article Tanzu Kubernetes Cluster への接続。(実験編) in Legacy User Blogs https://communities.vmware.com/t5/Legacy-User-Blogs/Tanzu-Kubernetes-Cluster-%E3%81%B8%E3%81%AE%E6%8E%A5%E7%B6%9A-%E5%AE%9F%E9%A8%93%E7%B7%A8/ta-p/2762520 <HTML><HEAD></HEAD><BODY><P>vSphere with Kubernetes のスーパーバイザー クラスタ上に作成した</P><P>「Tanzu Kubernetse Cluster」に、kubectl を使用していくつかの方法で接続してみます。</P><P></P><P>ドキュメントでは、下記のあたりが参考になります。</P><P><A href="https://docs.vmware.com/jp/VMware-vSphere/7.0/vmware-vsphere-with-kubernetes/GUID-FBB9722C-1BB4-4CF2-AB4C-A3ADB5FCC971.html" title="https://docs.vmware.com/jp/VMware-vSphere/7.0/vmware-vsphere-with-kubernetes/GUID-FBB9722C-1BB4-4CF2-AB4C-A3ADB5FCC971.html">Tanzu Kubernetesクラスタ環境への接続</A></P><P></P><H1><SPAN style="text-decoration: underline;">環境について。</SPAN></H1><P>今回の接続元の環境は Linux です。</P><P>スーパーバイザー クラスタの管理プレーンから、kubectl と vSphere プラグインはダウンロードしてあります。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>cat /etc/system-release</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Oracle Linux Server release 7.8</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl version --short --client</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Client Version: v1.17.4-2+a00aae1e6a4a69</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl vsphere version</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kubectl-vsphere: version 0.0.2, build 16232217, change 8039971</SPAN></P></BLOCKQUOTE><P></P><P>Tanzu Kubernetse Cluster のラボは、下記のように構築しています。</P><P><A href="https://communities.vmware.com/migration-blogpost/22315">vSphere with Kubernetes ラボ環境構築。(まとめ)</A></P><P></P><P>kubectl は、スーパーバイザー クラスタの制御プレーンからダウンロードしたものを利用しています。</P><P><A href="https://communities.vmware.com/migration-blogpost/22269">vSphere with Kubernetes ラボ環境構築。Part-11: kubectl で vSphere Pod 起動編</A></P><P></P><P>vCenter Server 7.0b で、3ノードの ESXi で スーパーバイザー クラスタを構成しています。</P><P>スーパーバイザークラスタ「wcp-cluster-41」の、制御プレーンの IP アドレスは「192.168.70.97」です。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-00.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23192i542311025A940186/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-00.png" alt="tkc-access-00.png" /></span></P><P></P><P>Tanzu Kubernetes Cluster(TKC)は、スーパーバイザークラスタの名前空間「lab-ns-03」に作成ずみです。</P><P>TKC の名前は「tkg-cluster-41」で、制御プレーンの IP アドレスは「192.168.70.99」です。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-01.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23193i64055559A689DCDB/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-01.png" alt="tkc-access-01.png" /></span></P><P></P><P>あらかじめ、vCenter Single Sign-On には、ID ソースとして LDAP サーバを登録ずみです。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-02.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23194i7EC7B598832A854E/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-02.png" alt="tkc-access-02.png" /></span></P><P></P><P>ID ソースのドメイン「go-lab.jp」からユーザ情報を取得できています。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-03.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23195i6619D4E72B326E32/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-03.png" alt="tkc-access-03.png" /></span></P><P></P><H1><SPAN style="text-decoration: underline;">方法1: vCenter Single Sign-On 認証で接続する。</SPAN></H1><P>ここでは、「k8s-infra-user @ go-lab.jp」という vCenter Single Sigh-On のユーザーで接続してみます。</P><P></P><P>まず、対象のユーザーには、スーパーバイザー クラスタの名前空間で「権限の追加」が必要です。</P><P>そして、kubectl で TKC に接続する際は、スーパーバイザー制御プレーン宛となります。</P><P>ちなみに、vCenter の管理者ユーザ(administrator@vsphere.local)であれば、</P><P>デフォルトでスーパーバイザー クラスタや TKC にアクセス可能です。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-case-01.PNG"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23203i38344068CCE87252/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-case-01.PNG" alt="tkc-access-case-01.PNG" /></span></P><P></P><H2>1-1: スーパーバイザー名前空間での権限の追加。</H2><P>スーパーバイザー クラスタの名前空間「lab-ns-03」の、</P><P>「サマリ」→「権限」にある「権限の追加」をクリックします。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-04.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23196iA2C45926D8B17802/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-04.png" alt="tkc-access-04.png" /></span></P><P></P><P>ID ソース、ユーザー(またはグループ)、ロールを選択して、「OK」をクリックします。</P><P>今回は、ユーザー(k8s-infra-user)を指定していますが、一般的にはグループを指定するはずです。</P><P>ロールでは、「編集可能」(edit) または、「表示可能」(view)が選択できます。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-05.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23197i7BF9724799D80DDC/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-05.png" alt="tkc-access-05.png" /></span></P><P></P><P>権限が追加されました。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-06.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23198i12517AD18930886A/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-06.png" alt="tkc-access-06.png" /></span></P><P></P><H2>1-2: kubectl での接続。</H2><P>kubectl vsphere login でログインすると、kubeconfig のファイルが生成されます。</P><P>デフォルトでは、$HOME/.kube/config というファイル名で作成されますが、</P><P>環境変数 KUBECONFIG を設定しておくと、そのパスに生成されます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>export KUBECONFIG=$(pwd)/kubeconfig_tkc</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>kubectl vsphere login では、次のようなオプションを指定します。</P><UL><LI>--server: Tanzu Kubernetes Cluster の制御プレーンではなく、<BR />スーパーバイザー クラスタの、制御プレーンが持つ IP アドレス(この環境では 192.168.70.97)を指定します。</LI><LI>--tanzu-kubernetes-cluster-namespace: TKC を作成したスーパーバイザー名前空間</LI><LI>--tanzu-kubernetes-cluster-name: TKC の名前</LI></UL><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl vsphere login --insecure-skip-tls-verify --server=192.168.70.97 --tanzu-kubernetes-cluster-namespace=lab-ns-03 --tanzu-kubernetes-cluster-name=tkg-cluster-41</STRONG></SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">Username: <SPAN style="color: #e23d39;"><A class="jive-link-email-small" href="mailto:k8s-infra-user@go-lab.jp">k8s-infra-user@go-lab.jp</A></SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Password: <SPAN style="color: #e23d39;">★パスワードを入力。</SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Logged in successfully.</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">You have access to the following contexts:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; 192.168.70.97</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; lab-ns-03</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; tkg-cluster-41</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">If the context you wish to use is not in this list, you may need to try</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">logging in again later, or contact your cluster administrator.</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">To change context, use `kubectl config use-context &lt;workload name&gt;`</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$</SPAN></P></BLOCKQUOTE><P></P><P>TKC「tkg-cluster-41」と、TKC のスーパーバイザー名前空間「lab-ns-03」と同名のコンテキストが作成されます。</P><P>ここでも、TKC&nbsp; の制御プレーン アドレス「192.168.70.99」がわかります。