En tant qu'administrateur vSphere, vous avez besoin de privilèges pour activer et configurer un Superviseur et gérer des Espaces de noms vSphere. Vous définissez des autorisations sur les espaces de noms pour déterminer quels sont les ingénieurs et les développeurs DevOps qui peuvent y accéder. Vous pouvez également configurer Superviseur avec un fournisseur OpenID Connect (OIDC) externe pour activer l'authentification multifacteur. En tant qu'ingénieur ou développeur DevOps, vous vous authentifiez avec le Superviseur en utilisant vos informations d'identification vCenter Single Sign-On ou les informations d'identification d'un fournisseur OIDC en fonction de ce que votre administrateur vSphere a configuré pour vous sur le Superviseur. Vous pouvez accéder uniquement aux Espaces de noms vSphere pour lesquels vous disposez d'autorisations.
Fournisseurs d'identité pris en charge
vSphere IaaS control plane prend en charge les fournisseurs d'identité suivants :
- vCenter Single Sign-On. Fournisseur d'identité par défaut que vous utilisez pour vous authentifier auprès de l'environnement vSphere IaaS control plane, y compris les Superviseurs et les clusters Tanzu Kubernetes Grid. vCenter Single Sign-On fournit une authentification pour l'infrastructure vSphere et peut s'intégrer aux systèmes AD/LDAP. Pour plus d'informations sur vCenter Single Sign-On, reportez-vous à la section Authentification de vSphere avec vCenter Single Sign-On.
- Fournisseur d'identité externe En tant qu'administrateur vSphere, vous pouvez configurer le Superviseur avec un fournisseur d'identité externe qui prend en charge le protocole OpenID Connect. Une fois configuré avec un fournisseur d'identité externe, le Superviseur fonctionne comme un client OAuth 2.0 et utilise le service d'authentification Pinniped pour se connecter aux clusters Tanzu Kubernetes Grid à l'aide de l'interface de ligne de commande Tanzu. L'interface de ligne de commande Tanzu prend en charge le provisionnement et la gestion du cycle de vie des clusters Tanzu Kubernetes Grid. Chaque instance de Superviseur peut prendre en charge un fournisseur d'identité externe.
Authentification auprès du Superviseur
Les différents rôles qui interagissent avec vSphere IaaS control plane peuvent utiliser les méthodes suivantes pour s'authentifier auprès du Superviseur :
- Administrateur vSphere. En tant qu'administrateur vSphere, vous utilisez vCenter Single Sign-On pour vous authentifier auprès de vSphere via vSphere Client. Vous pouvez également utiliser le Plug-in vSphere pour kubectl pour vous authentifier auprès du Superviseur et des clusters Tanzu Kubernetes Grid via kubectl. Pour plus d'informations reportez-vous à la section Connexion au superviseur en tant qu'utilisateur vCenter Single Sign-On.
- Ingénieur ou développeur DevOps. En tant qu'ingénieur ou développeur DevOps, vous utilisez vCenter Single Sign-On pour vous authentifier auprès du Superviseur via le Plug-in vSphere pour kubectl et kubectl. Vous pouvez également vous connecter à un Superviseur à l'aide des informations d'identification du fournisseur d'identité externe configuré avec ce Superviseur. Pour plus d'informations, reportez-vous à la section Connexion aux clusters TKG sur le superviseur à l'aide d'un fournisseur d'identité externe.
Sessions de connexion avec le Superviseur
Lors de votre connexion au Superviseur en tant qu'utilisateur vCenter Single Sign-On, un proxy d'authentification redirige la demande vers vCenter Single Sign-On. Le Plug-in vSphere pour kubectl établit une session avec vCenter Server et obtient un jeton d'authentification de vCenter Single Sign-On. Il extrait également une liste d'Espaces de noms vSphere auxquels vous avez accès et remplit la configuration avec ces Espaces de noms vSphere. La liste des Espaces de noms vSphere est mise à jour lors de la prochaine connexion, en cas de modification des autorisations de votre compte d'utilisateur.
Authentification avec les clusters Tanzu Kubernetes Grid
En tant qu'ingénieur ou développeur DevOps, vous vous connectez aux clusters Tanzu Kubernetes Grid provisionnés pour les exploiter et les gérer. Lorsque l'autorisation Modifier ou Propriétaire est accordée à votre compte d'utilisateur sur l'Espace de noms vSphere dans lequel le cluster Tanzu Kubernetes Grid est provisionné, votre compte est attribué au rôle cluster-admin. En outre, vous pouvez utiliser l'utilisateur kubernetes-admin
pour vous connecter également à Tanzu Kubernetes Grid. Vous pouvez également accorder aux développeurs l'accès aux clusters Tanzu Kubernetes Grid en liant un utilisateur ou un groupe à la stratégie de sécurité de l'espace personnalisée ou par défaut. Pour plus d'informations, reportez-vous aux sections Connexion à des clusters TKG sur le superviseur à l'aide de l'authentification vCenter SSO et Connexion à des clusters TKG sur le superviseur en utilisant un fournisseur d'identité externe.
