TKGS用户管理系统的集成方案
VMware越来越多的客户都在使用vSphere with Tanzu 中的Kubernetes的服务TKGS(原名Guest Cluster)来部署企业的Kubernetes工作负载。要在生产环境中使用K8S集群,一般来说需要和企业的其他系统环境进行有机的集成,例如网络,存储等硬件资源环境以及其他IT软件系统。有许多合作伙伴和客户最近向我咨询:如何将企业原有的用户身份管理系统和TKGS进行有机的集成。 这是一个非常合理的需求,谁也不会希望看到新上的系统和原有系统有两套不同的需要管理的用户访问控制系统。通常来说,企业用户会使用OIDC来集成Kubernetes的用户管理和认证系统。OIDC是(OpenID Connect)的缩写,是Kubernetes原生系统就支持的用户身份认证的扩展机制。不少其他的K8S系统都支持OIDC的扩展,例如IBM的OpenShift, VMware另一款的K8S产品(VMware Tanzu) (注意: VMWare Tanzu和vSphere with Tanzu是两个不同的产品)。 但是TKGS并不支持OIDC的扩展。在TKGS集群里,用户管理机制是vSphere SSO。(如果想详细了解vSphere with Tanzu,以及缺省用户管理机制的知识,请参考我之前的文章:vSphere with Kubernetes实战之:用户访问控制)。用户想要访问TKGS集群,一定要在vCenter Server中先创建SSO用户账号。 TKGS是款受管的K8S集群产品。所谓受管,意味着该集群的Master节点和worker节点都是系统替你维护的,集群网络配置,存储挂载,节点伸缩,扩展以及故障恢复这些高可用特性都是系统自动管理的。受管的K8S产品给客户带来很大的便利条件,让客户将关注的重点放在自己的工作负载就行了。但是受管的集群的缺点就是灵活性,它的Master节点和Worker节点的配置是实现定义好的,不能随意更改。这也是TKGS不能修改Master节点的配置使它支持OIDC的身份管理扩展的原因。其实很多受管的K8S产品也一样,例如Google的GKE,AWS的EKS等等,它们的K8S用户身份管理系统也只能使用自己的云管身份系统,也不能使用OIDC。 本文介绍了5种解决方案,在这种受管的TKGS环境中,如何来实现将企业原有的用户身份管理系统和TKGS集群(Guest Cluster)进行有机的集成: 等待vSphere7的未来版本中更强的Identity...
