L'amministratore di vSphere necessità di specifici privilegi per poter configurare un Cluster supervisore e gestire gli spazi dei nomi. È possibile definire le autorizzazioni per gli spazi dei nomi per stabilire quali tecnici di DevOps possono accedervi. I tecnici di DevOps si autenticano sul Cluster supervisore utilizzando le credenziali di vCenter Single Sign-On e possono accedere solo agli spazi dei nomi per cui dispongono delle autorizzazioni.
Autorizzazioni per gli amministratori di vSphere
Un amministratore di vSphere richiede specifiche autorizzazioni sui cluster vSphere per poterli configurare come Cluster supervisori, nonché per creare e gestire gli spazi dei nomi. È necessario avere almeno uno dei seguenti privilegi associati al proprio account utente su un cluster vSphere:
- Modifica configurazione spazio dei nomi. Consente di creare e configurare spazi dei nomi in un Cluster supervisore.
- Modifica configurazione a livello di cluster. Consente di configurare un cluster vSphere come Cluster supervisore.
Impostazione delle autorizzazioni per i tecnici di DevOps
L'amministratore di vSphere concede autorizzazioni di visualizzazione, modifica o proprietario agli account utente a livello di spazio dei nomi. Gli account utente devono essere disponibili in un'origine identità connessa a vCenter Single Sign-On. Un account utente può avere accesso a più spazi dei nomi. Gli utenti che sono membri dei gruppi di amministratori hanno accesso a tutti gli spazi dei nomi nel Cluster supervisore.
Dopo aver configurato uno spazio dei nomi con autorizzazioni, quote delle risorse e storage, è necessario fornire l'URL del piano di controllo Kubernetes ai tecnici di DevOps, che possono utilizzarlo per accedere al piano di controllo. Dopo aver eseguito l'accesso, i tecnici di DevOps possono accedere a tutti gli spazi dei nomi per i quali dispongono delle autorizzazioni per tutti i Cluster supervisori che appartengono a un sistema vCenter Server. Quando i sistemi vCenter Server sono in Modalità collegata avanzata, i tecnici di DevOps possono accedere a tutti gli spazi dei nomi per cui dispongono delle autorizzazioni per tutti i Cluster supervisori disponibili nel gruppo Modalità collegata. L'indirizzo IP del piano di controllo Kubernetes è un IP virtuale generato da NSX-T per fungere da punto di accesso al piano di controllo Kubernetes.
I tecnici di DevOps con autorizzazioni di proprietario possono distribuire carichi di lavoro. Possono condividere lo spazio dei nomi con altri tecnici di DevOps o gruppi ed eliminarlo quando non è più necessario. Quando i tecnici di DevOps condividono lo spazio dei nomi, possono assegnare autorizzazioni di visualizzazione, modifica o proprietario ad altri tecnici di DevOps e gruppi.
Autenticazione con il Cluster supervisore
Un tecnico di DevOps può utilizzare Strumenti CLI Kubernetes di vSphere per eseguire l'autenticazione nel Cluster supervisore utilizzando le credenziali vCenter Single Sign-On e l'indirizzo IP del piano di controllo Kubernetes. Per ulteriori informazioni, vedere Connessione al Cluster supervisore come utente vCenter Single Sign-On.
Quando si accede al Cluster supervisore, un proxy di autenticazione reindirizza la richiesta a vCenter Single Sign-On. Il plug-in kubectl di vSphere stabilisce una sessione con vCenter Server e ottiene un token di autenticazione da vCenter Single Sign-On. Recupera inoltre un elenco di spazi dei nomi a cui l'utente ha accesso e popola la configurazione con questi spazi dei nomi. L'elenco degli spazi dei nomi viene aggiornato all'accesso successivo, se sono state apportate modifiche alle autorizzazioni del proprio account utente.
Autenticazione con i cluster di Tanzu Kubernetes
Gli utenti dei cluster di Tanzu Kubernetes, inclusi tecnici di DevOps, sviluppatori e amministratori, possono autenticarsi in un cluster in vari modi. Per ulteriori informazioni, vedere Autenticazione con cluster Tanzu Kubernetes.