[CKA] 49. Service Account

Date

2025/01/16

Service Account

쿠버네티스에서는 두 가지 주요 계정 유형이 있다: 사용자 계정과 서비스 계정이다.

•

User Account: 사람(관리자, 개발자 등)이 클러스터에 접근하여 관리 작업이나 앱 배포를 수행할 때 사용

•

Service Account: Machine(애플리케이션)이 클러스터와 상호작용할 때 사용

◦

Prometheus, Jenkins 같은 애플리케이션이 Service Account를 통해 Kubernetes API에 접근

My Kubernetes Dashboard 라는 대시보드 애플리케이션을 배포하였을 때, 클러스터의 파드 목록을 가져오기 위해선 Kubernetes API에 요청을 보내야 한다.

Service Account Token

Kubernetes API를 쿼리에 Service Account이 필요하며, 그에 대한 인증으로 Token이 필요하다. 참고로 이 토큰은 JWT 토큰이다.

v1.24 버전 이전에는 서비스 계정이 생성되면, 그에 대한 토큰이 Sercret으로 자동생성되었다. 하지만 이후 버전부터는 자동으로 생성되지 않는다.

# Service Account 생성
kubectl create serviceaccount <Service Account>
# Service Account Token 생성
kubectl create token <Service Account>
Bash
복사

만료 시간을 설정하지 않을 경우 기본 1시간의 만료시간을 가진다. 따라서 위 코드는 한 시간의 만료 시간을 갖는 코드를 얻는 방법이다.

위 코드는 일회성으로 얻을 수 있고 만료시간이 있는 토큰이기 때문에 재사용이 가능하거나 자동 갱신되는 토큰을 얻어야 한다. 쿠버네티스에서 지원하는 서비스 계정 토큰 발급 방식은 다음과 같다:

•

TokenRequest API (recommended)

◦

애플리케이션 코드 내에서 API를 통해 토큰을 요청하는 방식

◦

토큰은 만료 시간을 가지며, 자동으로 갱신 가능

•

Token Volume Projection (recommended)

◦

kubelet에게 projected volume으로 토큰을 Pod에 추가하라고 지시

◦

토큰은 만료 시간을 가지며, 쿠버네티스가 자동으로 갱신

•

Service Account Token Secrets (not recommended)

◦

토큰을 secret에 마운트하여 사용

◦

토큰은 만료 시간이 없으며, 영구적으로 사용 가능

◦

TokenRequest API로 토큰이 생성되지 않을 때만 사용 권장

Service Accounts

Learn about ServiceAccount objects in Kubernetes.

https://kubernetes.io/docs/concepts/security/service-accounts/

Service Account Token Secrets

v1.24 버전부터는 서비스 계정이 시크릿으로 토큰을 가지고 있지 않다. 이전과 같은 서비스 계정을 만드려면 수동으로 시크릿을 생성해주어야 한다. 이 방식은 쿠버네티스에서 권장하지 않으며, 해당 방식으로 생성된 토큰은 만료 시간이 없다.

apiVersion: v1
kind: Secret
type: kubernetes.io/service-account-token
metadata:
  name: dashboard-sa-token
  annotations:
    kubernetes.io/service-account.name: dashboard-sa   # Service Account 지정
YAML
복사

kubernetes.io/service-account.name 이란 annotations를 사용는데, 이 annotations은 imperative 방식으로는 생성이 불가능한 듯하다.

이후 생성된 Secret에서 토큰을 확인할 수 있다.

kubectl describe secret dashboard-sa-token
Bash
복사

Configure Service Accounts for Pods

Kubernetes offers two distinct ways for clients that run within your cluster, or that otherwise have a relationship to your cluster's control plane to authenticate to the API server. A service account provides an identity for processes that run in a Pod, and maps to a ServiceAccount object. When you authenticate to the API server, you identify yourself as a particular user. Kubernetes recognises the concept of a user, however, Kubernetes itself does not have a User API.

https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/#manually-create-a-long-lived-api-token-for-a-serviceaccount

TokenRequest API

TokenRequest API는 클러스터 내에서 특정 Service Account에 대한 토큰을 요청하는 기능이다.

JWT는 Audience, Time에 구애받지 않으며, 각 JWT는 Service Account마다 별도의 Secret 객체를 필요로 한다. 이로 인해 JWT의 영구성으로 인한 보안성과 확장성의 문제가 발생하였다. Kubernetes v1.22 부터 TokenRequest API가 도입되어 짧은 수명의 토큰을 생성하도록 했다. TokenRequest API가 갖는 특성은 다음과 같다:

•

Audience Bound: 특정 리소스에 대한 접근 제한

•

Time Bound: 짧은 수명으로 설정되어 자동으로 만료

•

Object Bound: 특정 객체에 바인딩되어 사용

이로써 Token의 보안성과 확장성을 높아졌다.

Token Volume Projection

서비스 토큰 시크릿을 Pod 내의 볼륨으로 마운트시키는 방식이다. 이를 통해 애플리케이션은 토큰을 환경 변수로 입력하거나 직접 API 호출을 할 필요 없이, Pod 내에서 쉽게 읽어 들일 수 있다.

기존에는 서비스 계정과 연결된 정적인 Secret Token이 Pod에 마운트되었지만, Kubernetes v1.22 부터 TokenRequest API가 도입됨에 따라 동적으로 토큰을 생성한다. 이 토큰은 Projected Volume으로 마운트되어 자동 만료 및 갱신을 한다.

VolumeMount

apiVersion: v1
kind: Pod
metadata:
  name: my-kubernetes-dashboard
spec:
  containers:
    - name: my-kubernetes-dashboard
      image: my-kubernetes-dashboard
  serviceAccountName: dashboard-sa   # 사용할 Service Account 지정
YAML
복사

Pod의 Service Account는 생성할 때만 지정이 가능하기 때문에, 수정이 필요하다면 Pod를 재생성해야 한다.

View Token

토큰의 위치는 /var/run/secrets/kubernetes.io/serviceaccount에 마운트되며, 해당 디렉토리에는 ca.crt, namespace, token 총 3개의 별개 파일로 Secret이 마운트된다. 실제 토큰을 가진 것은 token 파일이다.

kubectl exec -it my-kubernetes-dashboard cat /var/run/secrets/kubernetes.io/serviceaccount/token
Bash
복사

Auto Mount

spec.serviceAccountName을 명시하지 않을 경우에는 default 서비스 계정이 마운트된다. 자동으로 서비스 계정을 마운트하는 것을 원치 않을 경우에는 spec.automountServiceAccountToken: false 를 추가한다.

apiVersion: v1
kind: Pod
metadata:
  name: my-kubernetes-dashboard
spec:
  containers:
    - name: my-kubernetes-dashboard
      image: my-kubernetes-dashboard
  automountServiceAccountToken: false   # 자동 마운트 비활성화
YAML
복사