Les ingénieurs DevOps se connectent au Superviseur pour provisionner et gérer le cycle de vie des clusters Tanzu Kubernetes Grid. Les développeurs se connectent aux clusters TKG pour déployer des modules, des charges de travail et des services. Les administrateurs peuvent avoir besoin d'un accès direct aux nœuds des clusters TKG pour résoudre les problèmes. vSphere with Tanzu 8 fournit des outils et des méthodes de gestion des identités et des accès prenant en charge chaque cas d'utilisation et rôle.

L'accès au cluster TKG est étendu à l'Espace de noms vSphere.

Vous provisionnez des clusters TKG dans un Espace de noms vSphere. De même, les autorisations de cluster TKG sont définies et étendues au niveau de l'Espace de noms vSphere. Lorsque vous configurez un Espace de noms vSphere, vous définissez des autorisations pour cet espace de noms, y compris la source d'identité, les utilisateurs et les groupes, ainsi que les rôles. Ces autorisations s'appliquent à tout cluster TKG provisionné dans cet Espace de noms vSphere.

Tanzu Kubernetes Grid sur Superviseur prend en charge deux méthodes d'authentification d'utilisateur/de groupe : vCenter Single Sign-On et un fournisseur d'identité externe compatible OIDC.

Authentification à l'aide de vCenter Single Sign-On et Kubectl

Par défaut, vCenter Single Sign-On est utilisé pour s'authentifier auprès de l'environnement vSphere with Tanzu, y compris le Superviseur et les clusters TKG. vCenter Single Sign-On fournit une authentification pour l'infrastructure vSphere et peut s'intégrer aux systèmes AD/LDAP. Pour plus d'informations sur vCenter Single Sign-On, reportez-vous à la section Authentification de vSphere avec vCenter Single Sign-On.

Pour vous authentifier à l'aide de vCenter Single Sign-On, utilisez le Plug-in vSphere pour kubectl. Une fois authentifié, vous utilisez kubectl pour provisionner et gérer de manière déclarative le cycle de vie des clusters TKG, déployer des charges de travail de cluster TKG et déployer d'autres fonctionnalités de Superviseur, telles que les Espaces vSphere et les Services de superviseur.

Le plug-in kubectl-vsphere dépend de kubectl. Lorsque vous vous authentifiez avec kubectl-vsphere, le plug-in effectue une demande POST avec une authentification de base pour un point de terminaison /wcp/login sur le Superviseur. Un jeton Web JSON (JWT) est ensuite émis par vCenter, que le Superviseur approuve.

Pour vous connecter à l'aide de vCenter Single Sign-On, reportez-vous à la section Connexion à des clusters TKG sur le Superviseur à l'aide de l'authentification vCenter SSO.

Authentification à l'aide d'un fournisseur d'identité externe et de l'interface de ligne de commande Tanzu

Outre l'authentification vCenter Single Sign-On, vous pouvez configurer le Superviseur avec un fournisseur d'identité externe qui prend en charge le protocole OpenID Connect. Une fois configuré, le Superviseur fonctionne en tant que client OAuth 2.0 et utilise le service d'authentification Pinniped pour se connecter aux clusters TKG à l'aide de l'Tanzu CLI. L'Tanzu CLI prend en charge le provisionnement et la gestion du cycle de vie des clusters TKG.

Chaque instance de Superviseur peut prendre en charge un fournisseur d'identité externe unique.

Une fois que le plug-in d'authentification et l'émetteur OIDC sont configurés de manière appropriée pour que l'interface de ligne de commande pinniped-auth fonctionne, lorsque vous vous connectez au Superviseur avec tanzu login --endpoint, le système recherche quelques ConfigMaps connus pour créer le fichier de configuration pinniped config.

Pour vous connecter à l'aide d'un fournisseur OIDC externe, reportez-vous à la section Connexion à des clusters TKG sur le Superviseur en utilisant un fournisseur d'identité externe.

Authentification à l'aide d'une approche hybride : vCenter SSO avec l'interface de ligne de commande Tanzu

Si vous utilisez vCenter Single Sign-On comme fournisseur d'identité et que vous souhaitez utiliser l'interface de ligne de commande Tanzu, vous pouvez adopter une approche hybride et vous connecter au Superviseur à l'aide de l'interface de ligne de commande Tanzu et du Plug-in vSphere pour kubectl. Cette approche peut être utile pour l'installation des modules Tanzu. Reportez-vous à la section Se connecter au Superviseur à l'aide de l'interface de ligne de commande Tanzu et de l'authentification vCenter SSO.

