En tant qu'administrateur vSphere, vous avez besoin de privilèges pour activer et configurer un Superviseur et gérer des Espaces de noms vSphere. Vous définissez des autorisations sur les espaces de noms pour déterminer quels sont les ingénieurs et les développeurs DevOps qui peuvent y accéder. Vous pouvez également configurer Superviseur avec un fournisseur OpenID Connect (OIDC) externe pour activer l'authentification multifacteur. En tant qu'ingénieur ou développeur DevOps, vous vous authentifiez avec le Superviseur en utilisant vos informations d'identification vCenter Single Sign-On ou les informations d'identification d'un fournisseur OIDC en fonction de ce que votre administrateur vSphere a configuré pour vous sur le Superviseur. Vous pouvez accéder uniquement aux Espaces de noms vSphere pour lesquels vous disposez d'autorisations.

Fournisseurs d'identité pris en charge

vSphere IaaS control plane prend en charge les fournisseurs d'identité suivants :

  • vCenter Single Sign-On. Fournisseur d'identité par défaut que vous utilisez pour vous authentifier auprès de l'environnement vSphere IaaS control plane, y compris les Superviseurs et les clusters Tanzu Kubernetes Grid. vCenter Single Sign-On fournit une authentification pour l'infrastructure vSphere et peut s'intégrer aux systèmes AD/LDAP. Pour plus d'informations sur vCenter Single Sign-On, reportez-vous à la section Authentification de vSphere avec vCenter Single Sign-On.
  • Fournisseur d'identité externe En tant qu'administrateur vSphere, vous pouvez configurer le Superviseur avec un fournisseur d'identité externe qui prend en charge le protocole OpenID Connect. Une fois configuré avec un fournisseur d'identité externe, le Superviseur fonctionne comme un client OAuth 2.0 et utilise le service d'authentification Pinniped pour se connecter aux clusters Tanzu Kubernetes Grid à l'aide de l'interface de ligne de commande Tanzu. L'interface de ligne de commande Tanzu prend en charge le provisionnement et la gestion du cycle de vie des clusters Tanzu Kubernetes Grid. Chaque instance de Superviseur peut prendre en charge un fournisseur d'identité externe.

Authentification auprès du Superviseur

Les différents rôles qui interagissent avec vSphere IaaS control plane peuvent utiliser les méthodes suivantes pour s'authentifier auprès du Superviseur :

  • Administrateur vSphere. En tant qu'administrateur vSphere, vous utilisez vCenter Single Sign-On pour vous authentifier auprès de vSphere via vSphere Client. Vous pouvez également utiliser le Plug-in vSphere pour kubectl pour vous authentifier auprès du Superviseur et des clusters Tanzu Kubernetes Grid via kubectl. Pour plus d'informations reportez-vous à la section Connexion au superviseur en tant qu'utilisateur vCenter Single Sign-On.
  • Ingénieur ou développeur DevOps. En tant qu'ingénieur ou développeur DevOps, vous utilisez vCenter Single Sign-On pour vous authentifier auprès du Superviseur via le Plug-in vSphere pour kubectl et kubectl. Vous pouvez également vous connecter à un Superviseur à l'aide des informations d'identification du fournisseur d'identité externe configuré avec ce Superviseur. Pour plus d'informations, reportez-vous à la section Connexion aux clusters TKG sur le superviseur à l'aide d'un fournisseur d'identité externe.

Sessions de connexion avec le Superviseur

Lors de votre connexion au Superviseur en tant qu'utilisateur vCenter Single Sign-On, un proxy d'authentification redirige la demande vers vCenter Single Sign-On. Le Plug-in vSphere pour kubectl établit une session avec vCenter Server et obtient un jeton d'authentification de vCenter Single Sign-On. Il extrait également une liste d'Espaces de noms vSphere auxquels vous avez accès et remplit la configuration avec ces Espaces de noms vSphere. La liste des Espaces de noms vSphere est mise à jour lors de la prochaine connexion, en cas de modification des autorisations de votre compte d'utilisateur.

