[클러스터 유지와 보안 트러블 슈팅] 유저 관리를 위한 다양한 리소스 소개

hi·2023년 9월 2일
0

쿠버네티스

목록 보기
63/64
post-custom-banner

쿠버네티스 인증 체계

  • 모든 통신은 TLS로 대부분의 액세스는 kube-apiserver를 통하지 않고 불가능

  • 엑세스 가능한 유저

    • X509 Client Certs -> 쿠버네티스 클러스터 직접 구축했을 때 썼던 토큰
    • Static Token File
    • Putting a Bearer Token in a Request
    • Bootstrap Tokens
    • Service Account Tokens
    • OpenID Connect Tokens: Azure Active Directory, Salesforce 및 Google에서 지원 -> GKE 사용할 때 사용했었음
  • 무엇을 할 수 있는가?
    • RBAC Authorization: 조직 내의 개별 사용자의 역할에 따라 컴퓨터 또는 네트워크 리소스에 대한 액세스를
    • ABAC Authorization(속성 기반 액세스 제어): 속성을 결합하는 정책을 사용하여 사용자에게 액세스 권한을 부여
    • Node Authorization: kubelets에서 만든 API 요청을 특별히 승인하는 특수 목적 권한 부여 모드
    • WebHook Mode: HTTP 콜백, 특정 일이 발생할 때 URL에 메시지를 전달


항목설명
X509 Client Certs클라이언트 증명서는 공개 및 개인 키 쌍을 사용하여 클라이언트가 인증 및 보안 통신을 위해 서버와 통신할 수 있도록 도와주는 인증 메커니즘
Static Token File정적 토큰 파일은 보안 토큰을 파일로 저장하고 클라이언트가 해당 토큰을 읽어 요청에 포함시켜 인증하는 방식임
Bearer Token in RequestBearer 토큰은 HTTP 요청 헤더에 포함되며, 서버는 해당 토큰을 검증하여 클라이언트의 요청이 인증되었음을 확인함
Bootstrap Tokens부트스트랩 토큰은 Kubernetes 클러스터 초기 설정 및 부트스트래핑을 위해 사용되는 토큰임
Service Account Tokens서비스 계정 토큰은 Kubernetes 클러스터 내의 애플리케이션이나 프로세스가 클러스터 리소스에 접근할 수 있도록 인증하는 데 사용
OpenID Connect TokensOpenID Connect 프로토콜을 사용하여 인증 및 권한 부여를 수행하는 토큰임. 다양한 제공자에서 지원되며 Azure AD, Salesforce, Google 등이 있음
post-custom-banner

0개의 댓글