Nutanix Kubernetes Platform(NKP)v2.12 に Identity Provider として登録した Active Directory(AD)ユーザーに、参照(View)ロールを割り当ててみます。
今回の内容です。
今回の環境
NKP の環境は、下記のように構築してあります。
AD と NKP での認証設定は、下記のように設定してあります。
AD グループ / ユーザーの作成
AD には、NKP の参照ユーザーとして利用するためのグループとユーザーを作成しておきます。
- グループ:NKP-Viewers
- ユーザー:NKP User01(nkp-user01)
NKP User01 というユーザーを作成してあります。
NKP User01 ユーザーのログオン名は、「nkp-user01」にしてあります。
このユーザーは、NKP-Viewrs グループに所属させてあります。
NKP グループ作成とロール割り当て
NKP ダッシュボードにログインして、「Global」→「Administration」→「Access Control」を開くと、「Cluster Roles」タブでロールを確認できます。
Cluster Role として、「View」ロールが作成されています。
今回は、「Access Control」画面で NKP のグループを作成します。
「Cluster Role Bindings」タブを開いて、「+ Cluster Group」をクリックします。
グループの名前を入力して、「Add Group」をクリックします。
- Enter Name:NKP Viewers
NKP のグループに追加する、Identity Provider(AD)のグループを入力して「Save」をクリックします。
- Groups:oidc:NKP-Viewers
作成したグループにロールを割り当てるため、「Add Roles」をクリックします。
ロールを選択して、「Save」をクリックします。
- Roles:View Role
これで、グループにロールが割り当てられました。
NKP ダッシュボードへのログイン
Web ブラウザのシークレット モードなどでダッシュボードのログイン画面を開きなおして、再ログインします。
登録した LDAP(ここでは nxad.go-lab.jp)の名前を選択します。
参照ロールを付与した AD ユーザー(nkp-user01)でログインします。
参照用のユーザーとしてログインできました。Cluster Admin Role を割り当てた場合とは異なり、画面右上の「Cluster Create」ボタンは表示されていません。
※スクリーンショットでは「NKP User 01」ですが、実際には今回の AD ユーザー設定であれば「NKP User01」になります。(作業途中でユーザー名を変更したので差異が・・・)
Kubernetes クラスタの右下にあるボタンには「Download kubeconfig」のみが表示されます。
ただ、このリンクでも kubeconfig ファイルはダウンロードできないようです。
Kubernetes の「View Details」を開きます。
この画面の情報は、View Role でも、Cluster Admin Role と同様に表示されます。
画面をスクロールした様子です。
「Namespaces」タブでは、存在する Namespaces の名前のみが表示されます。
この画面では、「Edit」ボタンから Kubernetes クラスタにラベルを付与できます。
View Role でもラベルの編集画面は開けますが、「Save」をクリックすると権限不足によりエラーになります。
以上。