쿠버네티스 인증 체계
-
모든 통신은 TLS로 대부분의 액세스는 kube-apiserver를 통하지 않고 불가능
-
엑세스 가능한 유저
- X509 Client Certs -> 쿠버네티스 클러스터 직접 구축했을 때 썼던 토큰
- Static Token File
- Putting a Bearer Token in a Request
- Bootstrap Tokens
- Service Account Tokens
- OpenID Connect Tokens: Azure Active Directory, Salesforce 및 Google에서 지원 -> GKE 사용할 때 사용했었음
- 무엇을 할 수 있는가?
- RBAC Authorization: 조직 내의 개별 사용자의 역할에 따라 컴퓨터 또는 네트워크 리소스에 대한 액세스를
- ABAC Authorization(속성 기반 액세스 제어): 속성을 결합하는 정책을 사용하여 사용자에게 액세스 권한을 부여
- Node Authorization: kubelets에서 만든 API 요청을 특별히 승인하는 특수 목적 권한 부여 모드
- WebHook Mode: HTTP 콜백, 특정 일이 발생할 때 URL에 메시지를 전달
| 항목 | 설명 |
|---|---|
| X509 Client Certs | 클라이언트 증명서는 공개 및 개인 키 쌍을 사용하여 클라이언트가 인증 및 보안 통신을 위해 서버와 통신할 수 있도록 도와주는 인증 메커니즘 |
| Static Token File | 정적 토큰 파일은 보안 토큰을 파일로 저장하고 클라이언트가 해당 토큰을 읽어 요청에 포함시켜 인증하는 방식임 |
| Bearer Token in Request | Bearer 토큰은 HTTP 요청 헤더에 포함되며, 서버는 해당 토큰을 검증하여 클라이언트의 요청이 인증되었음을 확인함 |
| Bootstrap Tokens | 부트스트랩 토큰은 Kubernetes 클러스터 초기 설정 및 부트스트래핑을 위해 사용되는 토큰임 |
| Service Account Tokens | 서비스 계정 토큰은 Kubernetes 클러스터 내의 애플리케이션이나 프로세스가 클러스터 리소스에 접근할 수 있도록 인증하는 데 사용 |
| OpenID Connect Tokens | OpenID Connect 프로토콜을 사용하여 인증 및 권한 부여를 수행하는 토큰임. 다양한 제공자에서 지원되며 Azure AD, Salesforce, Google 등이 있음 |
