Authenticating
Users
쿠버네티스에서 관리하는 Service account
쿠버네티스 API를 사용해서 관리
특정 namespace에 제한됨
API 서버에 의해 자동으로 생성될 수도 있고 직접 호출해서 생성할 수도 있음
Secrets
와 연결되어있음. Secrets는 Pod에 마운트되서 클러스터 내부의 프로세스들이 쿠버네티스 API와 소통하는 것을 가능케 함
일반적인 유저: 외부에서 관리되는 유저. 쿠버네티스는 일반 유저에 대해서 별도로 제공하는게 없음.
Authentication strategies
인증 종류는 다음과 같음
client 인증서
토큰
인증 프록시
HTTP basic auth
거기에 필요한 것들은 보통 다음과 같음
Username
UID
Groups
Extra fields
여러가지 방법이 있는데 동시에 활성화시켜놓는 것도 가능. 그런데 보통 적어도 두가지는 활성화시켜놓는 편.
service account token
user authentication 중 하나
여러 모듈이 활성화되어있는 경우 가장 먼저 성공하는대로 통과함. 각 모듈의 순서는 보장하지 않음.
authencation에 성공한 모든 유저는 system:authenticated
그룹에 속하게 됨
다른 인증 프로토콜하고 연동하려면 authenticating proxy나 authentication webhook을 쓰면 됨
Last updated