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config get-contexts tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">CURRENT&nbsp;&nbsp; NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLUSTER&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AUTHINFO&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NAMESPACE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;"><SPAN>*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tkg-cluster-41&nbsp;&nbsp; 192.168.70.99&nbsp;&nbsp; wcp:192.168.70.99:</SPAN><A class="jive-link-email-small" href="mailto:k8s-infra-user@go-lab.jp">k8s-infra-user@go-lab.jp</A></SPAN></P></BLOCKQUOTE><P></P><P>TKC のノードが表示できました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --context tkg-cluster-41 get nodes</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; STATUS&nbsp;&nbsp; ROLES&nbsp;&nbsp;&nbsp; AGE&nbsp;&nbsp;&nbsp; VERSION</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-control-plane-vcdpg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; master&nbsp;&nbsp; 153m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-lgsx2&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 131m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-qvv92&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 127m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-vdrpn&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 131m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P></BLOCKQUOTE><P></P><P>ちなみに権限を追加していなかったり、ロールが「表示可能」の場合はエラーになります。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --context tkg-cluster-41 get nodes</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;"><SPAN>Error from server (Forbidden): nodes is forbidden: User "sso:</SPAN><A class="jive-link-email-small" href="mailto:k8s-infra-user@go-lab.jp">k8s-infra-user@go-lab.jp</A><SPAN>" cannot list resource "nodes" in API group "" at the cluster scope</SPAN></SPAN></P></BLOCKQUOTE><P></P><P>なお、TKC で Deployment リソースなどで Pod を作成するには、PodSecurityPolicy の設定が必要になったりします。</P><P>(これは、この後の方法でも同様です)</P><P><A href="https://communities.vmware.com/migration-blogpost/22306">vSphere with Kubernetes ラボ環境構築。Part-15: Tanzu Kubernetes Cluster での PSP 使用 / Deployment 作成編</A></P><P></P><H1><SPAN style="text-decoration: underline;">方法2: Kubernetes の管理ユーザ(kubernetes-admin)として接続する。</SPAN></H1><P>この方法では、TKC を作成してあるスーパーバイザー名前空間「lab-ns-03」に自動作成されている Secret リソースから、kubeconfig の情報を取得します。</P><P>これは、あらかじめ kubectl vsphere login でスーパーバイザー クラスタか TKC に接続したうえで取得することになります。</P><P></P><P>kubernetes-admin の kubeconfig での接続は、直接 TKC の管理プレーン宛を指定します。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-case-02.PNG"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23204i3944F7C252E60A5C/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-case-02.PNG" alt="tkc-access-case-02.PNG" /></span></P><P></P><H2>2-1: kubernetes-admin ユーザーの kubeconfig の取得。</H2><P>Secret リソースは、「<Tanzu Kubernetes Cluster の名前>-kubeconfig」となっており、</P><P>この環境では「tkg-cluster-41-kubeconfig」です。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --context lab-ns-03 get secrets tkg-cluster-41-kubeconfig</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TYPE&nbsp;&nbsp;&nbsp;&nbsp; DATA&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-kubeconfig&nbsp;&nbsp; Opaque&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 167m</SPAN></P></BLOCKQUOTE><P></P><P>JSON パスでの「{.data.value}」に、base64 エンコーディングされた kubeconfig が格納されています。</P><P>この内容を、「base64 -d」コマンドでデコードして、ファイルに保存します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --context lab-ns-03 get secret tkg-cluster-41-kubeconfig -o jsonpath='{.data.value}' | base64 -d &gt; ./kubeconfig_tkg-cluster-41</STRONG></SPAN></P></BLOCKQUOTE><P></P><H2>2-2: 生成した kubeconfig での kubectl 接続。</H2><P>保存した kubeconfig で、管理ユーザーのコンテキストで TKC に接続できます。</P><P>これは、vCenter Single Sign-On の認証とは関係なく接続できるものです。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_tkg-cluster-41 config current-context</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kubernetes-admin@tkg-cluster-41</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_tkg-cluster-41 get nodes</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; STATUS&nbsp;&nbsp; ROLES&nbsp;&nbsp;&nbsp; AGE&nbsp;&nbsp;&nbsp; VERSION</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-control-plane-vcdpg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; master&nbsp;&nbsp; 155m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-lgsx2&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 133m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-qvv92&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 129m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-vdrpn&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 133m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P></BLOCKQUOTE><P></P><H1><SPAN style="text-decoration: underline;">方法3: Kubernetes の ServiceAccount を作成して接続する。</SPAN></H1><P>方法1か、方法2の、いずれかで TKC に接続したうえで、TKC の名前空間に ServiceAccount を作成して接続します。</P><P>ServiceAccount での TKC への接続も、スーパーバイザー制御プレーンではなく、TKC 制御プレーン宛となります。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-case-03.PNG"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23205i09C54E2A584E25BE/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-case-03.PNG" alt="tkc-access-case-03.PNG" /></span></P><P></P><H2>3-1: ServiceAccount の作成。</H2><P>ここからは、ちょうど直前の 方法2 で作成した kubeconfig を利用します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>export KUBECONFIG=$(pwd)/kubeconfig_tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config current-context</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kubernetes-admin@tkg-cluster-41</SPAN></P></BLOCKQUOTE><P></P><P>この時点では TKC の「default」名前空間を使用していますが、</P><P>あらたに「tkg-ns-01」という名前空間を作成して、そこに ServiceAccount で接続できるようにします。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl create namespace tkg-ns-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">namespace/tkg-ns-01 created</SPAN></P></BLOCKQUOTE><P></P><P>この時点 tkg-ns-01 名前空間に存在するのは、ServiceAccount(sa) は default のみです。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 get sa</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SECRETS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">default&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 43s</SPAN></P></BLOCKQUOTE><P></P><P>ServiceAccount「sa-01」を作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 create sa sa-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">serviceaccount/sa-01 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 get sa</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SECRETS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">default&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 47s</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">sa-01&nbsp;&nbsp;&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 12s</SPAN></P></BLOCKQUOTE><P></P><P>この ServiceAccount のトークンが格納されている、Secret リソースの名前を確認します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>SA_SECRET_NAME=$(kubectl -n tkg-ns-01 get sa sa-01 -o jsonpath='{.secrets[0].name}')</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>echo $SA_SECRET_NAME</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">sa-01-token-zc74c</SPAN></P></BLOCKQUOTE><P></P><P>Secret リソースから、トークンを取得します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>SA_TOKEN=$(kubectl -n tkg-ns-01 get secrets $SA_SECRET_NAME -o jsonpath='{.data.token}' | base64 -d)</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>確認したトークンをもとに、Credential、コンテキストを作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config set-credentials sa-01 --token=$SA_TOKEN</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">User "sa-01" set.