Autorisations de rôle des Espaces de noms vSphere
En tant qu'administrateur vSphere, vous attribuez des autorisations Afficher, Modifier ou Propriétaire aux ingénieurs ou développeurs DevOps sur les Espaces de noms vSphere. Leurs utilisateurs ou groupes doivent être disponibles dans vCenter Single Sign-On ou dans un fournisseur d'identité externe configuré avec le Superviseur. Un utilisateur ou groupe peut accéder à plusieurs Espaces de noms vSphere. Chaque rôle d'Espace de noms vSphere permet les actions suivantes :
Rôle | Description |
---|---|
Peut afficher | Accès en lecture seule pour l'utilisateur ou le groupe. L'utilisateur ou le groupe peut se connecter au plan de contrôle du Superviseur et répertorier les charges de travail s'exécutant dans l'Espace de noms vSphere, telles que les Espaces vSphere, les clusters Tanzu Kubernetes Grid et les machines virtuelles. |
Peut modifier | L'utilisateur ou le groupe peut créer, lire, mettre à jour et supprimer des Espaces vSphere, des clusters Tanzu Kubernetes Grid et des machines virtuelles. Les utilisateurs qui font partie du groupe Administrateurs disposent d'autorisations de modification sur tous les espaces de noms du Superviseur. |
Propriétaire | Les utilisateurs ou les groupes disposant d'autorisations de propriétaire peuvent :
Note : Le rôle de propriétaire est pris en charge pour les utilisateurs disponibles dans
vCenter Single Sign-On. Vous ne pouvez pas utiliser le rôle de propriétaire avec un utilisateur ou un groupe d'un fournisseur d'identité externe.
|
Pour plus d'informations sur la création et la configuration des Espaces de noms vSphere, reportez-vous à la section Créer et configurer un espace de noms vSphere.
En tant qu'administrateur vSphere, après avoir configuré un Espace de noms vSphere avec ses autorisations de rôle, ses quotas de ressources et son stockage, vous devez fournir l'URL du plan de contrôle du Superviseur aux ingénieurs et développeurs DevOps, qui peuvent l'utiliser pour se connecter au plan de contrôle. Une fois connectés, les ingénieurs et développeurs DevOps peuvent accéder à tous les Espaces de noms vSphere pour lesquels ils disposent d'autorisations sur tous les Superviseurs configurés avec les mêmes fournisseurs d'identité qui appartiennent à un système vCenter Server. Lorsque les systèmes vCenter Server sont en mode Enhanced Linked Mode, les ingénieurs et développeurs DevOps peuvent accéder à tous les Espaces de noms vSphere pour lesquels ils disposent d'autorisations sur tous les Superviseurs disponibles dans le groupe Linked Mode. L'adresse IP du plan de contrôle du Superviseur est une adresse IP virtuelle générée par NSX, ou un équilibrage de charge dans le cas d'une mise en réseau VDS, pour servir de point d'accès au plan de contrôle du Superviseur.
Autorisations de l'administrateur vSphere.
Objet | Autorisations |
---|---|
utilisateur vCenter Single Sign-On | Groupe Administrateurs |
utilisateur Espaces de noms vSphere | Les membres du groupe Administrateurs obtiennent les autorisations Modifier sur tous les Espaces de noms vSphere. |
Interface | Opérations |
---|---|
vSphere Client | Lorsque vous êtes connecté en tant qu'administrateur au vSphere Client, vous pouvez :
|
kubectl | Si vous êtes connecté au plan de contrôle du Superviseur avec un compte d'administrateur vCenter Single Sign-On, vous pouvez :
Cependant, lorsque vous êtes connecté au plan de contrôle du Superviseur avec un compte faisant partie du groupe Administrateurs, vous n'êtes pas autorisé à modifier des ressources au niveau du cluster, à créer des Espaces de noms vSphere à l'aide de kubectl ou à créer des liaisons de rôle. Vous devez utiliser vSphere Client comme interface principale pour définir des quotas de ressources, créer et configurer des Espaces de noms vSphere et configurer des autorisations d'utilisateur. |
Autorisations des ingénieurs et développeurs DevOps
Objet | Autorisations |
---|---|
Espaces de noms vSphere | Modifier ou Propriétaire |
utilisateur vCenter Single Sign-On | Aucun ou Lecture seule |
En tant qu'ingénieur ou développeur DevOps, vous utilisez kubectl comme interface principale pour interagir avec vSphere IaaS control plane. Vous devez pouvoir vous connecter au plan de contrôle du Superviseur via le Plug-in vSphere pour kubectl pour afficher, exécuter et gérer des charges de travail dans les Espaces de noms vSphere qui vous sont attribuées. Par conséquent, votre compte d'utilisateur a besoin des autorisations Modifier ou Propriétaire sur un ou plusieurs Espaces de noms vSphere.
