Les développeurs sont les utilisateurs cibles de Kubernetes. Une fois qu'un cluster Tanzu Kubernetes est provisionné, vous pouvez y accorder accès aux développeurs à l'aide de l'authentification vCenter Single Sign-On.
Authentification pour les développeurs
Un administrateur de cluster peut accorder un accès au cluster à d'autres utilisateurs, tels que des développeurs. Les développeurs peuvent déployer des espaces sur des clusters directement à l'aide de leurs comptes d'utilisateur ou indirectement à l'aide de comptes de service. Pour plus d'informations, reportez-vous à la section
Accorder aux développeurs l'accès SSO aux clusters de charge de travail dans
Utilisation du service TKG avec le plan de contrôle IaaS vSphere.
- Pour l'authentification de compte d'utilisateur, les clusters Tanzu Kubernetes prennent en charge les utilisateurs et les groupes vCenter Single Sign-On. L'utilisateur ou le groupe peut être local par rapport à vCenter Server ou synchronisé à partir d'un serveur d'annuaire pris en charge.
- Pour l'authentification de compte de service, vous pouvez utiliser des jetons de service. Pour plus d'informations, consultez la documentation Kubernetes.
Ajout d'utilisateurs développeurs à un cluster
Pour accorder aux développeurs l'accès au cluster :
- Définissez un rôle ou ClusterRole pour l'utilisateur ou le groupe, et appliquez-le au cluster. Pour plus d'informations, consultez la documentation Kubernetes.
- Créez un RoleBinding ou ClusterRoleBinding pour l'utilisateur ou le groupe, et appliquez-le au cluster. Voir l'exemple suivant.
Exemple de RoleBinding
Pour accorder accès à un utilisateur ou un groupe
vCenter Single Sign-On, l'objet du RoleBinding doit contenir l'une des valeurs suivantes pour le paramètre
name
.
Champ | Description |
---|---|
sso:USER-NAME@DOMAIN |
Par exemple, un nom d'utilisateur local, tel que sso:[email protected] . |
sso:GROUP-NAME@DOMAIN |
Par exemple, un nom de groupe à partir d'un serveur d'annuaire intégré à vCenter Server, tel que sso:[email protected] . |
L'exemple de RoleBinding suivant lie l'utilisateur local vCenter Single Sign-On nommé Joe au ClusterRole par défaut nommé edit
. Ce rôle autorise un accès en lecture/écriture à la plupart des objets d'un espace de noms, dans ce cas l'espace de noms default
.
kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: rolebinding-cluster-user-joe namespace: default roleRef: kind: ClusterRole name: edit #Default ClusterRole apiGroup: rbac.authorization.k8s.io subjects: - kind: User name: sso:[email protected] #sso:<username>@<domain> apiGroup: rbac.authorization.k8s.io