Les utilisateurs développeurs et les groupes de développement sont les utilisateurs cibles des clusters Service TKG. Une fois qu'un cluster Service TKG est provisionné, vous pouvez accorder un accès aux développeurs à l'aide de l'authentification vCenter Single Sign-On ou en utilisant un fournisseur d'identité externe pris en charge.

Authentification pour les développeurs

Un administrateur de cluster peut accorder un accès au cluster à d'autres utilisateurs, tels que des développeurs. Les développeurs peuvent déployer des espaces sur des clusters directement à l'aide de leurs comptes d'utilisateur ou indirectement à l'aide de comptes de service.
  • Pour l'authentification de compte d'utilisateur, les clusters Service TKG prennent en charge les utilisateurs et les groupes vCenter Single Sign-On. L'utilisateur ou le groupe peut être local par rapport à vCenter Server ou synchronisé à partir d'un serveur d'annuaire pris en charge.
  • Les utilisateurs et les groupes OIDC externes sont mappés directement aux rôles Espace de noms vSphere.
  • Pour l'authentification de compte de service, vous pouvez utiliser des jetons de service. Pour plus d'informations, consultez la documentation Kubernetes.

Ajout d'utilisateurs développeurs à un cluster

Pour accorder aux développeurs l'accès au cluster :
  1. Définissez un rôle ou ClusterRole pour l'utilisateur ou le groupe, et appliquez-le au cluster. Pour plus d'informations, consultez la documentation Kubernetes.
  2. Créez un RoleBinding ou ClusterRoleBinding pour l'utilisateur ou le groupe, et appliquez-le au cluster. Voir l'exemple suivant.

Exemple de RoleBinding

Pour accorder accès à un utilisateur ou un groupe vCenter Single Sign-On, l'objet du RoleBinding doit contenir l'une des valeurs suivantes pour le paramètre name.
Tableau 1. Champs d'utilisateur et de groupe pris en charge
Champ Description
sso:USER-NAME@DOMAIN Par exemple, un nom d'utilisateur local, tel que sso:[email protected].
sso:GROUP-NAME@DOMAIN Par exemple, un nom de groupe à partir d'un serveur d'annuaire intégré à vCenter Server, tel que sso:[email protected].

L'exemple de RoleBinding suivant lie l'utilisateur local vCenter Single Sign-On nommé Joe au ClusterRole par défaut nommé edit. Ce rôle autorise un accès en lecture/écriture à la plupart des objets d'un espace de noms, dans ce cas l'espace de noms default.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io