Tanzu CLI を使用して TKG クラスタに接続し、OIDC プロバイダを使用して認証します。

前提条件

これらの手順では、サポートされている外部 ID プロバイダ (IDP) を使用して スーパーバイザー が構成されていること、ユーザー(DevOps ユーザー)が Tanzu CLI を使用して スーパーバイザー に接続していること、および TKG クラスタをプロビジョニング済みであることを前提としています。必要に応じて、次のトピックを参照してください。

DevOps ユーザーのワークフロー

ターゲット vSphere 名前空間 に対する編集権限を持つ DevOps ユーザーは、Tanzu CLI を使用して共有可能な kubeconfig ファイルを生成し、TKG クラスタ ユーザーに配布します。Kubernetes では、設定コンテキストにクラスタ、名前空間、およびユーザーが含まれます。クラスタのコンテキストは .kube/config ファイルで確認できます。このファイルは、通常、kubeconfig ファイルと呼ばれます。

注: これらの手順は、ターゲット vSphere 名前空間 に対する編集権限を持つ DevOps ユーザーが実行する必要があります。
  1. Tanzu CLI コンテキストが スーパーバイザー に設定されていることを確認します。

    Tanzu CLI と外部 ID プロバイダを使用した スーパーバイザー への接続を参照してください。

  2. vSphere 管理者がターゲット vSphere 名前空間 に対するユーザー権限を構成済みであることを確認します。

    外部 OIDC のユーザーおよびグループは、vSphere 名前空間 ロールに直接マッピングされます。共有可能な kubeconfig を生成する前に、クラスタ ユーザーを vSphere 名前空間 に追加する必要があります。

    外部 ID プロバイダのユーザーおよびグループに対する vSphere 名前空間 権限の構成を参照してください。

  3. ターゲット vSphere 名前空間 にプロビジョニングされた TKG クラスタを一覧表示します。
    tanzu cluster list --namespace VSPHERE-NAMESPACE
  4. ターゲット TKG クラスタ用の共有可能な kubeconfig ファイルを生成します。
    tanzu cluster kubeconfig get CLUSTER-NAME --namespace=NAMESPACE
  5. 共有の kubeconfig ファイルをクラスタ ユーザーに配布して、そのユーザーが TKG クラスタにログインできるようにします。

クラスタ ユーザーのワークフロー

次の手順を実行して、TKG クラスタにクラスタ ユーザーとしてログインします。

  1. DevOps ユーザーから kubeconfig ファイルを取得します。
  2. kubeconfig ファイルと kubectl を使用して TKGS クラスタにログインします。
    kubectl --kubeconfig
  3. ブラウザ認証プロセスを完了します。
    1. チャレンジが発行されたら、ブラウザを使用してリンクにアクセスします。
    2. 認証コードをコピーして CLI に貼り付けます。
  4. kubectl を使用してクラスタを操作します。