</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config set-context ctx-sa-01 --user=sa-01 --cluster=tkg-cluster-41 --namespace=tkg-ns-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Context "ctx-sa-01" created.</SPAN></P></BLOCKQUOTE><P></P><P>コンテキストを kubeconfig ファイルとして保存しておきます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config view --minify --context=ctx-sa-01 --raw &gt; ./kubeconfig_ctx-sa-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config delete-context ctx-sa-01</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>ServiceAccount で接続する kubeconifg が生成されました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_ctx-sa-01 config get-contexts</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">CURRENT&nbsp;&nbsp; NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLUSTER&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AUTHINFO&nbsp;&nbsp; NAMESPACE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ctx-sa-01&nbsp;&nbsp; tkg-cluster-41&nbsp;&nbsp; sa-01&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tkg-ns-01</SPAN></P></BLOCKQUOTE><P></P><H2>3-2: ServiceAccount の権限設定。</H2><P>作成した ServiceAccount「sa-01」が Kubernetes のリソースを操作できるように、</P><P>ClusterRole「edit」を割り当てる RoleBinding を作成しておきます。</P><P></P><P>role-binding-edit.yml</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">---</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kind: RoleBinding</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">apiVersion: rbac.authorization.k8s.io/v1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">metadata:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: rb-edit-sa-01</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">roleRef:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; kind: ClusterRole</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: <SPAN style="color: #e23d39;">edit</SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">subjects:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">- kind: ServiceAccount</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: <SPAN style="color: #e23d39;">sa-01</SPAN></SPAN></P></BLOCKQUOTE><P></P><P>RoleBinding を、TKC の tkg-ns-01 名前空間に作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 apply -f role-binding-edit.yml</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">rolebinding.rbac.authorization.k8s.io/rb-edit-sa-01 created</SPAN></P></BLOCKQUOTE><P></P><P>TKC で Pod を起動できるように、PodSecurityPolicy を割り当てる RoleBinding も作成しておきます。</P><P>こちらは、すべての ServiceAccount を指定しています。</P><P></P><P>role-binding-psp.yml</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">---</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kind: RoleBinding</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">apiVersion: rbac.authorization.k8s.io/v1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">metadata:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: rb-vmware-system-privileged</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">roleRef:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; kind: ClusterRole</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: psp:vmware-system-privileged </SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">subjects:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">- kind: Group</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: <SPAN style="color: #e23d39;">system:serviceaccounts</SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P></BLOCKQUOTE><P></P><P>TKC の名前空間に RoleBinding を作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 apply -f role-binding-psp.yml</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">rolebinding.rbac.authorization.k8s.io/rb-vmware-system-privileged created</SPAN></P></BLOCKQUOTE><P></P><H2>3-3: 生成した kubeconifg での kubectl 接続。</H2><P>生成した kubeconfig で、Pod の起動ができました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_ctx-sa-01 run pod-01 --image=gowatana/centos7:httpd --restart=Never</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod/pod-01 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_ctx-sa-01 get pods</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp; READY&nbsp;&nbsp; STATUS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; RESTARTS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod-01&nbsp;&nbsp; 1/1&nbsp;&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 44s</SPAN></P></BLOCKQUOTE><P></P><P>Pod は削除しておきます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_ctx-sa-01.txt delete pod pod-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod "pod-01" deleted</SPAN></P></BLOCKQUOTE><P></P><H1><SPAN style="text-decoration: underline;">方法4: TKC 側で vCenter Single Sign-On ユーザーの権限を割り当てる。</SPAN></H1><P>あらかじめ、方法1、または方法2の、いずれかの方法で TKC に接続しておきます。</P><P>そして方法1 とは異なり、TKC で作成した名前空間に vCenter Single Sigh-On ユーザーの権限を割り当てます。</P><P>そのあとの TKC への接続はスーパーバイザー制御プレーン宛となります。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-case-04a.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23206iC2FC6C2855984B58/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-case-04a.png" alt="tkc-access-case-04a.png" /></span></P><P></P><H2>方法4-1: TKC の名前空間への権限の追加。</H2><P>ここでは、方法2 で生成した kubeconfig を利用して、TKC を操作します。</P><P>(方法1 の接続でも同様に操作できます)</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>export KUBECONFIG=$(pwd)/kubeconfig_tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config current-context</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kubernetes-admin@tkg-cluster-41</SPAN></P></BLOCKQUOTE><P></P><P>TKC の名前空間「tkg-ns-02」を追加作成します。</P><P>あわせて、PSP の RoleBinding(YAML は方法3のものと同様)も作成しておきます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl create namespace tkg-ns-02</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">namespace/tkg-ns-02 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-02 apply -f role-binding-psp.yml</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">rolebinding.rbac.authorization.k8s.io/rb-vmware-system-privileged created</SPAN></P></BLOCKQUOTE><P></P><P>RoleBinding の YAML を用意します。</P><P>リソースを操作できるように、ClusterRole「edit」を割り当てます。</P><P><SPAN>subjects では vCenter Single Sign-On ユーザー(sso:</SPAN><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A><SPAN>)を指定しています。</SPAN></P><P>ちなみに、グループを指定する場合は、「kind: User」を「kind: Group」にします。</P><P></P><P>role-binding-vcsso.yml</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">---</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kind: RoleBinding</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">apiVersion: rbac.authorization.k8s.io/v1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">metadata:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: rb-edit-k8s-dev-user</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">roleRef:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; kind: ClusterRole</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: edit</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">subjects:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">- kind: User</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: <SPAN style="color: #e23d39;"><SPAN>sso:</SPAN><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A></SPAN> #sso:&lt;username&gt;@&lt;domain&gt;</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P></BLOCKQUOTE><P></P><P>作成した TKC の名前空間「tkg-ns-02」に、RoleBinding を作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-02 apply -f role-binding-vcsso.yml</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">rolebinding.rbac.authorization.k8s.io/rb-edit-k8s-dev-user created</SPAN></P></BLOCKQUOTE><P></P><H2>方法4-2: kubectl での接続。