En tant qu'administrateur vSphere, vous avez besoin de privilèges pour configurer un Superviseur et gérer des espaces de noms. Vous définissez des autorisations sur les espaces de noms pour déterminer quels ingénieurs DevOps peuvent y accéder. Vous pouvez également configurer Superviseur avec un fournisseur OpenID Connect (OIDC) externe pour activer l'authentification multifacteur. En tant qu'ingénieur DevOps, vous vous authentifiez avec le Superviseur en utilisant vos informations d'identification vCenter Single Sign-On ou les informations d'identification d'un fournisseur OIDC en fonction de ce que votre administrateur vSphere a configuré pour vous sur le Superviseur. Vous pouvez accéder uniquement aux espaces de noms pour lesquels vous disposez d'autorisations.

Autorisations pour les administrateurs vSphere

En tant qu'administrateur vSphere, vous avez besoin d'autorisations sur les clusters vSphere afin de les configurer comme des Superviseur et de créer et gérer des espaces de noms. Vous devez disposer d'au moins un des privilèges suivants associés à votre compte d'utilisateur sur un cluster vSphere :

  • Modifiez la configuration de l'espace de noms. Vous permet de créer et de configurer des espaces de noms sur un Superviseur.
  • Modifiez la configuration à l'échelle du cluster. Vous permet de configurer un cluster vSphere en tant que Superviseur.

Définition des autorisations pour les ingénieurs DevOps

En tant qu'administrateur vSphere, vous attribuez des autorisations d'affichage, de modification ou de propriétaire aux comptes d'utilisateur au niveau de l'espace de noms. Les comptes d'utilisateurs doivent être disponibles dans une source d'identité qui est connectée à vCenter Single Sign-On ou dans un fournisseur OIDC configuré avec le Superviseur. Un compte d'utilisateur peut accéder à plusieurs espaces de noms. Les utilisateurs qui sont membres des groupes d'administrateurs ont accès à tous les espaces de noms sur le Superviseur.

Après avoir configuré un espace de noms avec ses autorisations, ses quotas de ressources et son stockage, vous devez fournir l'URL du plan de contrôle Kubernetes aux ingénieurs DevOps, qui peuvent l'utiliser pour se connecter au plan de contrôle. Une fois connectés, les ingénieurs DevOps peuvent accéder à tous les espaces de noms pour lesquels ils disposent d'autorisations sur tous les Superviseurs configurés avec le même fournisseur d'identité qui appartient à un système vCenter Server. Lorsque les systèmes vCenter Server sont en mode Enhanced Linked Mode, les ingénieurs DevOps peuvent accéder à tous les espaces de noms pour lesquels ils disposent d'autorisations sur tous les Superviseurs disponibles dans le groupe Linked Mode. L'adresse IP du plan de contrôle Kubernetes est une adresse IP virtuelle générée par NSX, ou un équilibrage de charge dans le cas d'une mise en réseau VDS, pour servir de point d'accès au plan de contrôle Kubernetes sur le plan de contrôle.

Les ingénieurs DevOps disposant d’autorisations de propriétaire peuvent déployer des charges de travail. Ils peuvent partager l'espace de noms avec d'autres utilisateurs ou groupes DevOps et le supprimer lorsqu'il n'est plus requis. Lorsque des ingénieurs DevOps partagent l'espace de noms, ils peuvent attribuer des autorisations d'affichage, de modification ou de propriétaire à d'autres ingénieurs et groupes DevOps.

Authentification auprès du Superviseur

En tant qu'ingénieur DevOps, vous utilisez Outils de l'interface de ligne de commande Kubernetes pour vSphere pour vous authentifier auprès du Superviseur à l'aide de vos informations d'identification vCenter Single Sign-On et de l'adresse IP du plan de contrôle Kubernetes. Vous pouvez également vous connecter au Superviseur à l'aide des informations d'identification d'un fournisseur OIDC enregistré dans le Superviseur. Pour plus d'informations, consultez la documentation Utilisation de Tanzu Kubernetes Grid 2 avec vSphere with Tanzu.

Lors de votre connexion au Superviseur, un proxy d'authentification redirige la demande vers vCenter Single Sign-On. Le plug-in vSphere kubectl établit une session avec vCenter Server et obtient un jeton d'authentification de vCenter Single Sign-On. Il extrait également une liste d'espaces de noms auxquels vous avez accès et remplit la configuration avec ces espaces de noms. La liste des espaces de noms est mise à jour lors de la prochaine connexion, en cas de modification des autorisations de votre compte d'utilisateur.

Le compte que vous utilisez pour vous connecter au Superviseur vous donne uniquement accès aux espaces de noms qui vous sont attribués. Pour vous connecter à vCenter Server, votre administrateur vSphere doit définir les autorisations appropriées sur votre compte.
Note : La session sur kubectl dure 10 heures. Après l'expiration de la session, vous devez vous authentifier à nouveau avec le Superviseur. Lors de la déconnexion, le jeton est supprimé du fichier de configuration de votre compte d'utilisateur, mais reste valide jusqu'à la fin de la session.