L'amministratore di vSphere necessita di specifici privilegi per poter attivare e configurare un Supervisore e per gestire Spazi dei nomi vSphere. È possibile definire le autorizzazioni per gli spazi dei nomi per stabilire quali tecnici di DevOps e sviluppatori possono accedervi. È inoltre possibile configurare il Supervisore con un provider OpenID Connect (OIDC) esterno per abilitare l'autenticazione a più fattori. In qualità di tecnico di DevOps o sviluppatore, è possibile eseguire l'autenticazione nel Supervisore utilizzando le credenziali di vCenter Single Sign-On o le credenziali di un provider OIDC in base a ciò che l'amministratore di vSphere ha configurato nel Supervisore. È possibile accedere solo ai Spazi dei nomi vSphere per cui si dispone delle autorizzazioni.
Provider di identità supportati
vSphere IaaS control plane supporta i provider di identità seguenti:
- vCenter Single Sign-On. Provider di identità predefinito utilizzato per eseguire l'autenticazione nell'ambiente di vSphere IaaS control plane inclusi i cluster di Supervisori e Tanzu Kubernetes Grid. vCenter Single Sign-On fornisce l'autenticazione per l'infrastruttura vSphere e può integrarsi con i sistemi AD/LDAP. Per ulteriori informazioni su vCenter Single Sign-On, vedere Autenticazione vSphere con vCenter Single Sign-On.
- Provider di identità esterno. Un amministratore di vSphere può configurare un Supervisore con un provider di identità esterno che supporti il protocollo OpenID Connect. Una volta configurato con un provider di identità esterno, il Supervisore funziona come client OAuth 2.0 e utilizza il servizio di autenticazione Pinniped per connettersi ai cluster Tanzu Kubernetes Grid mediante la CLI di Tanzu. La CLI di Tanzu supporta il provisioning e la gestione del ciclo di vita dei cluster Tanzu Kubernetes Grid. Ogni istanza del Supervisore può supportare un solo provider di identità esterno.
Autenticazione con il Supervisore
I diversi ruoli che interagiscono con vSphere IaaS control plane possono utilizzare i metodi seguenti per eseguire l'autenticazione con il Supervisore:
- Amministratore di vSphere. L'amministratore di vSphere può utilizzare vCenter Single Sign-On per eseguire l'autenticazione con vSphere tramite vSphere Client. È inoltre possibile utilizzare il Plug-in vSphere per kubectl per eseguire l'autenticazione con i cluster Supervisore e Tanzu Kubernetes Grid tramite kubectl. Per ulteriori informazioni, vedere Connessione al Supervisore come utente vCenter Single Sign-On.
- Tecnico di DevOps o sviluppatore. I tecnici di DevOps o gli sviluppatori utilizzano vCenter Single Sign-On per eseguire l'autenticazione con il Supervisore tramite il Plug-in vSphere per kubectl e kubectl. È inoltre possibile connettersi a un Supervisore utilizzando le credenziali di un provider esterno configurato con il Supervisore. Per ulteriori informazioni, vedere Connessione ai cluster TKG nel Supervisore utilizzando un provider di identità esterno.
Sessioni di accesso con il Supervisore
Quando si accede al Supervisore come utente vCenter Single Sign-On, un proxy di autenticazione reindirizza la richiesta a vCenter Single Sign-On. Il Plug-in vSphere per kubectl stabilisce una sessione con vCenter Server e ottiene un token di autenticazione da vCenter Single Sign-On. Recupera inoltre un elenco di Spazi dei nomi vSphere a cui l'utente ha accesso e popola la configurazione con questi Spazi dei nomi vSphere. L'elenco dei Spazi dei nomi vSphere viene aggiornato all'accesso successivo, se sono state apportate modifiche alle autorizzazioni del proprio account utente.
Autenticazione con i cluster di Tanzu Kubernetes Grid
Un tecnico di DevOps o uno sviluppatore può connettersi ai cluster Tanzu Kubernetes Grid sottoposti a provisioning per utilizzarli e gestirli. Quando all'account utente viene concessa l'autorizzazione di modifica o proprietario nel Spazio dei nomi vSphere in cui viene eseguito il provisioning del cluster Tanzu Kubernetes Grid, l'account viene assegnato al ruolo cluster-admin. In alternativa, per connettersi a Tanzu Kubernetes Grid è anche possibile utilizzare l'utente kubernetes-admin. È inoltre possibile concedere agli sviluppatori l'accesso ai cluster Tanzu Kubernetes Grid associando un utente o un gruppo al criterio di sicurezza pod predefinito o personalizzato. Per ulteriori informazioni, vedere Connessione ai cluster TKG nel Supervisore utilizzando l'autenticazione SSO vCenter e Connessione ai cluster TKG nel Supervisore utilizzando un provider di identità esterno.
