We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
API 서버는 하나 이상의 인증 플러그인으로 구성할 수 있다. API 서버가 요청을 받으면 인증 플러그인 목록을 거치면서 요청이 전달되고, 각각의 인증 플러그인이 요청을 검사해서 보낸 사람이 누군지 판별
쿠버네티스 API 서버에 접속하는 두 종류의 클라이언트를 구분한다.
휴먼 사용자와 서비스어카운트는 하나 이상의 그룹에 속할 수 있음 개별 사용자에게 권한을 부여하지 않고 한 번에 여러 사용자에게 권한을 부여하는데 사용
내장된 그룹은 특별한 의미를 가짐
system:unauthenticated
system:authenticated
system:serviceaccounts
system:serviceaccounts:<namespace>
/var/run/secrets/kubenetes.io/serviceaccount/token 파일로 인증하는 법을 다뤘었다. 모든 파드는 파드에서 실행중인 애플리케이션의 아이덴티티를 나타내는 서비스어카운트와 연계돼 있다.
/var/run/secrets/kubenetes.io/serviceaccount/token
이 토큰을 사용해서 API 서버에 접속하면 인증 플러그인이 서비스어카운트를 인증하고 서비스어카운트의 사용자 이름을 API 서버 코어로 전달한다.
API
이름은 다음과 같은 형식이다. system:serviceaccount:<namespace>:<service account name>
system:serviceaccount:<namespace>:<service account name>
API 서버는 설정된 인가 플러그인에 이 사용자 이름을 전달하며, 이 인가 플러그인은 애플리케이션이 수행하려는 작업을 서비스어카운트에서 수행할 수 있는지를 결정한다.
서비스어카운트는 파드 내부에서 실행되는 애플리케이션 API 서버에 자신을 인증하는 방법에 지나지 않는다.
서비스 어카운트는 파드같은 리소스이며 개별 네임스페이스로 범위가 지정 각 네임스페이스마다 default 서비스아카운트가 자동으로 생성
1.8.0 버전에서 RBAC 인가 플러그인이 GA로 승격됐었다. RBAC는 권한이 없는 사용자가 클러스터 상태를 보거나 수정하지 못하게 함 default 서비스어카운트는 추가 권한을 부여하지 않는 한 클러스터 상태를 볼 수 없음
RBAC
GA
default
API 서버는 인가 플러그인을 통해 액션을 요청하는 사용자가 액션을 수행할 수 있는지 점검하도록 설정할 수 있음 사용자는 요청에 자격증명을 포함시켜 자신을 인증
사용자가 액션을 수행할 수 있는지 여부를 결정하는 요소로 사용자 롤을 사용 주체(사람, 서비스어카운트 등)는 하나 이상의 롤과 연계돼 있으며 각 롤은 특정 리소스에 특정 동사를 수행할 수 있음
네 가지 RBAC 관련 리소스를 생성하기만 하면 된다.
롤, 롤바인딩은 네임스페이스에 지정된 리소스 클러스터롤, 롤클러스터롤바인딩은 클러스터 수준의 리소스
The text was updated successfully, but these errors were encountered:
No branches or pull requests
인증 이해
API 서버는 하나 이상의 인증 플러그인으로 구성할 수 있다.
API 서버가 요청을 받으면 인증 플러그인 목록을 거치면서 요청이 전달되고, 각각의 인증 플러그인이 요청을 검사해서 보낸 사람이 누군지 판별
사용자와 그룹
사용자
쿠버네티스 API 서버에 접속하는 두 종류의 클라이언트를 구분한다.
그룹
휴먼 사용자와 서비스어카운트는 하나 이상의 그룹에 속할 수 있음
개별 사용자에게 권한을 부여하지 않고 한 번에 여러 사용자에게 권한을 부여하는데 사용
내장된 그룹은 특별한 의미를 가짐
system:unauthenticated: 어떤 플러그인에서도 인증할 수 없는 요청에 사용system:authenticated: 성공적으로 인증된 사용자에 자동으로 할당system:serviceaccounts: 시스템의 모든 서비스어카운트를 포함system:serviceaccounts:<namespace>: 특정 네임스페이스의 모든 서비스어카운트 포함서비스어카운트
/var/run/secrets/kubenetes.io/serviceaccount/token파일로 인증하는 법을 다뤘었다.모든 파드는 파드에서 실행중인 애플리케이션의 아이덴티티를 나타내는 서비스어카운트와 연계돼 있다.
이 토큰을 사용해서
API서버에 접속하면 인증 플러그인이 서비스어카운트를 인증하고 서비스어카운트의 사용자 이름을 API 서버 코어로 전달한다.이름은 다음과 같은 형식이다.
system:serviceaccount:<namespace>:<service account name>API 서버는 설정된 인가 플러그인에 이 사용자 이름을 전달하며, 이 인가 플러그인은 애플리케이션이 수행하려는 작업을 서비스어카운트에서 수행할 수 있는지를 결정한다.
서비스어카운트는 파드 내부에서 실행되는 애플리케이션 API 서버에 자신을 인증하는 방법에 지나지 않는다.
서비스 어카운트 리소스
서비스 어카운트는 파드같은 리소스이며 개별 네임스페이스로 범위가 지정
각 네임스페이스마다 default 서비스아카운트가 자동으로 생성
역할 기반 엑세스 제어로 클러스터 보안
1.8.0 버전에서
RBAC인가 플러그인이GA로 승격됐었다.RBAC는 권한이 없는 사용자가 클러스터 상태를 보거나 수정하지 못하게 함default서비스어카운트는 추가 권한을 부여하지 않는 한 클러스터 상태를 볼 수 없음RBAC 인가 플러그인
API 서버는 인가 플러그인을 통해 액션을 요청하는 사용자가 액션을 수행할 수 있는지 점검하도록 설정할 수 있음
사용자는 요청에 자격증명을 포함시켜 자신을 인증
액션
RBAC 플러그인 이해
사용자가 액션을 수행할 수 있는지 여부를 결정하는 요소로 사용자 롤을 사용
주체(사람, 서비스어카운트 등)는 하나 이상의 롤과 연계돼 있으며 각 롤은 특정 리소스에 특정 동사를 수행할 수 있음
네 가지 RBAC 관련 리소스를 생성하기만 하면 된다.
리소스
롤, 롤바인딩은 네임스페이스에 지정된 리소스
클러스터롤, 롤클러스터롤바인딩은 클러스터 수준의 리소스
인가 권한을 현명하게 부여하기
The text was updated successfully, but these errors were encountered: