작성
·
121
1
몇일간 계속해서 고민해보고 찾아봤는데 정리가 안되서 질문드립니다. ㅠㅠ
큰틀로 이해하자면 이렇게 이해하면 되는건가요?
1. 서비스 어카운트 -> 포드에서 사용하기위한 계정
1-1 . 두가지 방법 존재 : (스태틱 토큰) 과 (서비스 어카운트) 방식
1-2. kubeDashboard 포드처럼 관리자 권한을 가지는 계정이있어야 리소스들을 들고올수있고 조회가 가능했다는것을 배움
2. config 로 클러스터와 유저, 컨텍스트에 정의함으로서 클러스터에 접근을 하기위해서 사용
3. RBAC로 해당 sa 나 config-context 에 권한을 정의함가능
3. k8s에서는 기본적으로 TLS 인증방식을 지원한다.
외부 client에서 1번(sa) 2번(config) 같은 리소스를 생성을 요청 하기위해서는 apiserver에 접근을 해야하기때문에
TLS를 배우고 생성했다. 가 되는건가요..?
답변 1
1
안녕하세요 강사 최일선입니다.
1. 서비스 어카운트 -> 포드에서 사용하기위한 계정
1-1 . 두가지 방법 존재 : (스태틱 토큰) 과 (서비스 어카운트) 방식
유저와 서비스어카운트 두가지가 있다고 보시면 되고 유저 인증 방식중에 스태틱 토큰 방식이 있다고 보시면 됩니다. 스태틱토큰은 패스워드 변경이 불가능하고 api-server를 재시작해야되는 문제가 있어 보안상 추천 드리는 방법은 아닙니다~
1-2. kubeDashboard 포드처럼 관리자 권한을 가지는 계정이있어야 리소스들을 들고올수있고 조회가 가능했다는것을 배움 - 맞는 말씀이신것 같습니다.
2. config 로 클러스터와 유저, 컨텍스트에 정의함으로서 클러스터에 접근을 하기위해서 사용
네 맞습니다. 유저와 클러스터를 각각 정의하고 두 정보를 결합해서 컨텍스트를 생성한 겁니다.
3. RBAC로 해당 sa 나 config-context 에 권한을 정의함가능
user와 sa의 권한을 부여한다고 보시면 되겠습니다.
4. k8s에서는 기본적으로 TLS 인증방식을 지원한다.
외부 client에서 1번(sa) 2번(config) 같은 리소스를 생성을 요청 하기위해서는 apiserver에 접근을 해야하기때문에
TLS를 배우고 생성했다. 가 되는건가요..?
맞습니다. 컴포넌트 및 유저와 통신 방식에서 TLS 통신을 사용하기 때문에 통신에 필요한 키와 인증서가 있어야 합니다.
감사합니다. 더 궁금하신 것은 언제든 더 말씀해주세요!