Autorizzazioni dei ruoli di Spazi dei nomi vSphere
L'amministratore di vSphere concede autorizzazioni di visualizzazione, modifica o proprietario ai tecnici di DevOps o agli sviluppatori nei Spazi dei nomi vSphere. I relativi utenti o gruppi devono essere disponibili in vCenter Single Sign-On o in un provider di identità esterno configurato con il Supervisore. Un utente o un gruppo può avere accesso a più Spazi dei nomi vSphere. Ogni ruolo di Spazio dei nomi vSphere consente le seguenti azioni:
| Ruolo | Descrizione |
|---|---|
| Può visualizzare | Accesso in sola lettura per l'utente o il gruppo. L'utente o il gruppo può accedere al piano di controllo del Supervisore ed elencare i carichi di lavoro in esecuzione nel Spazio dei nomi vSphere, ad esempio Pod vSphere, cluster Tanzu Kubernetes Grid e macchine virtuali. |
| Può modificare | L'utente o il gruppo può creare, leggere, aggiornare ed eliminare Pod vSphere, cluster Tanzu Kubernetes Grid e macchine virtuali. Gli utenti che fanno parte del gruppo di amministratori dispongono delle autorizzazioni di modifica per tutti gli spazi dei nomi nel Supervisore. |
| Proprietario | Gli utenti o i gruppi con autorizzazioni di proprietario possono:
Nota: Il ruolo proprietario è supportato per gli utenti disponibili in
vCenter Single Sign-On. Non è possibile utilizzare il ruolo di proprietario con un utente o un gruppo da un provider di identità esterno.
|
Per informazioni sulla creazione e la configurazione di Spazi dei nomi vSphere, vedere Creazione e configurazione di uno spazio dei nomi di vSphere.
Un amministratore di vSphere, dopo aver configurato un Spazio dei nomi vSphere con autorizzazioni dei ruoli, quote delle risorse e storage, fornisce l'URL del piano di controllo del Supervisore ai tecnici di DevOps e agli sviluppatori, che possono utilizzarlo per accedere al piano di controllo. Dopo aver eseguito l'accesso, i tecnici di DevOps e gli sviluppatori possono accedere a tutti i Spazi dei nomi vSphere per cui dispongono delle autorizzazioni nei Supervisori configurati con lo stesso provider di identità che appartiene a un sistema vCenter Server. Quando i sistemi vCenter Server sono in Modalità collegata avanzata, i tecnici di DevOps e gli sviluppatori possono accedere a tutti i Spazi dei nomi vSphere per cui dispongono delle autorizzazioni per tutti i Supervisori disponibili nel gruppo Modalità collegata. L'indirizzo IP del piano di controllo del Supervisore è un IP virtuale generato da NSX o da un bilanciamento del carico nel caso della rete VDS che funge da punto di accesso al piano di controllo del Supervisore.
Autorizzazioni dell'amministratore di vSphere
| Oggetto | Autorizzazioni |
|---|---|
| vCenter Single Sign-On utente | Gruppo di amministratori |
| Spazi dei nomi vSphere utente | Ai membri del gruppo Amministratori vengono concesse le autorizzazioni di modifica in tutti i Spazi dei nomi vSphere. |
| Interfaccia | Operazioni |
|---|---|
| vSphere Client | Dopo aver effettuato l'accesso come amministratore a vSphere Client, è possibile:
|
| kubectl | Se si è effettuato l'accesso al piano di controllo del Supervisore con un account amministratore di vCenter Single Sign-On, è possibile:
Tuttavia, si è effettuato l'accesso al piano di controllo del Supervisore con un account che fa parte del gruppo di amministratori, non è possibile modificare alcuna risorsa a livello di cluster, creare Spazi dei nomi vSphere utilizzando kubectl o creare associazioni di ruoli. Come interfaccia principale per l'impostazione delle quote delle risorse, la creazione e la configurazione dei Spazi dei nomi vSphere e la configurazione delle autorizzazioni utente, è necessario utilizzare vSphere Client. |
Autorizzazioni per tecnici di DevOps e sviluppatori
| Oggetto | Autorizzazioni |
|---|---|
| Spazi dei nomi vSphere | Modifica o proprietario |
| vCenter Single Sign-On utente | Nessuno o di sola lettura |
I tecnici di DevOps o gli sviluppatori utilizzano kubectl come interfaccia principale per interagire con vSphere IaaS control plane. Per visualizzare, eseguire e gestire i carichi di lavoro nei Spazi dei nomi vSphere assegnati all'utente, è necessario poter accedere al piano di controllo del Supervisore tramite il Plug-in vSphere per kubectl. Pertanto, l'account utente necessita delle autorizzazioni di modifica o proprietario per uno o più Spazi dei nomi vSphere.
