Token 사용법에 대한 궁금한 점이 있습니다.
270
작성한 질문수 8
Postman을 사용해서 Token을 직접 넣어서 테스트하는 것이 아니라 실제 VM에서 NameSpace, ServiceAccount를 나누고 테스트를 진행해봤습니다. 아래와 같은 명령어로 토큰을 적용시켰습니다.
kubectl config set-credentials user01 --token=eyJ~~
제가 SA, User의 개념이 아직 모호해서인지 user01로 context를 설정하니 다른 Namespace로 옮겨가지도 못하고 kubectl apply, delete 등의 명령어도 사용할 수 없어서 결국 클러스터를 삭제하고 다시 만들었습니다.
- ServiceAccout와 User의 차이점도 궁금합니다. 여기서 유저라는게 진짜 "사람 사용자"인가요?
하나의 쿠버네티스 클러스터내에서 개발, 운영이 돌아가는 서비스에서 역할 구분을 아래와 같이 한다면 각 사용자들에게 어떤식으로 토큰을 할당 및 적용 해주고 운영을 하는게 최선인지 궁금합니다.
- 관리팀(쿠버네티스의 전반적인 운영, 관리 책임)
- 개발팀(개발 환경에서 개발 후 개발 환경에 배포)
- 운영팀(개발 환경에서 테스트가 끝난 서비스를 운영)
제가 생각한 것은 각 팀별로 Namespace를 구분하고 팀원들마다 SA를 하나씩 발급해줘서 개발, 운영 하는것입니다. 이렇게 했을 때는 두가지 궁금사항이 생깁니다.
- 개발팀에 속한 사용자가 아래와 같은 명령어로 운영환경의 Namespace으로 옮긴 뒤 리소스에 접근하는 것을 어떻게 제한할 수 있는지
kubectl config set-context --current --namespace=stag- 단순히 ClusterRoleBinding으로 막는다면 Namespace가 아닌 다른 Cluster 자원에도 접근을 하지 못하게 되서 ClusterRoleBinding으로 설정하는 것은 뭔가 한계가 있을 거 같습니다.
- 맨 처음 사용자가 각자 PC에서 쿠버네티스 클러스터에 접속 할 때 어떤식으로 로그인(토큰 적용?)을 해야하는지
감사합니다
답변 3
1
그리고 namespace 별로 나누는 것보다 클러스터 별로 나누는게 관리 하시기 좋습니다.
namespace별로 공부도 많이해야되고, 머리아픈 부분이 많이 생깁니다.
꼭 namespace별로 관리하고 싶으시면 Rancher와 같은 별도의 관리 툴을 사용하는게 좋고요.
0
답변 감사합니다. 안그래도 클러스터 별로 구분하는 것도 고려를 했는데, 비용 문제도 있어서 최대한 namespace로 구분을 하려고 했거든요.
현재 Azure의 Kubernetes 서비스를 사용중인데 Azure 자체에서 제공하는 인증/인가 기능과 K8S의 RBAC을 같이 사용해서 namespace 별로 구분을 해보고 정 안되면 클러스터로 나눠야겠네요
Azure의 서비스를 사용하면 안내문구에 이렇게 나오는데, 혹시 이런거로 접근 통제가 가능하려나요?
Azure Active Directory 그룹 멤버 자격을 사용하여 Kubernetes RBAC(역할 기반 액세스 제어)를 구성합니다. Kubernetes RBAC를 사용하면 지정된 Azure Active Directory 그룹의 사용자 멤버 자격에 따라 Kubernetes 클러스터 내의 특정 네임스페이스에 대한 액세스를 제어할 수 있습니다. 이 기능을 사용하도록 설정한 후에는 사용하지 않도록 설정할 수 없습니다.자세한 정보
0
아래 두 블로그의 글을 참조해서 진행했습니다
https://nirsa.tistory.com/154
https://blog.dudaji.com/kubernetes/2019/05/01/k8s-authorization-of-sa-with-rbac.html
yml 작성하다가 에러 발생해서 문의 드립니다.
0
33
2
설치수업중에 질문드립니다.
1
48
2
기초다지기 설치 문의드립니다.
1
100
4
HPA 부분 Auto Scaler 설치하는 링크가 없습니다!!
1
60
3
클러스터 초기화 및 팟 네트워크 세팅시 문제가 있습니다
1
98
1
환경 구성에 있어서 질문드립니다
1
89
2
configMap 파일생성
1
74
2
dashboard에서 pod 생성이 되지 않습니다.
1
74
2
nodePort 서비스 접근 Client sent an HTTP request to an HTTPS server
1
74
2
대시보드 화면이 달라요 ㅠㅠ
1
57
2
대시보드 접근이 안됩니다!
1
96
2
Ingress실습에 난관이 있습니다
1
64
2
master 노드에서 ssh 로그인 창이 안뜨는 오류
1
81
3
안녕하세요 일프로님 궁금한 거 있습니다
0
48
1
7강 마지막 대시 보드 출력에 관한 문제
1
56
2
Could not resolve host: externalname1; Unknown error
0
58
2
Failed to create pod sandbox
1
87
2
자료실을 못 찾겠습니다 ㅜ ㅡ ㅜ
0
56
2
0/3 nodes are available
1
56
2
Back-off restarting fail~~
1
97
4
쿠버네티스 대시보드 접속 문제
1
87
2
설치관련 질문입니다
1
112
2
raw.githubusercontent.com 에 대한 질문
1
134
2
worker노드 추가시에
1
66
1