Un administrador de clústeres puede otorgar acceso al clúster a otros usuarios, como desarrolladores. Los desarrolladores pueden implementar pods en clústeres directamente mediante sus cuentas de usuario o de forma indirecta a través de cuentas de servicio.

• Para la autenticación de la cuenta de usuario, los clústeres de Servicio TKG admiten usuarios y grupos de vCenter Single Sign-On. El usuario o el grupo pueden ser locales para la instancia de vCenter Server o sincronizarse desde un servidor de directorio compatible.
• Los usuarios y grupos de OIDC externos se asignan directamente a funciones del espacio de nombres de vSphere.
• Para la autenticación de la cuenta de servicio, puede utilizar tokens de servicio. Para obtener más información, consulte la documentación de Kubernetes.

Para conceder acceso al clúster a desarrolladores, haga lo siguiente:

1. Defina una función o ClusterRole para el usuario o el grupo y aplíquelos al clúster. Para obtener más información, consulte la documentación de Kubernetes.
2. Cree un RoleBinding o ClusterRoleBinding para el usuario o grupo y aplíquelo al clúster. Vea el ejemplo siguiente:

Para conceder acceso a un usuario o grupo de vCenter Single Sign-On, el asunto en RoleBinding debe contener uno de los siguientes valores para el parámetro name.

Tabla 1. Campos de usuario y grupo admitidos

Campo	Descripción
sso:USER-NAME@DOMAIN	Por ejemplo, un nombre de usuario local, como sso:[email protected].
sso:GROUP-NAME@DOMAIN	Por ejemplo, un nombre de grupo de un servidor de directorio integrado con la instancia de vCenter Server, como sso:[email protected].

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io