Le compte que vous utilisez pour vous connecter au Superviseur vous donne uniquement accès aux Espaces de noms vSphere qui vous sont attribués. Pour vous connecter à vCenter Server, votre administrateur vSphere doit définir les autorisations appropriées sur votre compte sur un ou plusieurs Espaces de noms vSphere.
Note : La session sur kubectl dure 10 heures. Après l'expiration de la session, vous devez vous authentifier à nouveau avec le Superviseur. Lors de la déconnexion, le jeton est supprimé du fichier de configuration de votre compte d'utilisateur, mais reste valide jusqu'à la fin de la session.

Authentification avec les clusters Tanzu Kubernetes Grid

En tant qu'ingénieur ou développeur DevOps, vous vous connectez aux clusters Tanzu Kubernetes Grid provisionnés pour les exploiter et les gérer. Lorsque l'autorisation Modifier ou Propriétaire est accordée à votre compte d'utilisateur sur l'Espace de noms vSphere dans lequel le cluster Tanzu Kubernetes Grid est provisionné, votre compte est attribué au rôle cluster-admin. En outre, vous pouvez utiliser l'utilisateur kubernetes-admin pour vous connecter également à Tanzu Kubernetes Grid. Vous pouvez également accorder aux développeurs l'accès aux clusters Tanzu Kubernetes Grid en liant un utilisateur ou un groupe à la stratégie de sécurité de l'espace personnalisée ou par défaut. Pour plus d'informations, reportez-vous aux sections Connexion à des clusters TKG sur le superviseur à l'aide de l'authentification vCenter SSO et Connexion à des clusters TKG sur le superviseur en utilisant un fournisseur d'identité externe.

Autorisations de rôle des Espaces de noms vSphere

En tant qu'administrateur vSphere, vous attribuez des autorisations Afficher, Modifier ou Propriétaire aux ingénieurs ou développeurs DevOps sur les Espaces de noms vSphere. Leurs utilisateurs ou groupes doivent être disponibles dans vCenter Single Sign-On ou dans un fournisseur d'identité externe configuré avec le Superviseur. Un utilisateur ou groupe peut accéder à plusieurs Espaces de noms vSphere. Chaque rôle d'Espace de noms vSphere permet les actions suivantes :

Rôle Description
Peut afficher Accès en lecture seule pour l'utilisateur ou le groupe. L'utilisateur ou le groupe peut se connecter au plan de contrôle du Superviseur et répertorier les charges de travail s'exécutant dans l'Espace de noms vSphere, telles que les Espaces vSphere, les clusters Tanzu Kubernetes Grid et les machines virtuelles.
Peut modifier L'utilisateur ou le groupe peut créer, lire, mettre à jour et supprimer des Espaces vSphere, des clusters Tanzu Kubernetes Grid et des machines virtuelles. Les utilisateurs qui font partie du groupe Administrateurs disposent d'autorisations de modification sur tous les espaces de noms du Superviseur.
Propriétaire Les utilisateurs ou les groupes disposant d'autorisations de propriétaire peuvent :
  • Déployer et administrer des charges de travail dans l'Espace de noms vSphere.
  • Partager des Espace de noms vSphere avec d'autres utilisateurs ou groupes.
  • Créer et supprimer des Espaces de noms vSphere supplémentaires à l'aide de kubectl. Lorsque des utilisateurs avec l'autorisation de propriétaire partagent l'espace de noms, ils peuvent attribuer des autorisations d'affichage, de modification ou de propriétaire à d'autres utilisateurs ou groupes.
Note : Le rôle de propriétaire est pris en charge pour les utilisateurs disponibles dans vCenter Single Sign-On. Vous ne pouvez pas utiliser le rôle de propriétaire avec un utilisateur ou un groupe d'un fournisseur d'identité externe.

Pour plus d'informations sur la création et la configuration des Espaces de noms vSphere, reportez-vous à la section Créer et configurer un espace de noms vSphere.

