인프런 커뮤니티 질문&답변

onevibe12님의 프로필 이미지
onevibe12

작성한 질문수

데브옵스(DevOps)를 위한 쿠버네티스 마스터

Kube Config 설정 관리

질문있습니다 선생님

작성

·

121

1

몇일간 계속해서 고민해보고 찾아봤는데 정리가 안되서 질문드립니다. ㅠㅠ

큰틀로 이해하자면 이렇게 이해하면 되는건가요?

1. 서비스 어카운트 ->  포드에서 사용하기위한 계정

      1-1 . 두가지 방법 존재 : (스태틱 토큰) 과 (서비스 어카운트) 방식

      1-2. kubeDashboard 포드처럼 관리자 권한을 가지는 계정이있어야 리소스들을 들고올수있고 조회가 가능했다는것을 배움

2. config 로 클러스터와 유저,  컨텍스트에 정의함으로서 클러스터에 접근을 하기위해서 사용

3. RBAC로 해당 sa 나 config-context 에 권한을 정의함가능

3. k8s에서는 기본적으로 TLS 인증방식을 지원한다.

       외부 client에서 1번(sa) 2번(config) 같은 리소스를 생성을 요청 하기위해서는 apiserver에 접근을 해야하기때문에

        TLS를 배우고 생성했다. 가 되는건가요..?

답변 1

1

안녕하세요 강사 최일선입니다.

1. 서비스 어카운트 ->  포드에서 사용하기위한 계정

      1-1 . 두가지 방법 존재 : (스태틱 토큰) 과 (서비스 어카운트) 방식

유저와 서비스어카운트 두가지가 있다고 보시면 되고 유저 인증 방식중에 스태틱 토큰 방식이 있다고 보시면 됩니다. 스태틱토큰은 패스워드 변경이 불가능하고  api-server를 재시작해야되는 문제가 있어 보안상 추천 드리는 방법은 아닙니다~

      1-2. kubeDashboard 포드처럼 관리자 권한을 가지는 계정이있어야 리소스들을 들고올수있고 조회가 가능했다는것을 배움 - 맞는 말씀이신것 같습니다.

2. config 로 클러스터와 유저,  컨텍스트에 정의함으로서 클러스터에 접근을 하기위해서 사용

네 맞습니다. 유저와 클러스터를 각각 정의하고 두 정보를 결합해서 컨텍스트를 생성한 겁니다.

3. RBAC로 해당 sa 나 config-context 에 권한을 정의함가능

user와 sa의 권한을 부여한다고 보시면 되겠습니다.

4. k8s에서는 기본적으로 TLS 인증방식을 지원한다.

       외부 client에서 1번(sa) 2번(config) 같은 리소스를 생성을 요청 하기위해서는 apiserver에 접근을 해야하기때문에

        TLS를 배우고 생성했다. 가 되는건가요..?

맞습니다. 컴포넌트 및 유저와 통신 방식에서 TLS 통신을 사용하기 때문에 통신에 필요한 키와 인증서가 있어야 합니다.

감사합니다. 더 궁금하신 것은 언제든 더 말씀해주세요!

onevibe12님의 프로필 이미지
onevibe12

작성한 질문수

질문하기