개발자 사용자 및 개발 그룹은 TKG 서비스 클러스터의 대상 사용자입니다. TKG 서비스 클러스터가 프로비저닝되면 vCenter Single Sign-On 인증을 사용하거나 지원되는 외부 ID 제공자를 사용하여 개발자에게 액세스 권한을 부여할 수 있습니다.
개발자에 대한 인증
클러스터 관리자는 개발자와 같은 다른 사용자에게 클러스터 액세스 권한을 부여할 수 있습니다. 개발자는 사용자 계정을 사용하여 직접 클러스터에 포드를 배포하거나 간접적으로 서비스 계정을 사용할 수 있습니다.
- 사용자 계정 인증의 경우 TKG 서비스 클러스터가 vCenter Single Sign-On 사용자 및 그룹을 지원합니다. 사용자 또는 그룹은 vCenter Server에 대해 로컬이거나 지원되는 디렉토리 서버에서 동기화될 수 있습니다.
- 외부 OIDC 사용자 및 그룹은 vSphere 네임스페이스 역할에 직접 매핑됩니다.
- 서비스 계정 인증의 경우 서비스 토큰을 사용할 수 있습니다. 자세한 내용은 Kubernetes 설명서를 참조하십시오.
클러스터에 개발자 사용자 추가
개발자에게 클러스터 액세스 권한을 부여하려면 다음을 수행합니다.
- 사용자 또는 그룹에 대한 역할 또는 ClusterRole을 정의하고 클러스터에 적용합니다. 자세한 내용은 Kubernetes 설명서를 참조하십시오.
- 사용자 또는 그룹에 대한 RoleBinding 또는 ClusterRoleBinding을 생성하고 클러스터에 적용합니다. 다음 예를 참조하십시오.
RoleBinding 예
vCenter Single Sign-On 사용자 또는 그룹에 액세스 권한을 부여하려면 RoleBinding의 주체에
name
매개 변수에 대한 다음 값 중 하나를 포함해야 합니다.
필드 | 설명 |
---|---|
sso:USER-NAME@DOMAIN |
예를 들어 로컬 사용자 이름(예: sso:[email protected] )을 입력합니다. |
sso:GROUP-NAME@DOMAIN |
예를 들어 디렉토리 서버의 그룹 이름이 vCenter Server(예: sso:[email protected] )와 통합되었습니다. |
다음 RoleBinding 예는 이름이 Joe인 vCenter Single Sign-On 로컬 사용자를 이름이 edit
인 기본 ClusterRole에 바인딩합니다. 이 역할은 네임스페이스에 있는 대부분의 개체(이 경우 default
네임스페이스)에 대한 읽기/쓰기 액세스를 허용합니다.
kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: rolebinding-cluster-user-joe namespace: default roleRef: kind: ClusterRole name: edit #Default ClusterRole apiGroup: rbac.authorization.k8s.io subjects: - kind: User name: sso:[email protected] #sso:<username>@<domain> apiGroup: rbac.authorization.k8s.io