vSphere IaaS control plane 운영자(감독자TKG 서비스 클러스터 운영 책임자 포함)에게 권한을 할당하는 선택적 방법은 해당 운영자를 위한 전용 vSphere 사용자 그룹 및 역할을 생성하는 것입니다.

플랫폼 운영자 그룹 및 역할 정보

보안 모범 사례로, 플랫폼 운영자에게 vSphere 관리자 역할을 할당하지 않는 것이 좋습니다. 이 역할은 TKG 서비스 클러스터를 운영하는 데 필요한 것보다 더 많은 권한을 부여하기 때문입니다. 최소 권한의 원칙에 따라 플랫폼 운영자가 사용할 전용 사용자 그룹, 서비스(사용자) 계정 및 사용자 지정 역할을 생성한 다음, 사용자 그룹에 vSphere 개체에 대한 사용자 지정 역할 권한을 부여해야 합니다.
참고: 이 항목의 모든 작업을 수행하려면 vCenter Server에 vSphere 관리자로 로그인해야 합니다.
참고: vSphere 그룹 및 역할 이름은 사용자 정의 문자열입니다. 여기에 제공된 이름은 예시이며, 보안 및 비즈니스 요구 사항에 따라 채택, 조정 또는 변경할 수 있습니다.
경고: 보안 및 비즈니스 요구 사항의 컨텍스트에서 여기에 제공된 역할 권한 예시를 평가하고, 역할을 테스트하여 규정 준수 여부를 확인하고, 그에 따라 조정해야 합니다. 여기에 사용된 일부 사용 권한은 사용자의 요구에 적합하지 않을 수 있으며 추가 사용 권한이 필요할 수 있습니다. vSphere 사용 권한 및 보안 고려 사항의 전체 목록은 vSphere 보안 설명서를 참조하십시오.

1부: 플랫폼 운영자 그룹 및 사용자 생성

vCenter 또는 vCenter와 통합된 AD/LDAP 시스템에서 플랫폼 운영자 그룹 및 초기 사용자 계정을 생성합니다.
  1. vSphere Client를 사용하여 vCenter Server에 관리자로 로그인합니다.
  2. 관리 > Single Sign-On > 사용자 및 그룹으로 이동합니다.
  3. 그룹 탭을 선택합니다.
  4. 추가를 클릭하고 새 그룹을 생성합니다.
    • 이름: platform-operators-group
    • 설명: 감독자 및 TKG 서비스 클러스터에 대한 Kubernetes 운영자용 그룹 계정
    • 추가를 클릭합니다.
  5. 사용자 탭을 선택합니다.
  6. 추가를 클릭하고 테스트 용도의 새 사용자를 생성합니다.
    • 이름: platform-operator-00
    • 암호: 요구 사항을 충족하는 강력한 암호를 입력합니다.
    • 추가를 클릭합니다.
  7. 그룹 탭을 선택합니다.
  8. 새 사용자를 그룹에 추가합니다.
    • platform-operators-group 그룹을 선택합니다.
    • 멤버 추가를 클릭합니다.
    • vsphere.local을 선택합니다.
    • 사용자 이름 platform-operator-00을 검색합니다.
    • 이 사용자를 선택하고 추가를 클릭합니다.
    • 저장을 클릭합니다.

2부: 플랫폼 운영자 그룹을 서비스 제공자 사용자 그룹에 추가

플랫폼 운영자 그룹을 서비스 제공자 사용자 그룹에 추가합니다. 이렇게 하면 플랫폼 운영자 그룹의 멤버가 vCenter 인벤토리 > 호스트 및 클러스터 화면에서 vSphere 네임스페이스를 볼 수 있습니다.

  1. 관리 > Single Sign-On > 사용자 및 그룹으로 이동합니다.
  2. 그룹 탭을 선택합니다.
  3. ServiceProviderUsers 그룹을 찾습니다.
  4. ServiceProviderUsers 그룹을 편집하고 platform-operators-group 멤버로 추가합니다.
  5. 저장을 클릭합니다.