</H2><P>既存の kubeconfig を上書きしないように、環境変数 KUBECONFIG に、新しい kubeconfig ファイルのパスを指定します。</P><P>この時点では「kubeconfig_k8s-dev-user」ファイルは存在しません。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>export KUBECONFIG=<SPAN style="font-family: 'courier new', courier; background-color: #f6f6f6;"><STRONG>$(pwd)</STRONG></SPAN>/kubeconfig_k8s-dev-user</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>kubectl vsphere login で、スーパーバイザー制御プレーンと TKC に接続します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl vsphere login --insecure-skip-tls-verify --server=192.168.70.97 --tanzu-kubernetes-cluster-namespace=lab-ns-03 --tanzu-kubernetes-cluster-name=tkg-cluster-41</STRONG></SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">Username: <SPAN style="color: #e23d39;"><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A></SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Password: <SPAN style="color: #e23d39;">★パスワードを入力。</SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Logged in successfully.</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">You have access to the following contexts:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; 192.168.70.97</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; tkg-cluster-41</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">If the context you wish to use is not in this list, you may need to try</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">logging in again later, or contact your cluster administrator.</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">To change context, use `kubectl config use-context &lt;workload name&gt;`</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$</SPAN></P></BLOCKQUOTE><P></P><P>コンテキストが生成されました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config get-contexts tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">CURRENT&nbsp;&nbsp; NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLUSTER&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AUTHINFO&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NAMESPACE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;"><SPAN>*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tkg-cluster-41&nbsp;&nbsp; 192.168.70.99&nbsp;&nbsp; wcp:192.168.70.99:</SPAN><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A></SPAN></P></BLOCKQUOTE><P></P><P>コンテキストを TKC の「tkg-cluster-41」に切り替えて、</P><P>デフォルトの名前空間として「tkg-ns-02」を設定します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config use-context tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Switched to context "tkg-cluster-41".</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config set-context --current --namespace=tkg-ns-02</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Context "tkg-cluster-41" modified.</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config get-contexts tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">CURRENT&nbsp;&nbsp; NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLUSTER&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AUTHINFO&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NAMESPACE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;"><SPAN>*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tkg-cluster-41&nbsp;&nbsp; 192.168.70.99&nbsp;&nbsp; wcp:192.168.70.99:</SPAN><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A><SPAN>&nbsp;&nbsp; </SPAN><SPAN style="color: #e23d39;">tkg-ns-02</SPAN></SPAN></P></BLOCKQUOTE><P></P><P>Pod が起動できました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl run pod-01 --image=gowatana/centos7:httpd --restart=Never</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod/pod-01 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl get pods -n tkg-ns-02</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp; READY&nbsp;&nbsp; STATUS&nbsp;&nbsp;&nbsp; RESTARTS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod-01&nbsp;&nbsp; 1/1&nbsp;&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 10s</SPAN></P></BLOCKQUOTE><P></P><P>スーパーバイザー名前空間「lab-ns-03」では「k8s-dev-user」ユーザーへの権限は追加していませんが、</P><P>vCenter Single Sigh-On ユーザーでリソース作成ができました。</P><P>vSphere Client で確認すると、方法1 で使用した「k8s-infra-user」ユーザーのみが追加されています。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-09.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23202iA4EAAA43B2D8CCA9/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-09.png" alt="tkc-access-09.png" /></span></P><P></P><H1><SPAN style="text-decoration: underline;">vCenter 同梱ではない kubectl の接続。</SPAN></H1><P>ちなみに、ここまでの方法に関わらず、kubeconfig が生成できていれば</P><P>一般的な Kubernetes 操作ツールでも TKC に(スーパーバイザー クラスタにも)接続することができます。</P><P></P><P>Kubernetes のドキュメントでおなじみの URL から kubectl をダウンロードします。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG><SPAN>curl -LO </SPAN><A class="jive-link-external-small" href="https://storage.googleapis.com/kubernetes-release/release/v1.17.8/bin/linux/amd64/kubectl" rel="nofollow">https://storage.googleapis.com/kubernetes-release/release/v1.17.8/bin/linux/amd64/kubectl</A></STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>chmod +x ./kubectl</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>vCenter 同梱の kubectl と、あらたにダウンロードした kubectl(./kubectl でカレント ディレクトリのものを実行)です。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl version --short</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Client Version: v1.17.4-2+a00aae1e6a4a69</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Server Version: v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>./kubectl version --short</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Client Version: v1.17.8</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Server Version: v1.17.8+vmware.1</SPAN></P></BLOCKQUOTE><P></P><P>どちらの kubectl でも、普通に TKC を操作できます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>./kubectl --kubeconfig=./kubeconfig_k8s-dev-user run pod-01 --image=gowatana/centos7:httpd --re</STRONG></SPAN><SPAN style="font-family: 'courier new', courier;"><STRONG>start=Never</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod/pod-01 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>./kubectl --kubeconfig=./kubeconfig_k8s-dev-user get pods</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp; READY&nbsp;&nbsp; STATUS&nbsp;&nbsp;&nbsp; RESTARTS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod-01&nbsp;&nbsp; 1/1&nbsp;&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 15s</SPAN></P></BLOCKQUOTE><P></P><P>Tanzu Kubernetes Cluster は、kubectl + vSphere プラグインによる vCenter Single Sign-On の認証だけでなく、</P><P>一般的な kubernetes と同様なクラスターへの接続ができます。</P><P>いくつか接続方法を試しましたが、もっとよい方法もあるかもしれません。</P><P></P><P>以上、いろいろと Tanzu Kubernetes Cluster への接続を試してみる話でした。</P></BODY></HTML> Mon, 21 Sep 2020 14:58:42 GMT gowatana 2020-09-21T14:58:42Z Tanzu Kubernetes Cluster への接続。(実験編) https://communities.vmware.com/t5/Legacy-User-Blogs/Tanzu-Kubernetes-Cluster-%E3%81%B8%E3%81%AE%E6%8E%A5%E7%B6%9A-%E5%AE%9F%E9%A8%93%E7%B7%A8/ta-p/2762520 <HTML><HEAD></HEAD><BODY><P>vSphere with Kubernetes のスーパーバイザー クラスタ上に作成した</P><P>「Tanzu Kubernetse Cluster」に、kubectl を使用していくつかの方法で接続してみます。