Un administrateur de cluster peut accorder un accès au cluster à d'autres utilisateurs, tels que des développeurs. Les développeurs peuvent déployer des espaces sur des clusters directement à l'aide de leurs comptes d'utilisateur ou indirectement à l'aide de comptes de service.

• Pour l'authentification de compte d'utilisateur, les clusters TKG prennent en charge les utilisateurs et les groupes vCenter Single Sign-On. L'utilisateur ou le groupe peut être local par rapport à vCenter Server ou synchronisé à partir d'un serveur d'annuaire pris en charge.
• Les utilisateurs et les groupes OIDC externes sont mappés directement aux rôles Espace de noms vSphere.
• Pour l'authentification de compte de service, vous pouvez utiliser des jetons de service. Pour plus d'informations, consultez la documentation Kubernetes.

Pour accorder aux développeurs l'accès au cluster :

1. Définissez un rôle ou ClusterRole pour l'utilisateur ou le groupe, et appliquez-le au cluster. Pour plus d'informations, consultez la documentation Kubernetes.
2. Créez un RoleBinding ou ClusterRoleBinding pour l'utilisateur ou le groupe, et appliquez-le au cluster. Voir l'exemple suivant.

Pour accorder accès à un utilisateur ou un groupe vCenter Single Sign-On, l'objet du RoleBinding doit contenir l'une des valeurs suivantes pour le paramètre name.

Tableau 1. Champs d'utilisateur et de groupe pris en charge

Champ	Description
sso:USER-NAME@DOMAIN	Par exemple, un nom d'utilisateur local, tel que sso:joe@vsphere.local.
sso:GROUP-NAME@DOMAIN	Par exemple, un nom de groupe à partir d'un serveur d'annuaire intégré à vCenter Server, tel que sso:devs@ldap.example.com.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:joe@vsphere.local            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io