개발자는 Kubernetes의 대상 사용자입니다. Tanzu Kubernetes 클러스터가 프로비저닝되면 vCenter Single Sign-On 인증을 사용하여 개발자에게 액세스 권한을 부여할 수 있습니다.

개발자에 대한 인증

클러스터 관리자는 개발자와 같은 다른 사용자에게 클러스터 액세스 권한을 부여할 수 있습니다. 개발자는 사용자 계정을 사용하여 직접 클러스터에 포드를 배포하거나 간접적으로 서비스 계정을 사용할 수 있습니다. 자세한 내용은 " vSphere IaaS 제어부에서 TKG 서비스 사용" 에서 개발자에게 워크로드 클러스터에 대한 SSO 액세스 권한 부여를 참조하십시오.
  • 사용자 계정 인증의 경우 Tanzu Kubernetes 클러스터가 vCenter Single Sign-On 사용자 및 그룹을 지원합니다. 사용자 또는 그룹은 vCenter Server에 대해 로컬이거나 지원되는 디렉토리 서버에서 동기화될 수 있습니다.
  • 서비스 계정 인증의 경우 서비스 토큰을 사용할 수 있습니다. 자세한 내용은 Kubernetes 설명서를 참조하십시오.

클러스터에 개발자 사용자 추가

개발자에게 클러스터 액세스 권한을 부여하려면 다음을 수행합니다.
  1. 사용자 또는 그룹에 대한 역할 또는 ClusterRole을 정의하고 클러스터에 적용합니다. 자세한 내용은 Kubernetes 설명서를 참조하십시오.
  2. 사용자 또는 그룹에 대한 RoleBinding 또는 ClusterRoleBinding을 생성하고 클러스터에 적용합니다. 다음 예를 참조하십시오.

RoleBinding 예

vCenter Single Sign-On 사용자 또는 그룹에 액세스 권한을 부여하려면 RoleBinding의 주체에 name 매개 변수에 대한 다음 값 중 하나를 포함해야 합니다.
표 1. 지원되는 사용자 및 그룹 필드
필드 설명
sso:USER-NAME@DOMAIN 예를 들어 로컬 사용자 이름(예: sso:[email protected])을 입력합니다.
sso:GROUP-NAME@DOMAIN 예를 들어 디렉토리 서버의 그룹 이름이 vCenter Server(예: sso:[email protected])와 통합되었습니다.

다음 RoleBinding 예는 이름이 Joe인 vCenter Single Sign-On 로컬 사용자를 이름이 edit인 기본 ClusterRole에 바인딩합니다. 이 역할은 네임스페이스에 있는 대부분의 개체(이 경우 default 네임스페이스)에 대한 읽기/쓰기 액세스를 허용합니다.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io