En tant qu'administrateur vSphere, vous avez besoin de privilèges pour configurer un Cluster superviseur et gérer des espaces de noms. Vous définissez des autorisations sur les espaces de noms pour déterminer quels ingénieurs DevOps peuvent y accéder. En tant qu'ingénieur DevOps, vous vous authentifiez avec le Cluster superviseur à l'aide de vos informations d'identification vCenter Single Sign-On. Vous pouvez accéder uniquement aux espaces de noms pour lesquels vous disposez d'autorisations.

Autorisations pour les administrateurs vSphere

En tant qu'administrateur vSphere, vous avez besoin d'autorisations sur les clusters vSphere afin de les configurer comme des Clusters superviseurs et de créer et gérer des espaces de noms. Vous devez disposer d'au moins un des privilèges suivants associés à votre compte d'utilisateur sur un cluster vSphere :

  • Modifiez la configuration de l'espace de noms. Vous permet de créer et de configurer des espaces de noms sur un Cluster superviseur.
  • Modifiez la configuration à l'échelle du cluster. Vous permet de configurer un cluster vSphere en tant que Cluster superviseur.

Définition des autorisations pour les ingénieurs DevOps

En tant qu'administrateur vSphere, vous attribuez des autorisations d'affichage, de modification ou de propriétaire aux comptes d'utilisateur au niveau de l'espace de noms. Les comptes d'utilisateur doivent être disponibles dans une source d'identité connectée à vCenter Single Sign-On. Un compte d'utilisateur peut accéder à plusieurs espaces de noms. Les utilisateurs qui sont membres des groupes d'administrateurs ont accès à tous les espaces de noms sur le Cluster superviseur.

Après avoir configuré un espace de noms avec ses autorisations, ses quotas de ressources et son stockage, vous devez fournir l'URL du plan de contrôle Kubernetes aux ingénieurs DevOps, qui peuvent l'utiliser pour se connecter au plan de contrôle. Une fois connectés, les ingénieurs DevOps peuvent accéder à tous les espaces de noms pour lesquels ils disposent d'autorisations sur tous les Clusters superviseurs appartenant à un système vCenter Server. Lorsque les systèmes vCenter Server sont en mode Enhanced Linked Mode, les ingénieurs DevOps peuvent accéder à tous les espaces de noms pour lesquels ils disposent d'autorisations sur tous les Clusters superviseurs disponibles dans le groupe Linked Mode. L'adresse IP du plan de contrôle Kubernetes est une adresse IP virtuelle générée par NSX-T ou un équilibrage de charge utilisé avec la pile de mise en réseau VDS pour servir de point d'accès au plan de contrôle Kubernetes.

Les ingénieurs DevOps disposant d’autorisations de propriétaire peuvent déployer des charges de travail. Ils peuvent partager l'espace de noms avec d'autres ingénieurs ou groupes DevOps et le supprimer lorsqu'il n'est plus requis. Lorsque des ingénieurs DevOps partagent l'espace de noms, ils peuvent attribuer des autorisations d'affichage, de modification ou de propriétaire à d'autres ingénieurs et groupes DevOps.

Authentification auprès du Cluster superviseur

En tant qu'ingénieur DevOps, vous utilisez Outils de l'interface de ligne de commande Kubernetes pour vSphere pour vous authentifier auprès du Cluster superviseur à l'aide de vos informations d'identification vCenter Single Sign-On et de l'adresse IP du plan de contrôle Kubernetes. Pour plus d'informations, consultez Se connecter à Cluster superviseur en tant qu'utilisateur vCenter Single Sign-On.

Lors de votre connexion au Cluster superviseur, un proxy d'authentification redirige la demande vers vCenter Single Sign-On. Le plug-in vSphere kubectl établit une session avec vCenter Server et obtient un jeton d'authentification de vCenter Single Sign-On. Il extrait également une liste d'espaces de noms auxquels vous avez accès et remplit la configuration avec ces espaces de noms. La liste des espaces de noms est mise à jour lors de la prochaine connexion, en cas de modification des autorisations de votre compte d'utilisateur.

Le compte que vous utilisez pour vous connecter au Cluster superviseur vous donne uniquement accès aux espaces de noms qui vous sont attribués. Vous ne pouvez pas vous connecter à l'instance de vCenter Server avec ce compte. Pour vous connecter à l'instance de vCenter Server, vous aurez besoin d'autorisations explicites.
Note : La session sur kubectl dure 10 heures. Après l'expiration de la session, vous devez vous authentifier à nouveau avec le Cluster superviseur. Lors de la déconnexion, le jeton est supprimé du fichier de configuration de votre compte d'utilisateur, mais reste valide jusqu'à la fin de la session.

Authentification avec les clusters Tanzu Kubernetes

Les utilisateurs du cluster Tanzu Kubernetes, notamment les ingénieurs DevOps, les développeurs et les administrateurs, peuvent s'authentifier avec un cluster de différentes manières. Pour plus d'informations, consultez Authentification avec les clusters Tanzu Kubernetes.

Note : Les clusters Tanzu Kubernetes requièrent que les comptes d'utilisateur et système disposent d'une stratégie de sécurité d'espace pour déployer des espaces et des ressources dans un cluster. Pour plus d'informations, consultez Utilisation des stratégies de sécurité de l'espace avec les clusters Tanzu Kubernetes.