3부: 플랫폼 운영자 역할 생성

플랫폼 운영자를 위한 사용자 지정 vCenter SSO 역할을 생성합니다.
참고: 이 역할에는 컨텐츠 라이브러리 관리를 포함하여 감독자TKG 서비스 클러스터를 프로비저닝하고 운영하는 데 필요한 모든 사용 권한이 포함됩니다. 비즈니스 및 보안 요구 사항에 따라 이 역할에 할당된 사용 권한을 조정해야 할 수도 있습니다. 또한 역할을 테스트하여 요구 사항을 충족하는지 확인해야 합니다.
  1. vSphere Client를 사용하여 관리 > 액세스 제어 > 역할로 이동합니다.
  2. 새로 만들기를 선택하고 새 역할 이름 platform-operators-role을 생성합니다.
  3. 이 역할에 대해 다음 권한을 정의합니다.
  4. 완료되면 저장을 클릭합니다.
    - Alarms
  - Acknowledge alarm &
  - Create alarm &
  - Disable alarm action on entity &
  - Modify alarm &
  - Remove alarm &
  - Set alarm status &
- Certificate Authority
  - Create/Delete (below Admins priv) &
- Certificate Management
  - Create/Delete (below Admins priv) &
- Cns
  - Searchable * &
- Compute Policy
  - Create and Delete Compute Policy &
- Content Library
  - Add library item &
  - Check in a template &
  - Check out a template &
  - Create local library &
  - Create subscribed library &
  - Delete library item &
  - Delete local library &
  - Delete subscribed library &
  - Download files &
  - Evict library item &
  - Evict subscribed library &
  - Import storage &
  - Probe subscription information &
  - Read storage &
  - Sync library item &
  - Sync subscribed library &
  - Type introspection &
  - Update configuration settings &
  - Update library &
  - Update library item &
  - Update local library &
  - Update subscribed library &
  - View configuration settings &
- Datastore
  - Allocate space * & $
  - Browse datastore * &
  - Configure datastore &
  - Low level file operations * &
  - Remove file &
  - Rename datastore &
  - Update virtual machine files &
  - Update virtual machine metadata &
- Extension
  - Register extension &
  - Unregister extension &
  - Update extension &
- Folder
  - Create folder &
  - Delete folder &
  - Move folder &
  - Rename folder &
- Global
  - Cancel task &
  - Disable methods * &
  - Enable methods * &
  - Global tag &
  - Health &
  - Licenses * &
  - Log event &
  - Manage custom attributes &
  - Service managers &
  - Set custom attribute &
  - System tag &
- Host
  - Configuration
    - Network configuration $
- Host profile
  - View &
- Hybrid Linked Mode
  - Manage &
- Namespaces
  - Modify cluster-wide configuration
  - Modify cluster-wide namespace self-service configuration
  - Modify namespace configuration
- Network
  - Assign network * & $
- Resource
  - Apply recommendation &
  - Assign vApp to resource pool * &
  - Assign virtual machine to resource pool &
  - Create resource pool &
  - Modify resource pool &
  - Move resource pool &
  - Query vMotion &
  - Remove resource pool &
  - Rename resource pool &
- Scheduled task
  - Create tasks &
  - Modify task &
  - Remove task &
  - Run task &
- Sessions
  - Message * &
  - Validate session * &
- VM storage policies
  - View VM storage policies *
- Storage views
  - View &
- Supervisor Services
  - Manage Supervisor Services
- Trusted Infrastructure administrator
  - Manage Trusted Infrastructure Hosts &
- vApp
  - Add virtual machine &
  - Assign resource pool &
  - Assign vApp &
  - Clone &
  - Create &
  - Delete &
  - Export &
  - Import * $
  - Move &
  - Power off &
  - Power on &
  - Rename &
  - Suspend &
  - Unregister &
  - View OVF environment &
  - vApp application configuration &
  - vApp instance configuration &
  - vApp managedBy configuration &
  - vApp resource configuration &
- Virtual machine
  - Change Configuration
    - Acquire disk lease &
    - Add existing disk * & $
    - Add new disk * &
    - Add or remove device * &
    - Advanced configuration * & $
    - Change CPU count * &
    - Change Memory * &
    - Change Settings * &
    - Change Swapfile placement &
    - Change Resource &
    - Configure Host USB device &
    - Configure Raw device * &
    - Configure managedBy &
    - Display connection settings &
    - Extend virtual disk * &
    - Modify device settings * &
    - Query Fault Tolerance compatibility &
    - Query unowned files &
    - Reload from path &
    - Remove disk * &
    - Rename &
    - Reset guest information &
    - Set annotation &
    - Toggle disk change tracking * &
    - Upgrade virtual machine compatibility &
  - Edit Inventory
    - Create from existing * &
    - Create new &
    - Move &
    - Remove * &
    - Register &
    - Unregister &
  - Guest operations
    - Guest operation alias modification &
    - Guest operation alias query &
    - Guest operation modifications &
    - Guest operation program execution &
    - Guest operation queries &
  - Interaction
    - Answer question &
    - Backup operation on virtual machine &
    - Configure CD media &
    - Configure floppy media &
    - Connect devices &
    - Console interaction &
    - Create screenshot &
    - Defragment all disks &
    - Drag and drop &
    - Guest operating system management by VIX API &
    - Inject USB HID scan codes &
    - Install VMware Tools &
    - Pause or Unpause &
    - Power off * &
    - Power on * &
    - Reset &
    - Suspend &
  - Provisioning
    - Allow disk access &
    - Allow file access &
    - Allow read-only disk access * &
    - Allow virtual machine download * &
    - Allow virtual machine files upload &
    - Clone template &
    - Clone virtual machine &
    - Create template from virtual machine &
    - Customize guest &
    - Deploy template * &
    - Mark as template &
    - Mark as virtual machine &
    - Modify customization specification &
    - Promote disks &
    - Read customization specifications &
  - Service configuration
    - Allow notifications &
    - Allow polling of global event notifications &
    - Manage service configurations &
    - Modify service configuration &
    - Query service configurations &
    - Read service configuration &
  - Snapshot management
    - Create snapshot * &
    - Remove snapshot * &
    - Rename snapshot &
    - Revert to snapshot &
  - vSphere Replication
    - Configure replication &
    - Manage replication &
    - Monitor replication &
- Virtual Machine Classes
  - Manage Virtual Machine Classes
- vSan
  - Cluster &
    - ShallowRekey &
- vService
  - Create dependency &
  - Destroy dependency &
  - Reconfigure dependency configuration &
  - Update dependency &
- vSphere Tagging
  - Assign or Unassign vSphere Tag &
  - Assign or Unassign vSphere Tag on Object &
  - Create vSphere Tag &
  - Create vSphere Tag Category &
  - Delete vSphere Tag &
  - Delete vSphere Tag Category &
  - Edit vSphere Tag &
  - Edit vSphere Tag Category &
  - Modify UsedBy Field For Category &
  - Modify UsedBy Field For Tag &