En tant qu'administrateur vSphere, après avoir configuré un Espace de noms vSphere avec ses autorisations de rôle, ses quotas de ressources et son stockage, vous devez fournir l'URL du plan de contrôle du Superviseur aux ingénieurs et développeurs DevOps, qui peuvent l'utiliser pour se connecter au plan de contrôle. Une fois connectés, les ingénieurs et développeurs DevOps peuvent accéder à tous les Espaces de noms vSphere pour lesquels ils disposent d'autorisations sur tous les Superviseurs configurés avec les mêmes fournisseurs d'identité qui appartiennent à un système vCenter Server. Lorsque les systèmes vCenter Server sont en mode Enhanced Linked Mode, les ingénieurs et développeurs DevOps peuvent accéder à tous les Espaces de noms vSphere pour lesquels ils disposent d'autorisations sur tous les Superviseurs disponibles dans le groupe Linked Mode. L'adresse IP du plan de contrôle du Superviseur est une adresse IP virtuelle générée par NSX, ou un équilibrage de charge dans le cas d'une mise en réseau VDS, pour servir de point d'accès au plan de contrôle du Superviseur.

Autorisations de l'administrateur vSphere.

En tant qu'administrateur vSphere, votre compte d'utilisateur dispose généralement des autorisations suivantes :
Objet Autorisations
utilisateur vCenter Single Sign-On Groupe Administrateurs
utilisateur Espaces de noms vSphere Les membres du groupe Administrateurs obtiennent les autorisations Modifier sur tous les Espaces de noms vSphere.
En fonction de l'interface que vous utilisez pour interagir avec vSphere IaaS control plane, vous pouvez effectuer différentes opérations avec les autorisations accordées :
Interface Opérations
vSphere Client Lorsque vous êtes connecté en tant qu'administrateur au vSphere Client, vous pouvez :
  • Activer et configurer les Superviseurs.
  • Créer et configurer les Espaces de noms vSphere avec des allocations de ressources et des autorisations de rôle pour les ingénieurs ou les développeurs DevOps. Des autorisations de rôle sur les Espaces de noms vSphere sont requises pour les utilisateurs ou les groupes qui souhaitent se connecter au plan de contrôle du Superviseur via kubectl pour exécuter et gérer des charges de travail.
  • Déployer et gérer le Service de superviseur sur les Superviseurs
kubectl Si vous êtes connecté au plan de contrôle du Superviseur avec un compte d'administrateur vCenter Single Sign-On, vous pouvez :
  • Afficher les ressources dans tous les Espaces de noms vSphere, y compris les Espaces de noms vSphere système (kube-system et tous les espaces de noms vmware-system-*)
  • Modifier les ressources dans tous les Espaces de noms vSphere non-système, qui sont des espaces de noms créés via les API vSphere Client ou vCenter Server.

Cependant, lorsque vous êtes connecté au plan de contrôle du Superviseur avec un compte faisant partie du groupe Administrateurs, vous n'êtes pas autorisé à modifier des ressources au niveau du cluster, à créer des Espaces de noms vSphere à l'aide de kubectl ou à créer des liaisons de rôle. Vous devez utiliser vSphere Client comme interface principale pour définir des quotas de ressources, créer et configurer des Espaces de noms vSphere et configurer des autorisations d'utilisateur.

Autorisations des ingénieurs et développeurs DevOps

En tant qu'ingénieur ou développeur DevOps, votre compte d'utilisateur nécessite généralement les autorisations suivantes :
Objet Autorisations
Espaces de noms vSphere Modifier ou Propriétaire
utilisateur vCenter Single Sign-On Aucun ou Lecture seule

En tant qu'ingénieur ou développeur DevOps, vous utilisez kubectl comme interface principale pour interagir avec vSphere IaaS control plane. Vous devez pouvoir vous connecter au plan de contrôle du Superviseur via le Plug-in vSphere pour kubectl pour afficher, exécuter et gérer des charges de travail dans les Espaces de noms vSphere qui vous sont attribuées. Par conséquent, votre compte d'utilisateur a besoin des autorisations Modifier ou Propriétaire sur un ou plusieurs Espaces de noms vSphere.

En général, vous n'avez pas besoin d'effectuer d'opérations administratives sur les Superviseurs via vSphere Client. Cependant, dans certains cas, vous souhaiterez peut-être vous connecter à vSphere Client pour afficher les ressources et les charges de travail dans les Espaces de noms vSphere qui sont attribuées à votre compte. À cette fin, vous pouvez avoir besoin d'autorisations en lecture seule sur vSphere.

