13 접근 제어

접근제어는 누가 접근하고 있으며 어떤 권한을 가지고 접근하는지 확인하여 정책에 따라 허가 여부를 결정하는 일련의 과정

• Authentication : 접속한 사람의 신분을 인증하는 단계
• Authorization: 어떤 권한을 가지고 어떤 행동을 할수 있는지 확인하는 단계
• Admission Control : 요청한 내용이 적절한지 확인하는 단계

13.1 사용자 인증

• HTTP Authentication : HTTP 프로토콜에서 제공하는 인증체계를 이용한 인증
• X.509 Certificate : X.509 인증서를 이용한 상호 TLS 인증
• OpenID connection : Google OAuth 와 같은 지으
• Webhook 인증 : Webhook 인증 서버를 통한 사용자 인증
• Proxy 인증 : Proxy 서버를 통한 대리 인증

13.1.1 HTTP Basic Authenctication

KUBECONFIG 파일 : K8S 마스터 API 서버와 통신하기 위해 필요한 정보를 담고있는 파일

cat $HOME/.kube/config

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUJXRENCL3FBREFnRUNBZ0VBTUFvR0NDcUd>
    server: <https://127.0.0.1:6443>
  name: default
contexts:
- context:
    cluster: default
    user: default
  name: default
current-context: default
kind: Config
preferences: {}
users:
- name: default
  user:
    password: ...
    username: admin

13.1.2 X.509 인증서

• CA : 서명된 인증서를 발급하는 기관을 의미한다. 사용자 인증서는 누구나 만들수는 있지만 K8S에게 유효한 인증서는 K8S가 보유한 CA를 통해 서명된 인증서만 해당
• CSR : 인증서 서명 요청으로 쿠버네티스가 보유한 CA로부터 인증서 서명을 받기 위해 요청하는 문서