security

security

🔐 전체 개념 한 줄 요약

Kubernetes는 모든 주요 컴포넌트 간 통신을 mTLS(상호 TLS 인증) 로 보호하며,
각 컴포넌트는 자기 전용 Client 인증서를 가지고 kube-apiserver 또는 etcd에 접근합니다.

1️⃣ Admin / kubectl 영역

📄 admin.crt / admin.key

kubectl 사용자용 인증서

kubectl get pods 같은 명령 실행 시 사용

📌 흐름

Admin(kubectl)
 └── admin.crt/key
      └── kube-apiserver (REST API)


✔️ 특징

kubeconfig에 설정됨

보통 system:masters 그룹 → cluster-admin 권한

사람(운영자) 인증용

2️⃣ Control Plane 내부 컴포넌트 인증서

🧠 kube-scheduler

scheduler.crt / scheduler.key

Pod를 어느 노드에 배치할지 결정

kube-apiserver에 Client로 접근

🧠 kube-controller-manager

controller-manager.crt / key

ReplicaSet, Node, Endpoint 등 상태 관리

kube-apiserver에 Client로 접근

🌐 kube-proxy

kube-proxy.crt / key

Service → Pod 트래픽 라우팅

kube-apiserver에 Client로 접근

📌 공통 흐름

[ scheduler / controller / proxy ]
   └── 각자 client cert
        └── kube-apiserver


✔️ 전부 Client 인증서
✔️ 전부 kube-apiserver만 바라봄

3️⃣ kube-apiserver

kube-apiserver는 두 얼굴을 가짐

🔐 3-1. Server 인증서
apiserver.crt / apiserver.key

kube-apiserver가 서버 역할일 때 사용

접속 대상:

kubectl

controller

scheduler

kubelet

kube-proxy

Client ──TLS──> kube-apiserver (server cert)

🔐 3-2. Client 인증서 (etcd / kubelet 접근용)
apiserver-etcd-client.crt / key

kube-apiserver → etcd 접근 시 사용

apiserver-kubelet-client.crt / key

kube-apiserver → kubelet 접근 시 사용

kubectl logs, kubectl exec 때 필요

kube-apiserver
 ├── client cert → etcd
 └── client cert → kubelet


✔️ kube-apiserver는 서버이자 클라이언트

4️⃣ etcd 영역
etcdserver.crt / etcdserver.key

etcd가 서버

kube-apiserver만 접근 가능

kube-apiserver
 └── apiserver-etcd-client.crt
      └── etcd (server cert)


📌 중요

etcd는 외부 접근 절대 금지

apiserver 전용 Client cert만 허용

5️⃣ kubelet 영역
🔐 kubelet server cert
kubelet.crt / kubelet.key

kubelet이 서버

kube-apiserver가 접근

kube-apiserver
 └── apiserver-kubelet-client.crt
      └── kubelet (server)


📌 사용 예

kubectl logs

kubectl exec

kubectl port-forward

6️⃣ 이 그림이 말하는 핵심 포인트 🔥
✅ 1. 모든 통신은 TLS

HTTP ❌

TLS + 인증서 ✔️

✅ 2. 거의 전부 kube-apiserver 중심
[ 모든 컴포넌트 ] → kube-apiserver → etcd

KubeConfig

role (rbac)

특정 Namespace 안에서만 API 접근 권한을 정의

제어 대상

Kubernetes 리소스(API)

예: pods, services, configmaps 등

특징

Namespace scoped

다른 네임스페이스에는 영향 없음

cluster-role (rbac)

클러스터 전체 범위 또는 공통 리소스 권한

제어 대상

모든 Namespace 리소스

또는 Namespace 없는 리소스

nodes

persistentvolumes

namespaces

특징

Cluster scoped

Role보다 상위 개념

network policy

Pod 간 네트워크 통신 허용/차단 규칙

제어 대상

네트워크 트래픽

Ingress / Egress

RBAC이랑 완전 다름 ❗

RBAC: API 접근

NetworkPolicy: 네트워크 통신

특징

Namespace scoped

CNI가 지원해야 동작 (Calico, Cilium 등)

custom resource definition (CRD)

Kubernetes에 “새로운 리소스 타입”을 추가하는 기능

Kubernetes 기본 리소스만으로는 부족할 때
→ 도메인별 개념을 리소스로 만들기 위해

예:

Ingress → 원래 CRD

Certificate (cert-manager)

VirtualService (Istio)

Prometheus (Prometheus Operator)