做為 vSphere 管理員,您需要具備設定 主管叢集 和管理命名空間的權限。您可以定義命名空間的權限,以判定哪些 DevOps 工程師可以存取它們。做為 DevOps 工程師,您可以使用 vCenter Single Sign-On 認證對 主管叢集 進行驗證。您只能存取具有權限的命名空間。

vSphere 管理員的權限

身為 vSphere 管理員,您需要 vSphere 叢集上的權限,才能將其設定為 主管叢集 以及建立和管理命名空間。您必須至少具有與您在 vSphere 叢集上的使用者帳戶相關聯的下列權限之一:

  • 修改命名空間組態。可讓您在 主管叢集 上建立和設定命名空間。
  • 修改叢集範圍組態。可讓您將 vSphere 叢集設定為 主管叢集

設定 DevOps 工程師的權限

身為 vSphere 管理員,您可以將檢視、編輯或擁有者權限授與命名空間層級上的使用者帳戶。使用者帳戶必須在連線至 vCenter Single Sign-On 的身分識別來源中可用。一個使用者帳戶可以存取多個命名空間。屬於管理員群組的使用者可以存取 主管叢集 上的所有命名空間。

在設定具有權限、資源配額和儲存區的命名空間後,您可以將 Kubernetes 控制平面的 URL 提供給 DevOps 工程師,以用於登入控制平面。登入後,DevOps 工程師便可跨越屬於 vCenter Server 系統的所有 主管叢集 存取具有權限的所有命名空間。當 vCenter Server 系統處於增強型連結模式時,DevOps 工程師可以跨越連結模式群組中的所有可用 主管叢集 存取具有權限的所有命名空間。Kubernetes 控制平面的 IP 位址是 NSX-T 或負載平衡器 (與 VDS 網路堆疊一起使用) 產生的虛擬 IP,可用作 Kubernetes 控制平面的存取點。

具有擁有者權限的 DevOps 工程師可以部署工作負載。他們可以將命名空間與其他 DevOps 工程師或群組共用,也可以在不再需要時將其刪除。DevOps 工程師共用命名空間時,他們可以將檢視、編輯或擁有者權限指派給其他 DevOps 工程師和群組。

使用 主管叢集 進行驗證

做為 DevOps 工程師,您可以使用 vSphere 適用的 Kubernetes CLI 工具 透過 vCenter Single Sign-On 認證和 Kubernetes 控制平面 IP 位址向 主管叢集 進行驗證。如需詳細資訊,請參閱 以 vCenter Single Sign-On 使用者身分連線至 主管叢集

登入 主管叢集 時,Authentication Proxy 會將該要求重新導向至 vCenter Single Sign-On。vSphere kubectl 外掛程式會建立與 vCenter Server 的工作階段,並從 vCenter Single Sign-On 取得驗證 Token。它還會擷取您有權存取的命名空間清單,並將這些命名空間填入組態中。如果您的使用者帳戶的權限發生變更,則下次登入時會更新命名空間的清單。

用於登入 主管叢集 的帳戶僅提供對指派給您的命名空間的存取權。您無法使用該帳戶登入 vCenter Server。若要登入 vCenter Server,您需要明確權限。
備註: kubectl 的工作階段會持續 10 小時。工作階段到期後,您必須再次對 主管叢集 進行驗證。登出時,會從您的使用者帳戶的組態檔中刪除 Token,但在工作階段結束之前保持有效。

Tanzu Kubernetes 叢集進行驗證

Tanzu Kubernetes 叢集使用者 (包括 DevOps 工程師、開發人員和管理員) 可透過多種方式對叢集進行驗證。如需詳細資訊,請參閱 對 Tanzu Kubernetes 叢集進行驗證

備註: Tanzu Kubernetes 叢集需要使用者和系統帳戶擁有網繭安全性原則,才能將網繭和資源部署到叢集。如需詳細資訊,請參閱 將網繭安全性原則與 Tanzu Kubernetes 叢集搭配使用