</P><P></P><P>ドキュメントでは、下記のあたりが参考になります。</P><P><A href="https://docs.vmware.com/jp/VMware-vSphere/7.0/vmware-vsphere-with-kubernetes/GUID-FBB9722C-1BB4-4CF2-AB4C-A3ADB5FCC971.html" title="https://docs.vmware.com/jp/VMware-vSphere/7.0/vmware-vsphere-with-kubernetes/GUID-FBB9722C-1BB4-4CF2-AB4C-A3ADB5FCC971.html">Tanzu Kubernetesクラスタ環境への接続</A></P><P></P><H1><SPAN style="text-decoration: underline;">環境について。</SPAN></H1><P>今回の接続元の環境は Linux です。</P><P>スーパーバイザー クラスタの管理プレーンから、kubectl と vSphere プラグインはダウンロードしてあります。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>cat /etc/system-release</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Oracle Linux Server release 7.8</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl version --short --client</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Client Version: v1.17.4-2+a00aae1e6a4a69</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl vsphere version</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kubectl-vsphere: version 0.0.2, build 16232217, change 8039971</SPAN></P></BLOCKQUOTE><P></P><P>Tanzu Kubernetse Cluster のラボは、下記のように構築しています。</P><P><A href="https://communities.vmware.com/migration-blogpost/22315">vSphere with Kubernetes ラボ環境構築。(まとめ)</A></P><P></P><P>kubectl は、スーパーバイザー クラスタの制御プレーンからダウンロードしたものを利用しています。</P><P><A href="https://communities.vmware.com/migration-blogpost/22269">vSphere with Kubernetes ラボ環境構築。Part-11: kubectl で vSphere Pod 起動編</A></P><P></P><P>vCenter Server 7.0b で、3ノードの ESXi で スーパーバイザー クラスタを構成しています。</P><P>スーパーバイザークラスタ「wcp-cluster-41」の、制御プレーンの IP アドレスは「192.168.70.97」です。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-00.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23192i542311025A940186/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-00.png" alt="tkc-access-00.png" /></span></P><P></P><P>Tanzu Kubernetes Cluster(TKC)は、スーパーバイザークラスタの名前空間「lab-ns-03」に作成ずみです。</P><P>TKC の名前は「tkg-cluster-41」で、制御プレーンの IP アドレスは「192.168.70.99」です。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-01.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23193i64055559A689DCDB/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-01.png" alt="tkc-access-01.png" /></span></P><P></P><P>あらかじめ、vCenter Single Sign-On には、ID ソースとして LDAP サーバを登録ずみです。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-02.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23194i7EC7B598832A854E/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-02.png" alt="tkc-access-02.png" /></span></P><P></P><P>ID ソースのドメイン「go-lab.jp」からユーザ情報を取得できています。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-03.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23195i6619D4E72B326E32/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-03.png" alt="tkc-access-03.png" /></span></P><P></P><H1><SPAN style="text-decoration: underline;">方法1: vCenter Single Sign-On 認証で接続する。</SPAN></H1><P>ここでは、「k8s-infra-user @ go-lab.jp」という vCenter Single Sigh-On のユーザーで接続してみます。</P><P></P><P>まず、対象のユーザーには、スーパーバイザー クラスタの名前空間で「権限の追加」が必要です。</P><P>そして、kubectl で TKC に接続する際は、スーパーバイザー制御プレーン宛となります。</P><P>ちなみに、vCenter の管理者ユーザ(administrator@vsphere.local)であれば、</P><P>デフォルトでスーパーバイザー クラスタや TKC にアクセス可能です。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-case-01.PNG"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23203i38344068CCE87252/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-case-01.PNG" alt="tkc-access-case-01.PNG" /></span></P><P></P><H2>1-1: スーパーバイザー名前空間での権限の追加。</H2><P>スーパーバイザー クラスタの名前空間「lab-ns-03」の、</P><P>「サマリ」→「権限」にある「権限の追加」をクリックします。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-04.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23196iA2C45926D8B17802/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-04.png" alt="tkc-access-04.png" /></span></P><P></P><P>ID ソース、ユーザー(またはグループ)、ロールを選択して、「OK」をクリックします。</P><P>今回は、ユーザー(k8s-infra-user)を指定していますが、一般的にはグループを指定するはずです。</P><P>ロールでは、「編集可能」(edit) または、「表示可能」(view)が選択できます。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-05.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23197i7BF9724799D80DDC/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-05.png" alt="tkc-access-05.png" /></span></P><P></P><P>権限が追加されました。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-06.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23198i12517AD18930886A/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-06.png" alt="tkc-access-06.png" /></span></P><P></P><H2>1-2: kubectl での接続。</H2><P>kubectl vsphere login でログインすると、kubeconfig のファイルが生成されます。</P><P>デフォルトでは、$HOME/.kube/config というファイル名で作成されますが、</P><P>環境変数 KUBECONFIG を設定しておくと、そのパスに生成されます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>export KUBECONFIG=$(pwd)/kubeconfig_tkc</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>kubectl vsphere login では、次のようなオプションを指定します。</P><UL><LI>--server: Tanzu Kubernetes Cluster の制御プレーンではなく、<BR />スーパーバイザー クラスタの、制御プレーンが持つ IP アドレス(この環境では 192.168.70.97)を指定します。</LI><LI>--tanzu-kubernetes-cluster-namespace: TKC を作成したスーパーバイザー名前空間</LI><LI>--tanzu-kubernetes-cluster-name: TKC の名前</LI></UL><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl vsphere login --insecure-skip-tls-verify --server=192.168.70.97 --tanzu-kubernetes-cluster-namespace=lab-ns-03 --tanzu-kubernetes-cluster-name=tkg-cluster-41</STRONG></SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">Username: <SPAN style="color: #e23d39;"><A class="jive-link-email-small" href="mailto:k8s-infra-user@go-lab.jp">k8s-infra-user@go-lab.jp</A></SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Password: <SPAN style="color: #e23d39;">★パスワードを入力。</SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Logged in successfully.</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">You have access to the following contexts:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; 192.168.70.97</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; lab-ns-03</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; tkg-cluster-41</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">If the context you wish to use is not in this list, you may need to try</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">logging in again later, or contact your cluster administrator.</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">To change context, use `kubectl config use-context &lt;workload name&gt;`</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$</SPAN></P></BLOCKQUOTE><P></P><P>TKC「tkg-cluster-41」と、TKC のスーパーバイザー名前空間「lab-ns-03」と同名のコンテキストが作成されます。</P><P>ここでも、TKC&nbsp; の制御プレーン アドレス「192.168.70.99」がわかります。