🛫 Cluster Roles and Role Bindings

• clusterroles와 clusterrolebindings 개수 세기

clusterroles는 cluster wide(클러스터 전체) 범위에 해당하기 때문에 namespace를 갖지 않는다.

💻 주의할 점

kubectl get clusterrolebinding 명령어는 할당된 사용자에 대한 정보를 알려주지 않기 때문에 사용자에 대한 정보를 알기 위해서는 kubectl describe 명령을 사용해야 한다.

명령적 방법을 통해 clusterrole과 clusterrolebinding 개체를 생성할 수 있다.

👩‍ Service Accounts

Service Account의 개념은 쿠버네티스의 다른 보안 관련 개념과 연결되어 있다.

쿠버네티스 계정에는 두 가지 유형이 있다.

사용자 계정은 사람이 사용하고, 서비스 계정은 컴퓨터가 사용한다.

사용자 계정

• 관리 작업을 수행하기 위해 클러스터에 접근하는 admin
• 응용 프로그램 배포 등을 위해 개발자가 클러스터에 접근하는 developer

서비스 계정

• 모니터링 어플리케이션을 통해 쿠버네티스 API의 성능을 뽑아내는 prometheus
• 자동화된 build tool을 이용해 쿠버네티스 클러스터에 응용 프로그램을 배포하는 jenkins

응용 프로그램이 쿠버네티스 API를 쿼리하려면 인증이 되어야 하기 때문에 서비스 계정을 사용한다.

서비스 계정을 생성하고 조회하는 명령어는 다음과 같다.

• 생성
  

• 확인
  

• 자세한 정보 확인
  

자동으로 생성된 토큰은 secret 객체로 저장된다.

service Account가 생성되면 먼저 service Account 개체를 생성하고 그 다음 service account를 위한 토큰을 생성한다. 그런 다음 secret을 만들어 그 안에 토큰을 저장한다.

서비스 계정이 생성되면 토큰도 자동으로 생성된다. 서비스 계정 토큰은 쿠버네티스 API에 인증하는 동안 외부 앱이 반드시 사용해야 하는 것이다.