작성
·
191
1
Postman을 사용해서 Token을 직접 넣어서 테스트하는 것이 아니라 실제 VM에서 NameSpace, ServiceAccount를 나누고 테스트를 진행해봤습니다. 아래와 같은 명령어로 토큰을 적용시켰습니다.
kubectl config set-credentials user01 --token=eyJ~~
제가 SA, User의 개념이 아직 모호해서인지 user01로 context를 설정하니 다른 Namespace로 옮겨가지도 못하고 kubectl apply, delete 등의 명령어도 사용할 수 없어서 결국 클러스터를 삭제하고 다시 만들었습니다.
하나의 쿠버네티스 클러스터내에서 개발, 운영이 돌아가는 서비스에서 역할 구분을 아래와 같이 한다면 각 사용자들에게 어떤식으로 토큰을 할당 및 적용 해주고 운영을 하는게 최선인지 궁금합니다.
제가 생각한 것은 각 팀별로 Namespace를 구분하고 팀원들마다 SA를 하나씩 발급해줘서 개발, 운영 하는것입니다. 이렇게 했을 때는 두가지 궁금사항이 생깁니다.
kubectl config set-context --current --namespace=stag 감사합니다
답변 3
1
그리고 namespace 별로 나누는 것보다 클러스터 별로 나누는게 관리 하시기 좋습니다.
namespace별로 공부도 많이해야되고, 머리아픈 부분이 많이 생깁니다.
꼭 namespace별로 관리하고 싶으시면 Rancher와 같은 별도의 관리 툴을 사용하는게 좋고요.
1
0
아래 두 블로그의 글을 참조해서 진행했습니다
https://nirsa.tistory.com/154
https://blog.dudaji.com/kubernetes/2019/05/01/k8s-authorization-of-sa-with-rbac.html
답변 감사합니다. 안그래도 클러스터 별로 구분하는 것도 고려를 했는데, 비용 문제도 있어서 최대한 namespace로 구분을 하려고 했거든요.
현재 Azure의 Kubernetes 서비스를 사용중인데 Azure 자체에서 제공하는 인증/인가 기능과 K8S의 RBAC을 같이 사용해서 namespace 별로 구분을 해보고 정 안되면 클러스터로 나눠야겠네요
Azure의 서비스를 사용하면 안내문구에 이렇게 나오는데, 혹시 이런거로 접근 통제가 가능하려나요?
Azure Active Directory 그룹 멤버 자격을 사용하여 Kubernetes RBAC(역할 기반 액세스 제어)를 구성합니다. Kubernetes RBAC를 사용하면 지정된 Azure Active Directory 그룹의 사용자 멤버 자격에 따라 Kubernetes 클러스터 내의 특정 네임스페이스에 대한 액세스를 제어할 수 있습니다. 이 기능을 사용하도록 설정한 후에는 사용하지 않도록 설정할 수 없습니다.자세한 정보