[CKA] 43. Certificate Workflow & API

Date

2025/01/13

Add Admin

클러스터에 새로운 Admin User를 추가해야할 때 어떻게 해야할까?

•

먼저 새로운 유저는 개인키와 CSR을 생성하여 관리자에게 CSR을 전달한다

◦

CSR을 CA 서버가 아닌 관리자에게 보내는 것은 관리자만 CA 서버에 접근이 가능하기 때문이다

◦

새로운 유저는 아직 클러스터의 유저로 등록된 것이 아니기 때문에 CA 서버로의 액세스가 불가능하다

•

관리자는 전달받은 CSR을 CA서버로 가져가 CA 서버의 개인 키와 루트 인증서를 사용하여 서명을 받는다

•

서명된 인증서를 생성한 후, 인증서를 새 유저에게 보낸다

◦

새 유저가 관리자로 등록되어 클러스터에 접근이 가능해졌다

인증서에는 유효 기간이 존재하는데, 만료될 때마다 새로운 CSR을 생성하고 CA에 서명을 받는 프로세스를 수행해야한다. 이때 인증서 파일은 계속 바뀐다.

CA Server

CA는 키와 인증서 파일 쌍에 불과하다. 이 파일에 접근 가능한 사람은 쿠버네티스 환경에 대한 어떤 인증서든 서명할 수 있다. 따라서 해당 파일들은 보호되어야 하며, 안전한 환경에 저장되어야 한다.

CA Server는 CA 인증서 키 파일이 위치한 서버이다. 인증서에 서명을 원할 때마다, 그 서버에 로그인하여 서명해야 한다. 인증서를 쿠버네티스 마스터 노드에 배치한다면 마스터 노드가 CA 서버 역할을 한다.

kubeadm 도 동일하게 작동한다. 키 페어 파일을 생성하고, 이를 마스터 노드에 저장한다.

Certificates API

위에서 설명한 프로세스는 수동으로 요청에 대해 서명하는 방식이었다. 사용자가 증가하여, 인증서 서명 요청이 늘어나거나 만료일을 갱신하는 일을 자동화하는 방법이 필요하다.

쿠버네티스는 내장되어 있는 인증서 API가 있어 이를 자동화할 수 있다.

Create CertificateSigningRequest Object

관리자가 인증서 서명 요청을 받을 때, 마스터 노드에 로그인하여 직접 인증서에 서명하는 대신 CertificateSigningRequest라는 쿠버네티스 API 객체를 생성한다.

새 유저가 자신에 대한 key와 CSR을 생성하고, 그 요청을 관리자에게 전달한다.

openssl genrsa -out bal1oon.key 2048
openssl req -new -key bal1oon.key -subj "/CN=<username>" -out bal1oon.csr
Bash
복사

관리자는 키를 가지고 CertificateSigningRequest 객체를 생성한다. 

# bal1oon-csr.yaml

apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
	name: bal1oon
spec:
	expirationSeconds: 600  # seconds
	usages:
	- digital signature
	- key encipherment
	- server auth
	requests:
		LNJDFNJKEWNKNVDLSNEKJFNLKSNKDFNKNSLKDF
YAML
복사

•

request 필드는 사용자가 보낸 인증서 서명 요청을 명시하는 곳이다.

•

request는 PlaneText가 아닌 Base64로 인코딩된 텍스트를 사용한다.

$ cat bal1oon.csr | base64
LNJDFNJKEWNKNVDLSNEKJFNLKSNKDFNKNSLKDF
Bash
복사

Review Requests

•

객체가 생성되면 모든 CSR을 클러스터의 관리자들이 확인할 수 있다

kubectl get csr
Bash
복사

Approve Requests

•

kubectl 명령으로 인증서를 승인할 수 있다

kubectl certificate approve bal1oon
Bash
복사

Share Certs to Users

•

생성된 인증서를 추출하여 다른 사용자와 공유할 수 있다

•

인증서는 yaml 포맷으로 확인할 수 있다

kubectl get csr bal1oon -o yaml
Bash
복사

◦

인증서는 base64로 인코딩된 텍스트가 확인되는데 디코딩하여 최종 사용자와 공유한다

Kube-Controller-Manager

모든 인증서 관련 작업은 Controller Manager에 의해 이뤄진다. Controller Manager에는 CSR-Approving, CSR-Signing 등의 컨트롤러가 존재한다. 이러한 컨트롤러로 특정 작업을 수행할 수 있다.

인증서에 서명을 할 때면, CA 서버의 Root Certificate와 개인 키가 필요하다. Controller Manager의 서비스 구성에는 이 두 가지를 지정할 수 있는 옵션이 있다.

cat /etc/kubernetes/manifests/kube-controller-manager.yaml
Bash
복사