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config get-contexts tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">CURRENT&nbsp;&nbsp; NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLUSTER&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AUTHINFO&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NAMESPACE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;"><SPAN>*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tkg-cluster-41&nbsp;&nbsp; 192.168.70.99&nbsp;&nbsp; wcp:192.168.70.99:</SPAN><A class="jive-link-email-small" href="mailto:k8s-infra-user@go-lab.jp">k8s-infra-user@go-lab.jp</A></SPAN></P></BLOCKQUOTE><P></P><P>TKC のノードが表示できました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --context tkg-cluster-41 get nodes</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; STATUS&nbsp;&nbsp; ROLES&nbsp;&nbsp;&nbsp; AGE&nbsp;&nbsp;&nbsp; VERSION</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-control-plane-vcdpg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; master&nbsp;&nbsp; 153m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-lgsx2&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 131m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-qvv92&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 127m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-vdrpn&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 131m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P></BLOCKQUOTE><P></P><P>ちなみに権限を追加していなかったり、ロールが「表示可能」の場合はエラーになります。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --context tkg-cluster-41 get nodes</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;"><SPAN>Error from server (Forbidden): nodes is forbidden: User "sso:</SPAN><A class="jive-link-email-small" href="mailto:k8s-infra-user@go-lab.jp">k8s-infra-user@go-lab.jp</A><SPAN>" cannot list resource "nodes" in API group "" at the cluster scope</SPAN></SPAN></P></BLOCKQUOTE><P></P><P>なお、TKC で Deployment リソースなどで Pod を作成するには、PodSecurityPolicy の設定が必要になったりします。</P><P>(これは、この後の方法でも同様です)</P><P><A href="https://communities.vmware.com/migration-blogpost/22306">vSphere with Kubernetes ラボ環境構築。Part-15: Tanzu Kubernetes Cluster での PSP 使用 / Deployment 作成編</A></P><P></P><H1><SPAN style="text-decoration: underline;">方法2: Kubernetes の管理ユーザ(kubernetes-admin)として接続する。</SPAN></H1><P>この方法では、TKC を作成してあるスーパーバイザー名前空間「lab-ns-03」に自動作成されている Secret リソースから、kubeconfig の情報を取得します。</P><P>これは、あらかじめ kubectl vsphere login でスーパーバイザー クラスタか TKC に接続したうえで取得することになります。</P><P></P><P>kubernetes-admin の kubeconfig での接続は、直接 TKC の管理プレーン宛を指定します。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-case-02.PNG"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23204i3944F7C252E60A5C/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-case-02.PNG" alt="tkc-access-case-02.PNG" /></span></P><P></P><H2>2-1: kubernetes-admin ユーザーの kubeconfig の取得。</H2><P>Secret リソースは、「<Tanzu Kubernetes Cluster の名前>-kubeconfig」となっており、</P><P>この環境では「tkg-cluster-41-kubeconfig」です。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --context lab-ns-03 get secrets tkg-cluster-41-kubeconfig</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TYPE&nbsp;&nbsp;&nbsp;&nbsp; DATA&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-kubeconfig&nbsp;&nbsp; Opaque&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 167m</SPAN></P></BLOCKQUOTE><P></P><P>JSON パスでの「{.data.value}」に、base64 エンコーディングされた kubeconfig が格納されています。</P><P>この内容を、「base64 -d」コマンドでデコードして、ファイルに保存します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --context lab-ns-03 get secret tkg-cluster-41-kubeconfig -o jsonpath='{.data.value}' | base64 -d &gt; ./kubeconfig_tkg-cluster-41</STRONG></SPAN></P></BLOCKQUOTE><P></P><H2>2-2: 生成した kubeconfig での kubectl 接続。</H2><P>保存した kubeconfig で、管理ユーザーのコンテキストで TKC に接続できます。</P><P>これは、vCenter Single Sign-On の認証とは関係なく接続できるものです。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_tkg-cluster-41 config current-context</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kubernetes-admin@tkg-cluster-41</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_tkg-cluster-41 get nodes</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; STATUS&nbsp;&nbsp; ROLES&nbsp;&nbsp;&nbsp; AGE&nbsp;&nbsp;&nbsp; VERSION</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-control-plane-vcdpg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; master&nbsp;&nbsp; 155m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-lgsx2&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 133m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-qvv92&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 129m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">tkg-cluster-41-workers-c72df-5979f6ffcf-vdrpn&nbsp;&nbsp; Ready&nbsp;&nbsp;&nbsp; &lt;none&gt;&nbsp;&nbsp; 133m&nbsp;&nbsp; v1.17.8+vmware.1</SPAN></P></BLOCKQUOTE><P></P><H1><SPAN style="text-decoration: underline;">方法3: Kubernetes の ServiceAccount を作成して接続する。</SPAN></H1><P>方法1か、方法2の、いずれかで TKC に接続したうえで、TKC の名前空間に ServiceAccount を作成して接続します。</P><P>ServiceAccount での TKC への接続も、スーパーバイザー制御プレーンではなく、TKC 制御プレーン宛となります。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-case-03.PNG"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23205i09C54E2A584E25BE/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-case-03.PNG" alt="tkc-access-case-03.PNG" /></span></P><P></P><H2>3-1: ServiceAccount の作成。</H2><P>ここからは、ちょうど直前の 方法2 で作成した kubeconfig を利用します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>export KUBECONFIG=$(pwd)/kubeconfig_tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config current-context</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kubernetes-admin@tkg-cluster-41</SPAN></P></BLOCKQUOTE><P></P><P>この時点では TKC の「default」名前空間を使用していますが、</P><P>あらたに「tkg-ns-01」という名前空間を作成して、そこに ServiceAccount で接続できるようにします。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl create namespace tkg-ns-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">namespace/tkg-ns-01 created</SPAN></P></BLOCKQUOTE><P></P><P>この時点 tkg-ns-01 名前空間に存在するのは、ServiceAccount(sa) は default のみです。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 get sa</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SECRETS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">default&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 43s</SPAN></P></BLOCKQUOTE><P></P><P>ServiceAccount「sa-01」を作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 create sa sa-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">serviceaccount/sa-01 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 get sa</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SECRETS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">default&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 47s</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">sa-01&nbsp;&nbsp;&nbsp;&nbsp; 1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 12s</SPAN></P></BLOCKQUOTE><P></P><P>この ServiceAccount のトークンが格納されている、Secret リソースの名前を確認します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>SA_SECRET_NAME=$(kubectl -n tkg-ns-01 get sa sa-01 -o jsonpath='{.secrets[0].name}')</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>echo $SA_SECRET_NAME</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">sa-01-token-zc74c</SPAN></P></BLOCKQUOTE><P></P><P>Secret リソースから、トークンを取得します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>SA_TOKEN=$(kubectl -n tkg-ns-01 get secrets $SA_SECRET_NAME -o jsonpath='{.data.token}' | base64 -d)</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>確認したトークンをもとに、Credential、コンテキストを作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config set-credentials sa-01 --token=$SA_TOKEN</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">User "sa-01" set.</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config set-context ctx-sa-01 --user=sa-01 --cluster=tkg-cluster-41 --namespace=tkg-ns-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Context "ctx-sa-01" created.