Privilèges Espaces de noms vSphere

Les privilèges de Espaces de noms vSphere contrôlent la façon dont vous interagissez avec vSphere IaaS control plane. Vous pouvez définir un privilège à différents niveaux dans la hiérarchie. Par exemple, si vous définissez un privilège au niveau du dossier, vous pouvez propager le privilège à un ou plusieurs objets dans le dossier. Le privilège doit être défini pour l'objet répertorié dans la colonne Requis, soit directement soit de manière héritée.
Nom du privilège dans vSphere Client Description Requis sur Nom du privilège dans l'API
Autorise les opérations de désaffectation de disque Permet la désaffectation des banques de données.

Centres de données

Namespaces.ManageDisks
Fichiers de composants de charges de travail de sauvegarde Autorise la sauvegarde du contenu du cluster etcd (utilisé uniquement dans VMware Cloud on AWS).

Clusters

Namespaces.Backup
Répertorier les espaces de noms accessibles Permet de répertorier les Espaces de noms vSphere accessibles.

Clusters

Namespaces.ListAccess
Modifier la configuration à l'échelle du cluster

Permet de modifier la configuration du Superviseur, ainsi que de créer et de supprimer des Espaces de noms vSphere.

Clusters

Namespaces.ManageCapabilities
Modifier la configuration de libre-service d'espace de noms à l'échelle du cluster Permet de modifier la configuration en libre-service de l'Espace de noms vSphere.

Clusters

(pour activer et désactiver)

Modèles

(pour modifier la configuration)

vCenter Server

(pour créer un modèle)
Namespaces.SelfServiceManage
Modifier la configuration de l'espace de noms

Permet de modifier les options de configuration de l'Espace de noms vSphere, telles que l'allocation des ressources, les autorisations des utilisateurs et les associations de bibliothèque de contenu.

Clusters

Namespaces.Manage
Activer ou désactiver les capacités du cluster Permet de manipuler l'état des capacités du cluster Superviseur (utilisé en interne uniquement pour VMware Cloud on AWS).

Clusters

S/O
Mettre à niveau les clusters vers des versions plus récentes Permet de lancer la mise à niveau du Superviseur.

Clusters

Namespaces.Upgrade

Privilèges Services de superviseur

Les privilèges des Services de superviseur contrôlent les utilisateurs autorisés à créer et gérer des Services de superviseur dans l'environnement vSphere IaaS control plane.

Tableau 1. Privilèges Services de superviseur
Nom du privilège dans vSphere Client Description Requis sur Nom du privilège dans l'API
Gérer les services de superviseur Permet la création, la mise à jour ou la suppression d'un Service de superviseur. Permet également d'installer un Service de superviseur sur un Superviseur, et de créer ou supprimer une version de Service de superviseur.

Clusters

SupervisorServices.Manage

Privilèges de classes de machine virtuelle

Les privilèges de classes de machine virtuelle contrôlent les utilisateurs autorisés à ajouter et supprimer des classes de machine virtuelle sur un Espace de noms vSphere.

Tableau 2. Privilèges de classes de machine virtuelle
Nom du privilège dans vSphere Client Description Requis sur Nom du privilège dans l'API
Gérer les classes de machine virtuelle

Permet de gérer des classes de machine virtuelle sur les Espaces de noms vSphere d'un Superviseur.

Clusters

VirtualMachineClasses.Manage

Privilèges de vues de stockage

Avec les privilèges de vues de stockage, vous pourrez afficher les stratégies de stockage dans vCenter Server afin de pouvoir les attribuer aux Espaces de noms vSphere.

Tableau 3. Privilèges de vues de stockage
Nom du privilège dans vSphere Client Description Requis sur Nom du privilège dans l'API
Configurer un service

Permet aux utilisateurs privilégiés d'utiliser toutes les API du service de surveillance du stockage. Utilisez Vues de stockage.Afficher pour les privilèges des API en lecture seule du service de surveillance du stockage.

Instance racine de vCenter Server

StorageViews.ConfigureService
Afficher

Permet aux utilisateurs ayant des privilèges d'utiliser les API en lecture seule du service de surveillance du stockage.

Instance racine de vCenter Server

StorageViews.View