In genere, non è necessario eseguire alcuna operazione amministrativa sui Supervisori tramite il vSphere Client. In alcuni casi, tuttavia, potrebbe essere necessario accedere al vSphere Client per visualizzare le risorse e i carichi di lavoro nei Spazi dei nomi vSphere assegnati al proprio account. A tale scopo, potrebbero essere necessarie autorizzazioni di sola lettura per vSphere.
Privilegi Spazi dei nomi vSphere
| Nome privilegio in vSphere Client | Descrizione | Obbligatorio per | Nome privilegio nell'API |
|---|---|---|---|
| Consente operazioni di rimozione delle autorizzazioni su disco | Consente le operazioni di dismissione dei datastore. | Datastore |
Namespaces.ManageDisks |
| Backup dei file dei componenti dei carichi di lavoro | Consente di eseguire il backup dei contenuti del cluster etcd (utilizzato solo in VMware Cloud on AWS). | Cluster |
Namespaces.Backup |
| Elenco degli spazi dei nomi accessibili | Consente di elencare i Spazi dei nomi vSphere accessibili. | Cluster |
Namespaces.ListAccess |
| Modifica configurazione a livello di cluster | Consente di modificare la configurazione del Supervisore, nonché di creare ed eliminare Spazi dei nomi vSphere. |
Cluster |
Namespaces.ManageCapabilities |
| Modifica della configurazione self-service dello spazio dei nomi a livello di cluster | Consente di modificare la configurazione self-service del Spazio dei nomi vSphere. | Cluster (per l'attivazione e la disattivazione)Modelli (per la modifica della configurazione)vCenter Server (per la creazione di un modello) |
Namespaces.SelfServiceManage |
| Modifica configurazione spazio dei nomi | Consente di modificare le opzioni di configurazione del Spazio dei nomi vSphere, come l'allocazione delle risorse, le autorizzazioni utente e le associazioni della libreria di contenuti. |
Cluster |
Namespaces.Manage |
| Attiva/Disattiva funzionalità cluster | Consente di modificare lo stato delle funzionalità del Supervisore del cluster (utilizzato internamente solo per VMware Cloud on AWS). | Cluster |
NA |
| Aggiorna cluster a versioni più recenti | Consente l'avvio dell'aggiornamento del Supervisore. | Cluster |
Namespaces.Upgrade |
Privilegi Servizi supervisori
I privilegi Servizi supervisori controllano chi può creare e gestire Servizi supervisori nell'ambiente vSphere IaaS control plane.
| Nome privilegio in vSphere Client | Descrizione | Obbligatorio per | Nome privilegio nell'API |
|---|---|---|---|
| Gestisci servizi Supervisore | Consente di creare, aggiornare o eliminare un Servizio supervisore. Consente inoltre di installare un Servizio supervisore in un Supervisore e creare o eliminare una versione del Servizio supervisore. | Cluster |
SupervisorServices.Manage |
Privilegi delle classi di macchine virtuali
I privilegi delle classi di macchine virtuali controllano chi può aggiungere e rimuovere classi di macchine virtuali in un Spazio dei nomi vSphere.
| Nome privilegio in vSphere Client | Descrizione | Obbligatorio per | Nome privilegio nell'API |
|---|---|---|---|
| Gestisci Classi di macchine virtuali | Consente di gestire classi di macchine virtuali nei Spazi dei nomi vSphere in un Supervisore. |
Cluster |
VirtualMachineClasses.Manage |
Privilegi visualizzazioni storage
Con i privilegi visualizzazioni storage, sarà possibile visualizzare i criteri di storage in vCenter Server in modo da poterli assegnare ai Spazi dei nomi vSphere.
| Nome privilegio in vSphere Client | Descrizione | Obbligatorio per | Nome privilegio nell'API |
|---|---|---|---|
| Configura servizio | Consente agli utenti con privilegi di utilizzare tutte le API del servizio di monitoraggio dello storage. Utilizzare per i privilegi API del servizio di monitoraggio dello storage di sola lettura. |
Root vCenter Server |
StorageViews.ConfigureService |
| Visualizza | Consente agli utenti con privilegi di utilizzare API del servizio di monitoraggio dello storage di sola lettura. |
Root vCenter Server |
StorageViews.View |
