Accorder aux développeurs l'accès aux clusters Tanzu Kubernetes

Les développeurs sont les utilisateurs cibles de Kubernetes. Une fois qu'un cluster Tanzu Kubernetes est provisionné, vous pouvez y accorder accès aux développeurs à l'aide de l'authentification vCenter Single Sign-On.

Authentification pour les développeurs

Un administrateur de cluster peut accorder un accès au cluster à d'autres utilisateurs, tels que des développeurs. Les développeurs peuvent déployer des espaces sur des clusters directement à l'aide de leurs comptes d'utilisateur ou indirectement à l'aide de comptes de service. Pour plus d'informations, consultez Utilisation des stratégies de sécurité de l'espace avec les clusters Tanzu Kubernetes.

Pour l'authentification de compte d'utilisateur, les clusters Tanzu Kubernetes prennent en charge les utilisateurs et les groupes vCenter Single Sign-On. L'utilisateur ou le groupe peut être local par rapport à vCenter Server ou synchronisé à partir d'un serveur d'annuaire pris en charge.
Pour l'authentification de compte de service, vous pouvez utiliser des jetons de service. Pour plus d'informations, consultez la documentation Kubernetes.

Ajout d'utilisateurs développeurs à un cluster

Pour accorder aux développeurs l'accès au cluster :

Définissez un rôle ou ClusterRole pour l'utilisateur ou le groupe, et appliquez-le au cluster. Pour plus d'informations, consultez la documentation Kubernetes.
Créez un RoleBinding ou ClusterRoleBinding pour l'utilisateur ou le groupe, et appliquez-le au cluster. Voir l'exemple suivant.

Exemple de RoleBinding

Pour accorder accès à un utilisateur ou un groupe vCenter Single Sign-On, l'objet du RoleBinding doit contenir l'une des valeurs suivantes pour le paramètre name.

Tableau 1. Champs d'utilisateur et de groupe pris en charge
Champ	Description
`sso:USER-NAME@DOMAIN`	Par exemple, un nom d'utilisateur local, tel que `sso:[email protected]`.
`sso:GROUP-NAME@DOMAIN`	Par exemple, un nom de groupe à partir d'un serveur d'annuaire intégré à vCenter Server, tel que `sso:[email protected]`.

L'exemple de RoleBinding suivant lie l'utilisateur local vCenter Single Sign-On nommé Joe au ClusterRole par défaut nommé edit. Ce rôle autorise un accès en lecture/écriture à la plupart des objets d'un espace de noms, dans ce cas l'espace de noms default.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io