4부: 플랫폼 운영자 그룹 및 역할에 vCenter 개체 사용 권한 할당

플랫폼 운영자 그룹에 감독자TKG 서비스 클러스터가 사용하는 vCenter 개체에 대한 사용 권한을 할당합니다.
  1. vCenter에서 인벤토리 보기를 선택합니다.
  2. 아래에 나열된 각 vCenter 개체의 경우 개체를 마우스 오른쪽 버튼으로 클릭하고 사용 권한 추가를 선택합니다.
  3. 사용자/그룹의 경우 platform-operators-group 그룹을 선택합니다.
  4. 역할의 경우 platform-operators-group-role 역할을 선택합니다.
  5. 일부 개체의 경우 표시된 대로 하위 항목으로 전파를 선택해야 합니다.
  • 호스트 및 클러스터
    • 루트 vCenter Server 개체입니다.
    • 데이터 센터 및 모든 호스트 및 클러스터 폴더(데이터 센터 개체부터 TKG 배포를 관리하는 클러스터까지).
    • 감독자를 사용하도록 설정되고 하위 항목으로 전파를 사용하도록 설정된 대상 vCenter 클러스터(ESXi 호스트 경우 등).
    • 하위 항목으로 전파를 사용하도록 설정된 대상 리소스 풀.
  • VM 및 템플릿
    • 하위 항목으로 전파를 사용하도록 설정된 최상위 데이터 센터 개체.
    • 또는 세분성을 높이기 위해 하위 항목으로 전파를 사용하도록 설정된 대상 VM 및 템플릿 폴더.
  • 스토리지
    • 하위 항목으로 전파를 사용하도록 설정된 최상위 데이터 센터 개체.
    • 또는 하위 항목으로 전파를 사용하도록 설정되지 않은 공유 데이터스토어 개체(예: vsanDatastore) 또는 하위 항목으로 전파를 사용하도록 설정된 개별 데이터스토어 및 모든 스토리지 폴더(데이터 센터 개체부터 TKG 배포에 사용될 데이터스토어까지).
  • 네트워킹
    • 하위 항목으로 전파를 사용하도록 설정된 최상위 데이터 센터 개체.
    • 또는 클러스터가 할당될 개별 네트워크, 분산 스위치 및 분산 포트 그룹.