En général, vous n'avez pas besoin d'effectuer d'opérations administratives sur les Superviseurs via vSphere Client. Cependant, dans certains cas, vous souhaiterez peut-être vous connecter à vSphere Client pour afficher les ressources et les charges de travail dans les Espaces de noms vSphere qui sont attribuées à votre compte. À cette fin, vous pouvez avoir besoin d'autorisations en lecture seule sur vSphere.
Privilèges Espaces de noms vSphere
Nom du privilège dans vSphere Client | Description | Requis sur | Nom du privilège dans l'API |
---|---|---|---|
Autorise les opérations de désaffectation de disque | Permet la désaffectation des banques de données. | Centres de données |
Namespaces.ManageDisks |
Fichiers de composants de charges de travail de sauvegarde | Autorise la sauvegarde du contenu du cluster etcd (utilisé uniquement dans VMware Cloud on AWS). | Clusters |
Namespaces.Backup |
Répertorier les espaces de noms accessibles | Permet de répertorier les Espaces de noms vSphere accessibles. | Clusters |
Namespaces.ListAccess |
Modifier la configuration à l'échelle du cluster | Permet de modifier la configuration du Superviseur, ainsi que de créer et de supprimer des Espaces de noms vSphere. |
Clusters |
Namespaces.ManageCapabilities |
Modifier la configuration de libre-service d'espace de noms à l'échelle du cluster | Permet de modifier la configuration en libre-service de l'Espace de noms vSphere. | Clusters (pour activer et désactiver)Modèles (pour modifier la configuration)vCenter Server (pour créer un modèle) |
Namespaces.SelfServiceManage |
Modifier la configuration de l'espace de noms | Permet de modifier les options de configuration de l'Espace de noms vSphere, telles que l'allocation des ressources, les autorisations des utilisateurs et les associations de bibliothèque de contenu. |
Clusters |
Namespaces.Manage |
Activer ou désactiver les capacités du cluster | Permet de manipuler l'état des capacités du cluster Superviseur (utilisé en interne uniquement pour VMware Cloud on AWS). | Clusters |
S/O |
Mettre à niveau les clusters vers des versions plus récentes | Permet de lancer la mise à niveau du Superviseur. | Clusters |
Namespaces.Upgrade |
Privilèges Services de superviseur
Les privilèges des Services de superviseur contrôlent les utilisateurs autorisés à créer et gérer des Services de superviseur dans l'environnement vSphere IaaS control plane.
Nom du privilège dans vSphere Client | Description | Requis sur | Nom du privilège dans l'API |
---|---|---|---|
Gérer les services de superviseur | Permet la création, la mise à jour ou la suppression d'un Service de superviseur. Permet également d'installer un Service de superviseur sur un Superviseur, et de créer ou supprimer une version de Service de superviseur. | Clusters |
SupervisorServices.Manage |
Privilèges de classes de machine virtuelle
Les privilèges de classes de machine virtuelle contrôlent les utilisateurs autorisés à ajouter et supprimer des classes de machine virtuelle sur un Espace de noms vSphere.
Nom du privilège dans vSphere Client | Description | Requis sur | Nom du privilège dans l'API |
---|---|---|---|
Gérer les classes de machine virtuelle | Permet de gérer des classes de machine virtuelle sur les Espaces de noms vSphere d'un Superviseur. |
Clusters |
VirtualMachineClasses.Manage |
Privilèges de vues de stockage
Avec les privilèges de vues de stockage, vous pourrez afficher les stratégies de stockage dans vCenter Server afin de pouvoir les attribuer aux Espaces de noms vSphere.
Nom du privilège dans vSphere Client | Description | Requis sur | Nom du privilège dans l'API |
---|---|---|---|
Configurer un service | Permet aux utilisateurs privilégiés d'utiliser toutes les API du service de surveillance du stockage. Utilisez pour les privilèges des API en lecture seule du service de surveillance du stockage. |
Instance racine de vCenter Server |
StorageViews.ConfigureService |
Afficher | Permet aux utilisateurs ayant des privilèges d'utiliser les API en lecture seule du service de surveillance du stockage. |
Instance racine de vCenter Server |
StorageViews.View |