentación de Kubernetes.
Agregar usuarios desarrolladores a un clúster
Para conceder acceso al clúster a desarrolladores, haga lo siguiente:
- Defina una función o ClusterRole para el usuario o el grupo y aplíquelos al clúster. Para obtener más información, consulte la documentación de Kubernetes.
- Cree un RoleBinding o ClusterRoleBinding para el usuario o grupo y aplíquelo al clúster. Vea el ejemplo siguiente:
Ejemplo de RoleBinding
Para conceder acceso a un usuario o grupo de
vCenter Single Sign-On, el asunto en RoleBinding debe contener uno de los siguientes valores para el parámetro
name
.
Campo | Descripción |
---|---|
sso:USER-NAME@DOMAIN |
Por ejemplo, un nombre de usuario local, como sso:[email protected] . |
sso:GROUP-NAME@DOMAIN |
Por ejemplo, un nombre de grupo de un servidor de directorio integrado con la instancia de vCenter Server, como sso:[email protected] . |
El siguiente ejemplo de RoleBinding enlaza el usuario local de vCenter Single Sign-On, llamado Joe, al objeto ClusterRole predeterminado denominado edit
. Esta función permite el acceso de lectura/escritura a la mayoría de los objetos en un espacio de nombres, en este caso, el espacio de nombres default
.
kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: rolebinding-cluster-user-joe namespace: default roleRef: kind: ClusterRole name: edit #Default ClusterRole apiGroup: rbac.authorization.k8s.io subjects: - kind: User name: sso:[email protected] #sso:<username>@<domain> apiGroup: rbac.authorization.k8s.io