[K8S - CKA] SECURITY PRIMITIVES (Deprecated)

1. Security Primitives (Deprecated)

---

Secure K8S

- kube-apiserver가 k8s의 중심이므로 원시적인 보안 형식에서는 apiserver가 1차 방어선으로 제어하는 역할이 됩니다.

 

누가 API 서버에 접근하는가?

- 파일 접근시 유저ID, Password 등등

 

그들이  API 서버에 접근시 가질 수 있는 권한은?

- RBAC, ABAC 등등의 기반으로 접근 권한을 가집니다.

 

기본적인 인증에 대해서 알아봤습니다.

 

Accounts

 

User 정보는 K8S에서 관리하지 않고 외부의 장치를 이용해서 관리됩니다. 하지만, CertBot과 같은 자동 인가 시스템은 K8S에서 ServiceAccount로 관리 될 수 있습니다.

 

어찌 됐건 User들은 Kube-apiserver를 통해서 접근을 할 수 있으므로 kube-apiserver가 유저 인가 후 명령어 처리를 하는데요.

 

아까, K8S에서 유저 정보를 관리하지 않는다 하였는데 어떻게 인가처리를 할까요?

 

Auth Mechanisms - Basic

 

Static Password file 또는 Static Token file으로 인가처리를 한다고 합니다. 가장 간단한 인가예제를 들어봅시다. 

 

CSV 파일에 사용자 목록과 암호를 만든다고 생각합시다.

 

pw,username,randomID으로 이 파일은 구성되어있고 kube-apiserver가 구성되는 static pod 영역에서

 

kube-apiserver.yaml 파일을 열어서 --basic-auth-file=user-detail.csv 파일을 이렇게 연결하면 됩니다.

 

지금 알려드린 방식은 원시적인 K8S의 인가처리 이므로 1.19 버전 이후로는 deprecated 되었습니다.