Utilisateurs et groupes

Lorsque vous configurez l'Espace de noms vSphere, vous accordez l'accès au cluster TKG aux utilisateurs et aux groupes. L'utilisateur ou le groupe auquel vous attribuez des autorisations doit exister dans la source d'identité. Les utilisateurs s'authentifient auprès des clusters TKG sur le Superviseur grâce à leurs informations d'identification de fournisseur d'identité, en utilisant les informations d'identification vCenter Single Sign-On ou d'un fournisseur d'identité externe.

Vous pouvez accorder aux développeurs un accès au cluster TKG en fonction de leur fournisseur d'identité ou à l'aide d'un rôle de cluster et d'une liaison sur Kubernetes. Reportez-vous à la section Accorder aux développeurs l'accès vCenter SSO aux clusters TKG sur le Superviseur.

Autorisations de rôle et RoleBindings

Les clusters TKG sur Superviseur prennent en charge trois rôles : observateur, éditeur et propriétaire. Les autorisations de rôle sont attribuées à l'Espace de noms vSphere et étendues à celui-ci. Reportez-vous à la section Configuration de Espaces de noms vSphere pour les clusters TKG sur Superviseur.

Un utilisateur/groupe disposant de l'autorisation de rôle Peut afficher sur un Espace de noms vSphere dispose d'un accès en lecture seule aux clusters TKG provisionnés dans cet Espace de noms vSphere.

Un utilisateur/groupe disposant de l'autorisation de rôle Peut modifier sur un Espace de noms vSphere peut créer, lire, mettre à jour et supprimer des clusters TKG dans cet Espace de noms vSphere.

Un utilisateur/groupe disposant de l'autorisation Propriétaire sur un Espace de noms vSphere peut administrer les clusters TKG dans cet Espace de noms vSphere, et peut créer et supprimer des Espaces de noms vSphere supplémentaires à l'aide de kubectl.
Note : Le rôle de propriétaire est pris en charge pour les utilisateurs provenant de la source d'identité vCenter Single Sign-On. Vous ne pouvez pas utiliser le rôle de propriétaire avec un utilisateur ou un groupe d'identité d'un fournisseur d'identité externe.
Lorsque vous attribuez un utilisateur ou un groupe aux rôles Peut afficher ou Peut modifier, le système crée une liaison RoleBinding et la mappe à un ClusterRole. Par exemple, un utilisateur ou un groupe attribué au rôle Peut modifier est mappé au ClusterRole cluster-admin Kubernetes à l'aide d'une liaison RoleBinding. Le rôle cluster-admin permet aux utilisateurs de provisionner et d'utiliser des clusters TKG dans l' Espace de noms vSphere cible. Vous pouvez afficher ce mappage à l'aide de la commande kubectl get rolebinding à partir de l' Espace de noms vSphere cible.
kubectl get rolebinding -n tkg2-cluster-namespace
NAME                                                           ROLE                         AGE
wcp:tkg-cluster-namespace:group:vsphere.local:administrators   ClusterRole/edit             33d
wcp:tkg-cluster-namespace:user:vsphere.local:administrator     ClusterRole/edit             33d

Lorsque vous attribuez un utilisateur ou un groupe au rôle de propriétaire, le système crée une liaison ClusterRoleBinding et la mappe à un ClusterRole qui permet à l'utilisateur ou au groupe de créer et de supprimer des Espaces de noms vSphere à l'aide de kubectl. Vous ne pouvez pas afficher ce mappage à l'aide de la même approche. Vous devez vous connecter par SSH à un nœud de Superviseur pour afficher ce mappage.

Autorisations de vSphere

Ce tableau affiche les types d'autorisations vSphere requis pour divers personas de vSphere with Tanzu.

Tableau 1. Autorisations de vSphere pour les personas vSphere with Tanzu
Persona Rôle vSphere Groupe vSphere SSO Espace de noms vSphere
Administrateur VI/Cloud Administrateur Administrateurs Utilisateur SSO et/ou utilisateur AD
DevOps/Opérateur de plate-forme Non-administrateur ou rôle personnalisé ServiceProviderUsers Utilisateur SSO et/ou utilisateur AD
Développeur Lecture seule ou Aucun Aucun Utilisateur SSO et/ou utilisateur AD

Connectivité de l'administrateur système

Les administrateurs peuvent se connecter aux nœuds de cluster TKG en tant qu'utilisateur kubernetes-admin. Cette méthode peut être appropriée si l'authentification vCenter Single Sign-On n'est pas disponible. À des fins de dépannage, les administrateurs système peuvent se connecter à un cluster TKG en tant qu'utilisateur vmware-system-user à l'aide du protocole SSH et d'une clé privée. Reportez-vous à la section Connexion à des clusters TKG sur le Superviseur en tant qu'administrateur Kubernetes et utilisateur système.