작성
·
215
0
안녕하세요
양질의 강의에 많은 도움을 받고 있습니다. 감사합니다.
질문이 두가지가 있는데
첫번째로
apiGroup의 rbac.authorization.k8s.io 라고 되어 있는 것은 어떤 의미인지요?
언급해주신 "", apps, extensions 도
위의 uri로 표시가 될 수 있는건가요?
두번째는
보통 사용하는 user가 kubernetes-admin 인데
새로 user를 생성했을때, 생성된 user를
system:master의 group에 assign을 해줄 수 있나요?
아니면, cluster-admin ClusterRole을 부여해줄 수 있나요?
답변 1
1
안녕하세요 강사 최일선입니다.
1) 첫번째로 apiGroup의 rbac.authorization.k8s.io 라고 되어 있는 것은 어떤 의미인지요?
언급해주신 "", apps, extensions 도 위의 uri로 표시가 될 수 있는건가요?
우선 다음 링크를 보시면 원하시는 내용 일부를 확인할 수 있습니다. 구글 번역해서 올립니다.
https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#api-conventions
리소스는 API 그룹으로 함께 바인딩됩니다 - 각 그룹에는 다른 API 그룹과 독립적으로 진화하는 하나 이상의 버전이 있을 수 있으며 그룹 내의 각 버전에는 하나 이상의 리소스가 있습니다. 그룹 이름은 일반적으로 도메인 이름 형식으로 되어 있습니다. Kubernetes 프로젝트는 빈 그룹, 모든 단일 단어 이름("extensions", "apps") 및 "*.k8s.io"로 끝나는 모든 그룹 이름을 단독으로 사용합니다. 그룹 이름을 선택할 때는 그룹 또는 조직에서 소유하는 하위 도메인(예: "widget.mycompany.com")을 선택하는 것이 좋습니다.
그룹명에 특정 도메인에 대한 내용을 표기하여 그룹이나 조직에서 사용한다는 표식을 남길 수 있습니다. 말씀하신 그룹들은 도메인 이름으로 변경해서 표기가 불가능합니다. 관련 내용은 원페이지 레퍼런스에서 확인할 수 있습니다.
<파드 API 그룹 이름>
<롤 API 그룹 이름>
2) 두번째는 보통 사용하는 user가 kubernetes-admin 인데 새로 user를 생성했을때, 생성된 user를
system:master의 group에 assign을 해줄 수 있나요? 아니면, cluster-admin ClusterRole을 부여해줄 수 있나요?
두 가지 모두 가능합니다.
kubernetes-admin은 클러스터롤이므로 클러스터롤바인딩을 수행하셔도 되며,
system:master 그룹은 kubernetes-admin 클러스터 롤이 부여되어 있기 때문에 새로운 유저의 그룹을 system:master에 추가하셔도 됩니다.
그룹을 추가하는 방법은 다음 내용을 참고하시기 바랍니다.
https://kubernetes.io/docs/reference/access-authn-authz/authentication/#x509-client-certs
감사합니다.