[Kubernetes] X509 Certs, kubectl, ServiceAccount(Authentication)

쿠버네티스 접근제어 체계

• Authentication : 접속한 사람의 신분을 시스템이 인증하는 단계 -> 신분증 확인
• Authorization : 어떤 권한을 가지고 어떤 행동을 할 수 있는지 확인하는 단계 -> 사용자별 권한 확인
• Admission Control : 인증과 권한확인 이후에 추가적인 요청내용에 대한 검증 또는 요청 내용 강제 변경

이러한 접근체계중 Authentication을 주제로 포스팅

 

 

쿠버네티스 API 서버에 접근(Authentication)하는 3가지 방법

1. X509 Client Certs
2. kubectl
3. ServiceAccount

 

1. X509 Client Certs

쿠버네티스 클러스터에는 6443 포트로 API 서버가 열려있음

사용자가 이곳으로 https 접근하는 방법이며 Kubernetes 설치 시, kubeconfig 파일 안의 인증서 내용으로 접근

• kubeconfig에 Client crt, Client Key를 사용자가 복사하여 Kubernetes API Server에 접근 가능
• 이러한 인증서가 만들어지는 과정

• 이러한 kubeconfig는 kubectl이 설치되면서 내부에 복사됨
• 이러한 kubectl내부에 복사된 kubeconfig를 이용하여 kubectl에서 Kubernetes API Server에 접근하여 리소스 조회가 가능
• kubectl에 accept-hosts기능으로 8001 포트를 열어두면 외부에서도 https로 접근 가능
• kubectl 내부에 Kubeconfig로 인증서를 가지고 있기 때문에 사용자는 아무런 인증없이 접근 가능

 

 

2. kubectl

외부 서버에 kubectl를 설치하여 멀티 클러스터에 접근

• 사전에 각 cluster에 대한 kubeconfig가 외부서버의 kubectl에 존재해야함
• 사용자는 외부서버의 kubectl에 존재하는 kubeconfig를 통해 원하는 클러스터에 접근 가능

• kubeconfig의 내용 및 접근 방법
• kubeconfig내의 항목
• clusters : 클러스터를 등록
• users : 사용자 등록
• contexts : clusters와 users를 연결, 이렇게 연결된 contexts를 이용해 사용자가 접근가능

 

3. ServiceAccount

네임 스페이스 내부의 Secret의 token 값으로 사용자가 API Server에 접근 가능한 방법

• Namespace 생성 시, 자동적으로 ServiceAccount가 생성됨
• 이러한 ServiceAccount에는 Secret이 존재
• 내부에 CA crt와 token 값이 존재
• 네임 스페이스 내부에 Pod를 생성하면 ServiceAccount와 연결되며, Pod는 Secret의 token값을 통해 API Server에 접근 가능

---

실습

1. X509 Client Certs

클라이언트 인증서를 복사하여 txt에 저장

grep 'client-certificate-data' /etc/kubernetes/admin.conf | head -n 1 | awk '{print $2}' | base64 -d

 

클라이언트 키를 복사하여 txt에 저장

grep 'client-key-data' /etc/kubernetes/admin.conf | head -n 1 | awk '{print $2}' | base64 -d

 

https 요청 

PostMan을 이용하여 호출, node list 조회

    -> 아직 인증서 및 키에대한 정보가 없기 때문에 접근 불가

 

정상적인 호출이 가능하게 하는 설정

# postman
Settings > General > SSL certificate verification > OFF
Settings > Certificates > Client Certificates > Host, CRT file, KEY file 설정 및 등록

# curl
curl -k --key ./Client.key --cert ./Client.crt https://192.168.56.30:6443/api/v1/nodes

 

https 호출(nodelist 조회) 재시도

    - 정상적으로 조회/호출 가능

 

kubectl로 Proxy 띄우기

'^*$' -> 어떠한 호스트에서도 접근 가능(특정 호스트를 지정하는 것도 가능)

nohup kubectl proxy --port=8001 --address=192.168.56.30 --accept-hosts='^*$' >/dev/null 2>&1 &

post man으로 8001 포트로 조회하면 위의 6443포트와 동일한 결과가 출력됨

     -> 인증서 없이 외부에서 클러스터 접근 가능

 

---

2. ServiceAccount

네임 스페이스 생성

kubectl create ns nm-01

ServiceAccount, Secret 확인

# ServiceAccount 확인
kubectl describe -n nm-01 serviceaccounts

# Secret 확인
kubectl describe -n nm-01 secrets

 

Pod 생성

cat <<EOF | kubectl create -f -
apiVersion: v1
kind: Pod
metadata:
  name: pod-1
  namespace: nm-01
  labels:
     app: pod
spec:
  containers:
  - name: container
    image: kubetm/app
EOF

https 호출 준비

post man의 Authorization에 Bearer to Token으로 Token에 Secret의 Tocken 값 입력

https로 API 호출

    -> Secret의 Token값을 이용하여 외부에서 API Server에 접근 가능함