</SPAN></P></BLOCKQUOTE><P></P><P>コンテキストを kubeconfig ファイルとして保存しておきます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config view --minify --context=ctx-sa-01 --raw &gt; ./kubeconfig_ctx-sa-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config delete-context ctx-sa-01</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>ServiceAccount で接続する kubeconifg が生成されました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_ctx-sa-01 config get-contexts</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">CURRENT&nbsp;&nbsp; NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLUSTER&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AUTHINFO&nbsp;&nbsp; NAMESPACE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ctx-sa-01&nbsp;&nbsp; tkg-cluster-41&nbsp;&nbsp; sa-01&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tkg-ns-01</SPAN></P></BLOCKQUOTE><P></P><H2>3-2: ServiceAccount の権限設定。</H2><P>作成した ServiceAccount「sa-01」が Kubernetes のリソースを操作できるように、</P><P>ClusterRole「edit」を割り当てる RoleBinding を作成しておきます。</P><P></P><P>role-binding-edit.yml</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">---</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kind: RoleBinding</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">apiVersion: rbac.authorization.k8s.io/v1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">metadata:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: rb-edit-sa-01</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">roleRef:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; kind: ClusterRole</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: <SPAN style="color: #e23d39;">edit</SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">subjects:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">- kind: ServiceAccount</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: <SPAN style="color: #e23d39;">sa-01</SPAN></SPAN></P></BLOCKQUOTE><P></P><P>RoleBinding を、TKC の tkg-ns-01 名前空間に作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 apply -f role-binding-edit.yml</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">rolebinding.rbac.authorization.k8s.io/rb-edit-sa-01 created</SPAN></P></BLOCKQUOTE><P></P><P>TKC で Pod を起動できるように、PodSecurityPolicy を割り当てる RoleBinding も作成しておきます。</P><P>こちらは、すべての ServiceAccount を指定しています。</P><P></P><P>role-binding-psp.yml</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">---</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kind: RoleBinding</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">apiVersion: rbac.authorization.k8s.io/v1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">metadata:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: rb-vmware-system-privileged</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">roleRef:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; kind: ClusterRole</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: psp:vmware-system-privileged </SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">subjects:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">- kind: Group</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: <SPAN style="color: #e23d39;">system:serviceaccounts</SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P></BLOCKQUOTE><P></P><P>TKC の名前空間に RoleBinding を作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-01 apply -f role-binding-psp.yml</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">rolebinding.rbac.authorization.k8s.io/rb-vmware-system-privileged created</SPAN></P></BLOCKQUOTE><P></P><H2>3-3: 生成した kubeconifg での kubectl 接続。</H2><P>生成した kubeconfig で、Pod の起動ができました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_ctx-sa-01 run pod-01 --image=gowatana/centos7:httpd --restart=Never</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod/pod-01 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_ctx-sa-01 get pods</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp; READY&nbsp;&nbsp; STATUS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; RESTARTS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod-01&nbsp;&nbsp; 1/1&nbsp;&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 44s</SPAN></P></BLOCKQUOTE><P></P><P>Pod は削除しておきます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl --kubeconfig=./kubeconfig_ctx-sa-01.txt delete pod pod-01</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod "pod-01" deleted</SPAN></P></BLOCKQUOTE><P></P><H1><SPAN style="text-decoration: underline;">方法4: TKC 側で vCenter Single Sign-On ユーザーの権限を割り当てる。</SPAN></H1><P>あらかじめ、方法1、または方法2の、いずれかの方法で TKC に接続しておきます。</P><P>そして方法1 とは異なり、TKC で作成した名前空間に vCenter Single Sigh-On ユーザーの権限を割り当てます。</P><P>そのあとの TKC への接続はスーパーバイザー制御プレーン宛となります。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-case-04a.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23206iC2FC6C2855984B58/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-case-04a.png" alt="tkc-access-case-04a.png" /></span></P><P></P><H2>方法4-1: TKC の名前空間への権限の追加。</H2><P>ここでは、方法2 で生成した kubeconfig を利用して、TKC を操作します。</P><P>(方法1 の接続でも同様に操作できます)</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>export KUBECONFIG=$(pwd)/kubeconfig_tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config current-context</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kubernetes-admin@tkg-cluster-41</SPAN></P></BLOCKQUOTE><P></P><P>TKC の名前空間「tkg-ns-02」を追加作成します。</P><P>あわせて、PSP の RoleBinding(YAML は方法3のものと同様)も作成しておきます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl create namespace tkg-ns-02</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">namespace/tkg-ns-02 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-02 apply -f role-binding-psp.yml</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">rolebinding.rbac.authorization.k8s.io/rb-vmware-system-privileged created</SPAN></P></BLOCKQUOTE><P></P><P>RoleBinding の YAML を用意します。</P><P>リソースを操作できるように、ClusterRole「edit」を割り当てます。</P><P><SPAN>subjects では vCenter Single Sign-On ユーザー(sso:</SPAN><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A><SPAN>)を指定しています。</SPAN></P><P>ちなみに、グループを指定する場合は、「kind: User」を「kind: Group」にします。</P><P></P><P>role-binding-vcsso.yml</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">---</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">kind: RoleBinding</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">apiVersion: rbac.authorization.k8s.io/v1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">metadata:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: rb-edit-k8s-dev-user</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">roleRef:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; kind: ClusterRole</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: edit</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">subjects:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">- kind: User</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; name: <SPAN style="color: #e23d39;"><SPAN>sso:</SPAN><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A></SPAN> #sso:&lt;username&gt;@&lt;domain&gt;</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp; apiGroup: rbac.authorization.k8s.io</SPAN></P></BLOCKQUOTE><P></P><P>作成した TKC の名前空間「tkg-ns-02」に、RoleBinding を作成します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl -n tkg-ns-02 apply -f role-binding-vcsso.yml</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">rolebinding.rbac.authorization.k8s.io/rb-edit-k8s-dev-user created</SPAN></P></BLOCKQUOTE><P></P><H2>方法4-2: kubectl での接続。