[CKA] 37. Security Primitives

Date

2025/01/09

Secure Hosts

호스트에 대한 모든 접근은 보안이 강화되어야 한다.

•

root 접근 비활성화

•

패스워드 기반 인증 비활성화 

•

SSH 키 기반 인증만 허용

추가적으로 k8s를 호스팅하는 인프라를 보호할 다른 조치가 필요하다.

kube-apiserver는 k8s에 있어 모든 작업의 중심이 된다. kubectl 또는 API에 직접 접근하는 것으로 상호작용하고, 이를 통해 클러스터에 거의 대부분의 작업을 수행할 수 있다. 따라서 처음으로 API Server 자체에 대한 접근을 제어해야 한다.

누가 클러스터에 접근할 수 있는가? 에 대한 것으로, API Server에 액세스할 수 있는 사람은 Authentication 메커니즘에 의해 정의된다. API Server에 인증하는 방법은 여러가지가 있다:

•

Files - Username and Passwords

•

Files - Username and Tokens

•

Certificates

•

External Authentication providers - LDAP

•

Service Accounts

클러스터에 접근한 사용자가 어떤 일을 할 수 있는가? 에 대한 것으로, 클러스터에 액세스 권한을 얻으면 어떤 것을 할 수 있는지에 대해 Authorization 메커니즘으로 정의된다.

권한 부여는 RBAC(역할 기반 액세스 컨트롤)을 통해 구현된다. ABAC, Node Authorizers, Webhooks 같은 다른 Authorization 모듈도 존재한다.

•

RBAC Authorization

•

ABAC Authorization

•

Node Authorization

•

Webhook Mode

클러스터를 이루는 다양한 구성요소들(ETCD, Controller manager, Scheduler, API Server)뿐만 아니라 워커 노드에서 실행되는 구성 요소(Kubelet, Kube Proxy)도 TLS 암호화를 사용하여 보안된다.

기본 설정 상 모든 Pod는 클러스터 내의 다른 Pod에 접근할 수 있다. 네트워크 정책을 통해 이들 사이의 액세스 권한을 제한할 수 있다.