Gli sviluppatori sono gli utenti di destinazione di Kubernetes. Dopo aver eseguito il provisioning di un cluster di Tanzu Kubernetes, è possibile concedere l'accesso agli sviluppatori utilizzando l'autenticazione vCenter Single Sign-On.
Autenticazione per gli sviluppatori
Un amministratore del cluster può concedere l'accesso del cluster ad altri utenti, ad esempio gli sviluppatori. Gli sviluppatori possono distribuire pod ai cluster direttamente, utilizzando i loro account utente, o indirettamente, utilizzando gli account di servizio. Per ulteriori informazioni, vedere
Concedere agli sviluppatori di livello SSO l'accesso a cluster di carichi di lavoro in
Utilizzo del servizio TKG con vSphere IaaS Control Plane.
- Per l'autenticazione degli account utente, i cluster di Tanzu Kubernetes supportano utenti e gruppi di vCenter Single Sign-On. L'utente o il gruppo può essere locale nel vCenter Server oppure sincronizzato da un server di directory supportato.
- Per l'autenticazione dell'account di servizio, è possibile utilizzare i token di servizio. Per ulteriori informazioni, vedere la documentazione di Kubernetes.
Aggiunta di utenti sviluppatori in un cluster
Per concedere l'accesso al cluster agli sviluppatori:
- Definire un ruolo o un ClusterRole per l'utente o il gruppo e applicarlo al cluster. Per ulteriori informazioni, vedere la documentazione di Kubernetes.
- Creare un RoleBinding o un ClusterRoleBinding per l'utente o il gruppo e applicarlo al cluster. Vedere il seguente esempio.
RoleBinding di esempio
Per concedere l'accesso a un utente o un gruppo
vCenter Single Sign-On, l'oggetto in RoleBinding deve contenere uno dei valori seguenti per il parametro
name
.
Campo | Descrizione |
---|---|
sso:USER-NAME@DOMAIN |
Ad esempio, un nome utente locale, come sso:[email protected] . |
sso:GROUP-NAME@DOMAIN |
Ad esempio, il nome di un gruppo di un server di directory integrato con vCenter Server, come sso:[email protected] . |
Il RoleBinding di esempio seguente associa l'utente locale vCenter Single Sign-On denominato Joe al ClusterRole predefinito denominato edit
. Questo ruolo consente l'accesso in lettura/scrittura alla maggior parte degli oggetti in uno spazio dei nomi, in questo caso lo spazio dei nomi default
.
kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: rolebinding-cluster-user-joe namespace: default roleRef: kind: ClusterRole name: edit #Default ClusterRole apiGroup: rbac.authorization.k8s.io subjects: - kind: User name: sso:[email protected] #sso:<username>@<domain> apiGroup: rbac.authorization.k8s.io