</H2><P>既存の kubeconfig を上書きしないように、環境変数 KUBECONFIG に、新しい kubeconfig ファイルのパスを指定します。</P><P>この時点では「kubeconfig_k8s-dev-user」ファイルは存在しません。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>export KUBECONFIG=<SPAN style="font-family: 'courier new', courier; background-color: #f6f6f6;"><STRONG>$(pwd)</STRONG></SPAN>/kubeconfig_k8s-dev-user</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>kubectl vsphere login で、スーパーバイザー制御プレーンと TKC に接続します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl vsphere login --insecure-skip-tls-verify --server=192.168.70.97 --tanzu-kubernetes-cluster-namespace=lab-ns-03 --tanzu-kubernetes-cluster-name=tkg-cluster-41</STRONG></SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">Username: <SPAN style="color: #e23d39;"><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A></SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Password: <SPAN style="color: #e23d39;">★パスワードを入力。</SPAN></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Logged in successfully.</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">You have access to the following contexts:</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; 192.168.70.97</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">&nbsp;&nbsp; tkg-cluster-41</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">If the context you wish to use is not in this list, you may need to try</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">logging in again later, or contact your cluster administrator.</SPAN></P><P></P><P><SPAN style="font-family: 'courier new', courier;">To change context, use `kubectl config use-context &lt;workload name&gt;`</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$</SPAN></P></BLOCKQUOTE><P></P><P>コンテキストが生成されました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config get-contexts tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">CURRENT&nbsp;&nbsp; NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLUSTER&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AUTHINFO&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NAMESPACE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;"><SPAN>*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tkg-cluster-41&nbsp;&nbsp; 192.168.70.99&nbsp;&nbsp; wcp:192.168.70.99:</SPAN><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A></SPAN></P></BLOCKQUOTE><P></P><P>コンテキストを TKC の「tkg-cluster-41」に切り替えて、</P><P>デフォルトの名前空間として「tkg-ns-02」を設定します。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config use-context tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Switched to context "tkg-cluster-41".</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config set-context --current --namespace=tkg-ns-02</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Context "tkg-cluster-41" modified.</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl config get-contexts tkg-cluster-41</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">CURRENT&nbsp;&nbsp; NAME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLUSTER&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; AUTHINFO&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NAMESPACE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;"><SPAN>*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tkg-cluster-41&nbsp;&nbsp; 192.168.70.99&nbsp;&nbsp; wcp:192.168.70.99:</SPAN><A class="jive-link-email-small" href="mailto:k8s-dev-user@go-lab.jp">k8s-dev-user@go-lab.jp</A><SPAN>&nbsp;&nbsp; </SPAN><SPAN style="color: #e23d39;">tkg-ns-02</SPAN></SPAN></P></BLOCKQUOTE><P></P><P>Pod が起動できました。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl run pod-01 --image=gowatana/centos7:httpd --restart=Never</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod/pod-01 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl get pods -n tkg-ns-02</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp; READY&nbsp;&nbsp; STATUS&nbsp;&nbsp;&nbsp; RESTARTS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod-01&nbsp;&nbsp; 1/1&nbsp;&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 10s</SPAN></P></BLOCKQUOTE><P></P><P>スーパーバイザー名前空間「lab-ns-03」では「k8s-dev-user」ユーザーへの権限は追加していませんが、</P><P>vCenter Single Sigh-On ユーザーでリソース作成ができました。</P><P>vSphere Client で確認すると、方法1 で使用した「k8s-infra-user」ユーザーのみが追加されています。</P><P><span class="lia-inline-image-display-wrapper" image-alt="tkc-access-09.png"><img src="https://communities.vmware.com/t5/image/serverpage/image-id/23202iA4EAAA43B2D8CCA9/image-size/large?v=v2&amp;px=999" role="button" title="tkc-access-09.png" alt="tkc-access-09.png" /></span></P><P></P><H1><SPAN style="text-decoration: underline;">vCenter 同梱ではない kubectl の接続。</SPAN></H1><P>ちなみに、ここまでの方法に関わらず、kubeconfig が生成できていれば</P><P>一般的な Kubernetes 操作ツールでも TKC に(スーパーバイザー クラスタにも)接続することができます。</P><P></P><P>Kubernetes のドキュメントでおなじみの URL から kubectl をダウンロードします。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG><SPAN>curl -LO </SPAN><A class="jive-link-external-small" href="https://storage.googleapis.com/kubernetes-release/release/v1.17.8/bin/linux/amd64/kubectl" rel="nofollow">https://storage.googleapis.com/kubernetes-release/release/v1.17.8/bin/linux/amd64/kubectl</A></STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>chmod +x ./kubectl</STRONG></SPAN></P></BLOCKQUOTE><P></P><P>vCenter 同梱の kubectl と、あらたにダウンロードした kubectl(./kubectl でカレント ディレクトリのものを実行)です。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>kubectl version --short</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Client Version: v1.17.4-2+a00aae1e6a4a69</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Server Version: v1.17.8+vmware.1</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>./kubectl version --short</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Client Version: v1.17.8</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">Server Version: v1.17.8+vmware.1</SPAN></P></BLOCKQUOTE><P></P><P>どちらの kubectl でも、普通に TKC を操作できます。</P><BLOCKQUOTE><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>./kubectl --kubeconfig=./kubeconfig_k8s-dev-user run pod-01 --image=gowatana/centos7:httpd --re</STRONG></SPAN><SPAN style="font-family: 'courier new', courier;"><STRONG>start=Never</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod/pod-01 created</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">$ <STRONG>./kubectl --kubeconfig=./kubeconfig_k8s-dev-user get pods</STRONG></SPAN></P><P><SPAN style="font-family: 'courier new', courier;">NAME&nbsp;&nbsp;&nbsp;&nbsp; READY&nbsp;&nbsp; STATUS&nbsp;&nbsp;&nbsp; RESTARTS&nbsp;&nbsp; AGE</SPAN></P><P><SPAN style="font-family: 'courier new', courier;">pod-01&nbsp;&nbsp; 1/1&nbsp;&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 15s</SPAN></P></BLOCKQUOTE><P></P><P>Tanzu Kubernetes Cluster は、kubectl + vSphere プラグインによる vCenter Single Sign-On の認証だけでなく、</P><P>一般的な kubernetes と同様なクラスターへの接続ができます。</P><P>いくつか接続方法を試しましたが、もっとよい方法もあるかもしれません。</P><P></P><P>以上、いろいろと Tanzu Kubernetes Cluster への接続を試してみる話でした。</P></BODY></HTML> Mon, 21 Sep 2020 14:58:42 GMT https://communities.vmware.com/t5/Legacy-User-Blogs/Tanzu-Kubernetes-Cluster-%E3%81%B8%E3%81%AE%E6%8E%A5%E7%B6%9A-%E5%AE%9F%E9%A8%93%E7%B7%A8/ta-p/2762520 gowatana 2020-09-21T14:58:42Z