개발자에게 TKG 서비스 클러스터에 대한 vCenter SSO 액세스 권한 부여

개발자 사용자 및 개발 그룹은 TKG 서비스 클러스터의 대상 사용자입니다. TKG 서비스 클러스터가 프로비저닝되면 vCenter Single Sign-On 인증을 사용하거나 지원되는 외부 ID 제공자를 사용하여 개발자에게 액세스 권한을 부여할 수 있습니다.

개발자에 대한 인증

클러스터 관리자는 개발자와 같은 다른 사용자에게 클러스터 액세스 권한을 부여할 수 있습니다. 개발자는 사용자 계정을 사용하여 직접 클러스터에 포드를 배포하거나 간접적으로 서비스 계정을 사용할 수 있습니다.

사용자 계정 인증의 경우 TKG 서비스 클러스터가 vCenter Single Sign-On 사용자 및 그룹을 지원합니다. 사용자 또는 그룹은 vCenter Server에 대해 로컬이거나 지원되는 디렉토리 서버에서 동기화될 수 있습니다.
외부 OIDC 사용자 및 그룹은 vSphere 네임스페이스 역할에 직접 매핑됩니다.
서비스 계정 인증의 경우 서비스 토큰을 사용할 수 있습니다. 자세한 내용은 Kubernetes 설명서를 참조하십시오.

클러스터에 개발자 사용자 추가

개발자에게 클러스터 액세스 권한을 부여하려면 다음을 수행합니다.

사용자 또는 그룹에 대한 역할 또는 ClusterRole을 정의하고 클러스터에 적용합니다. 자세한 내용은 Kubernetes 설명서를 참조하십시오.
사용자 또는 그룹에 대한 RoleBinding 또는 ClusterRoleBinding을 생성하고 클러스터에 적용합니다. 다음 예를 참조하십시오.

RoleBinding 예

vCenter Single Sign-On 사용자 또는 그룹에 액세스 권한을 부여하려면 RoleBinding의 주체에 name 매개 변수에 대한 다음 값 중 하나를 포함해야 합니다.

표 1. 지원되는 사용자 및 그룹 필드
필드	설명
`sso:USER-NAME@DOMAIN`	예를 들어 로컬 사용자 이름(예: `sso:[email protected]`)을 입력합니다.
`sso:GROUP-NAME@DOMAIN`	예를 들어 디렉토리 서버의 그룹 이름이 vCenter Server(예: `sso:[email protected]`)와 통합되었습니다.

다음 RoleBinding 예는 이름이 Joe인 vCenter Single Sign-On 로컬 사용자를 이름이 edit인 기본 ClusterRole에 바인딩합니다. 이 역할은 네임스페이스에 있는 대부분의 개체(이 경우 default 네임스페이스)에 대한 읽기/쓰기 액세스를 허용합니다.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io