5부: 플랫폼 운영자 그룹 및 역할 연결

플랫폼 운영자 그룹 및 역할에 사용 권한을 할당합니다.

  1. vSphere Client를 사용하여 관리 > 액세스 제어 > 글로벌 사용 권한 > 사용 권한 추가로 이동합니다.
  2. 플랫폼 운영자 역할을 플랫폼 운영자 그룹에 추가합니다.
    • 추가를 클릭합니다.
    • 도메인으로 vsphere.local을 선택합니다.
    • 사용자/그룹의 경우 platform-operators-group 그룹을 입력합니다.
    • 역할의 경우 platform-operators-role 역할을 선택합니다.
    • 하위 항목으로 전파 확인란을 선택합니다.
    • 확인을 클릭하여 역할 권한으로 그룹을 업데이트합니다.
  3. 플랫폼 운영자 그룹에 vSphere Kubernetes 관리자 역할을 추가합니다.
    • 추가를 클릭합니다.
    • 도메인으로 vsphere.local을 선택합니다.
    • 사용자/그룹의 경우 platform-operators-group 그룹을 입력합니다.
    • 역할에 대해 vSphere Kubernetes 관리자 역할을 선택합니다.
    • 하위 항목으로 전파 확인란을 선택합니다.
    • 확인을 클릭하여 역할 권한으로 그룹을 업데이트합니다.

6부: 플랫폼 운영자 그룹 및 역할 검증

새 플랫폼 운영자 그룹 및 역할을 테스트합니다. 그룹 및 역할이 보안 및 비즈니스 요구 사항을 충족하는지 확인하고 적절하게 조정해야 합니다.
  1. vSphere Client를 사용하여 platform-operator-00 사용자 계정으로 vCenter Server에 로그인합니다.
  2. 호스트 및 클러스터, VM 및 템플릿, 스토리지 및 네트워킹을 비롯한 vSphere 개체에 대한 읽기 액세스 권한이 있는지 확인합니다.
  3. 컨텐츠 라이브러리를 생성하고 구성할 수 있는지 확인합니다. TKG 서비스 클러스터에 대한 Kubernetes 릴리스 관리의 내용을 참조하십시오.
  4. vSphere 네임스페이스를 생성하고 구성(사용자 추가, 컨텐츠 라이브러리 연결 및 스토리지 정책 할당 포함)할 수 있는지 확인합니다. TKG 서비스 클러스터 호스팅을 위한 vSphere 네임스페이스 구성의 내용을 참조하십시오.
  5. vSphere에 대한 Kubernetes CLI 도구를 사용하여 감독자에 로그인할 수 있는지 확인합니다. vCenter SSO 인증을 사용하여 TKG 서비스 클러스터에 연결의 내용을 참조하십시오.
  6. Kubectl을 사용하여 감독자에서 TKG 클러스터를 프로비저닝할 수 있는지 확인합니다. Kubectl을 사용하여 TKG 클러스터를 프로비저닝하기 위한 워크플로의 내용을 참조하십시오.
  7. Kubectl을 사용하여 감독자에서 TKG 클러스터에 로그인할 수 있는지 확인합니다. kubectl을 사용하여 vCenter Single Sign-On 사용자로 TKG 서비스 클러스터에 연결의 내용을 참조하십시오.
  8. 감독자 TKG 클러스터에 워크로드를 배포할 수 있는지 확인합니다. TKG 서비스 클러스터에 워크로드 배포의 내용을 참조하십시오.
  9. 감독자에서 TKG 클러스터에 대해 다양한 운영 작업을 수행할 수 있는지 확인합니다. TKG 서비스 클러스터 운영의 내용을 참조하십시오.
  10. vSphere Client를 사용하여 vSphere 네임스페이스감독자에서 프로비저닝된 TKG 클러스터를 볼 수 있는지 확인합니다.
  11. vSphere Client를 사용하여 감독자 및 TKG 클러스터 개체를 모니터링할 수 있는지 확인합니다.
  12. 부정 테스트를 수행하여 vSphere 관리자용으로 예약된 특정 작업을 수행할 수 없는지 확인합니다. 예를 들어 새 vSphere 스토리지 정책 또는 vSphere 네트워킹을 생성할 수 없어야 합니다. 또한 워크로드 관리를 사용하지 않도록 설정할 수 없어야 합니다.
  13. 보안 및 비즈니스 요구 사항을 충족하도록 역할 권한을 적절히 조정합니다.