사용자/패스를 사용하여 Kubernetes 대시보드를 외부 액세스로부터 어떻게 보호할 수 있나요?
vm-driver=none 모드에서 Minikube를 사용하여 클러스터를 생성합니다.
답변1
Kubernetes에서 요청은 인증(API 서버와 통신하는 사람을 결정하는 자격 증명) 및 권한 부여(API 서버가 이 사용자가 요청한 작업을 수행할 수 있는지 확인할 수 있음)로 제공됩니다. 그러나 Kubernetes에는 해당 단어의 전통적인 의미의 사용자가 없습니다(Kubernetes 사용자는 자격 증명을 통한 요청과 연결된 문자열일 뿐입니다). 자격 증명 전략은 클러스터를 설치하는 동안 선택하는 것입니다(x509, 암호 파일, 전달자 토큰 등 중에서 선택할 수 있음).
--vm-driver=none을 사용하는 동안 사용자를 생성하고 싶다고 추가하셨으므로 모든 사람이 네트워크에서 대시보드와 클러스터 자체를 사용할 수 있다고 가정합니다. Minikube는 로컬 개발 및 테스트를 목적으로 하며 사용자를 대신하여 역할을 생성하는 것 같습니다. 다음을 사용하여 일반 Kubernetes 클러스터를 설치해 볼 수 있습니다.kubeadmMinikube와 함께 배포된 단순화된 버전을 사용하는 대신. minikube startMinikube가 클러스터 역할 "kubernetes 대시보드"와 연결된 토큰을 생성한 후 . 따라서 또 다른 가능한 해결책은 Kubernetes 대시보드를 삭제하고 지침에 따라 처음부터 설치하는 것입니다.여기설명된 대로 사용자를 생성하여여기사용자를 위한 새 역할을 생성해 볼 수도 있지만 이 솔루션을 테스트할 시간이 충분하지 않았습니다. 또한 Kubernetes를 사용하여 보다 복잡한 작업을 수행하려면 다른 도구를 사용하는 것이 좋습니다. kubeadm을 사용하면 대시보드를 직접 설치하고 필요에 맞게 구성할 수 있습니다.
더 나아가독서Kubernetes 대시보드의 액세스 제어에 대해 알아보세요. 대시보드용 서비스 계정 생성 및 자격 증명 가져오기7단계:
- 이 명령은 기본 네임스페이스에 대시보드용 서비스 계정을 생성합니다.
$ kubectl 서비스 계정 대시보드 생성 -n 기본값
- 이 명령은 대시보드 계정에 클러스터 바인딩 규칙을 추가합니다.
$ kubectl create Clusterrolebound Dashboard-admin -n default \
--clusterrole=cluster-admin \ --serviceaccount=default:dashboard
- 이 명령은 대시보드 로그인에 필요한 토큰을 제공합니다.
$ kubectl get secret $(kubectl get serviceaccount 대시보드 -o jsonpath="{.secrets[0].name}") -o jsonpath="{.data.token}" | base64 --디코드
토큰을 받아야 합니다. 4. 토큰 옵션을 선택하여 이 토큰을 복사하고 대시보드 로그인 페이지에 붙여넣습니다.