Un amministratore del cluster può concedere l'accesso del cluster ad altri utenti, ad esempio gli sviluppatori. Gli sviluppatori possono distribuire pod ai cluster direttamente, utilizzando i loro account utente, o indirettamente, utilizzando gli account di servizio.

• Per l'autenticazione degli account utente, i cluster di Servizio TKG supportano utenti e gruppi di vCenter Single Sign-On. L'utente o il gruppo può essere locale nel vCenter Server oppure sincronizzato da un server di directory supportato.
• Gli utenti e i gruppi di OIDC esterni vengono mappati direttamente ai ruoli di Spazio dei nomi vSphere.
• Per l'autenticazione dell'account di servizio, è possibile utilizzare i token di servizio. Per ulteriori informazioni, vedere la documentazione di Kubernetes.

Per concedere l'accesso al cluster agli sviluppatori:

1. Definire un ruolo o un ClusterRole per l'utente o il gruppo e applicarlo al cluster. Per ulteriori informazioni, vedere la documentazione di Kubernetes.
2. Creare un RoleBinding o un ClusterRoleBinding per l'utente o il gruppo e applicarlo al cluster. Vedere il seguente esempio.

Per concedere l'accesso a un utente o un gruppo vCenter Single Sign-On, l'oggetto in RoleBinding deve contenere uno dei valori seguenti per il parametro name.

Tabella 1. Campi di utenti e gruppi supportati

Campo	Descrizione
sso:USER-NAME@DOMAIN	Ad esempio, un nome utente locale, come sso:[email protected].
sso:GROUP-NAME@DOMAIN	Ad esempio, il nome di un gruppo di un server di directory integrato con vCenter Server, come sso:[email protected].

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io