vSphere 管理者の権限

vSphere 管理者には、vSphere クラスタを スーパーバイザー クラスタ として構成したり、名前空間を作成および管理したりするために vSphere クラスタに対する権限が必要です。vSphere 管理者には、vSphere クラスタ上のユーザー アカウントに関連付けられた次の権限が少なくとも 1 つ必要です。

DevOps エンジニアの権限の設定

vSphere 管理者は、名前空間レベルでユーザー アカウントに表示、編集、または所有者権限を付与します。それらのユーザー アカウントは、vCenter Single Sign-On に接続されている ID ソースに含まれている必要があります。1 つのユーザー アカウントで複数の名前空間にアクセスできます。管理者グループのメンバーであるユーザーは、スーパーバイザー クラスタ 上のすべての名前空間にアクセスできます。

権限、リソースの割り当て、およびストレージを使用して名前空間を設定したら、Kubernetes 制御プレーンの URL を DevOps エンジニアに提供します。DevOps エンジニアはその URL を使用して制御プレーンにログインできます。ログインすると、DevOps エンジニアは、vCenter Server システムに属するすべての スーパーバイザー クラスタ 内の、権限を持つすべての名前空間にアクセスできます。vCenter Server システムが拡張リンク モードになっている場合、DevOps エンジニアは、リンク モード グループで使用可能なすべての スーパーバイザー クラスタ 内の、権限を持つすべての名前空間にアクセスできます。Kubernetes 制御プレーンの IP アドレスは、NSX-T または Distributed Switch ネットワーク スタックで使用するロード バランサによって生成される仮想 IP アドレスで、Kubernetes 制御プレーンへのアクセス ポイントとして機能します。

所有者権限を持つ DevOps エンジニアは、ワークロードをデプロイできます。また、他の DevOps エンジニアまたはグループと名前空間を共有したり、不要になった名前空間を削除したりできます。DevOps エンジニアは名前空間を共有する場合、表示、編集、または所有権限を他の DevOps エンジニアおよびグループに割り当てることができます。

スーパーバイザー クラスタ での認証

DevOps エンジニアは、vSphere 向け Kubernetes CLI Tools により、vCenter Single Sign-On の認証情報と Kubernetes 制御プレーンの IP アドレスを使用して スーパーバイザー クラスタ で認証します。詳細については、『vCenter Single Sign-On ユーザーとして スーパーバイザー クラスタ に接続する』を参照してください。

DevOps エンジニアが スーパーバイザー クラスタ にログインすると、認証プロキシによって要求が vCenter Single Sign-On にリダイレクトされます。vSphere kubectl プラグインは、vCenter Server とのセッションを確立し、vCenter Single Sign-On から認証トークンを取得します。また、DevOps エンジニアがアクセスできる名前空間のリストを取得し、これらの名前空間を構成に取り込みます。ユーザー アカウントの権限に変更があった場合は、次回ログイン時に名前空間のリストが更新されます。

Tanzu Kubernetes クラスタを使用した認証

DevOps エンジニア、開発者、管理者などの Tanzu Kubernetes クラスタ ユーザーは、さまざまな方法でクラスタに対して認証できます。詳細については、『Tanzu Kubernetes クラスタを使用した認証』を参照してください。