클러스터의 보안을 보장할 뿐만 아니라 Kubernetes 클러스터의 모든 사용자, 워크로드 및 구성 요소에 대한 정책 및 거버넌스를 부여하는 수단으로 사용할 수 있도록 하려면 Kubernetes API에 대한 액세스를 제어하는 것이 핵심입니다. 이 장에서는 어드미션 컨트롤러와 인가 모듈을 사용하여 특정 기능을 활성화하는 방법과 특정 필요에 맞게 사용자 정의하는 방법을 공유합니다.
권한 부여 및 승인에 대해 살펴보기 전에 API 서버를 통한 API 요청 흐름( )을 살펴보겠습니다. 그림 17-1은 해당 흐름에서 어드미션 제어 및 권한 부여가 발생하는 방법과 위치에 대한 인사이트를 제공합니다. 이 그림은 오브젝트가 승인될 경우 스토리지에 저장될 때까지 Kubernetes API 서버를 통한 엔드투엔드 요청 흐름을 보여줍니다. API 서버를 통해 왼쪽에서 오른쪽으로 API 요청을 따라가면서 어드미션 제어 및 권한 부여 순서에 특히 주의하세요. 이 장에서는 이에 대한 모범 사례를 다룰 것입니다.
그림 17-1. Kubernetes API 요청 흐름
입장 관리
네임스페이스에 아직 존재하지 않는 리소스를 정의할 때 네임스페이스가 어떻게 자동으로 생성되는지 궁금한 적이 있나요? 기본 스토리지 클래스가 어떻게 선택되는지 궁금하셨나요? 이러한 변경은 어드미션 컨트롤러라는 기능을 통해 이루어집니다. 이 섹션에서는 어드미션 컨트롤러를 사용하여 사용자를 대신하여 서버 측에서 Kubernetes 모범 사례를 구현하는 방법과 어드미션 컨트롤을 활용하여 Kubernetes 클러스터 사용 방식을 관리하는 방법을 살펴봅니다.
그것들은 무엇인가요?
어드미션 컨트롤러( )는 인증 및 권한 부여 단계에 따른 요청을 수신하는 Kubernetes API 서버 요청 흐름의 경로에 위치합니다. 이들은 요청 오브젝트를 스토리지에 저장하기 전에 유효성을 검사하거나 변경(또는 둘 다)하는 데 사용됩니다. 어드미션 컨트롤러의 유효성 검사와 변경의 차이점은 변경 어드미션 컨트롤러는 승인하는 요청 오브젝트를 수정할 수 있지만 유효성 검사 어드미션 컨트롤러는 수정할 수 없다는 것입니다.
왜 중요한가요?
어드미션 컨트롤러는 모든 API 서버 요청의 경로에 위치하므로 다양한 방식으로 사용할 수 있습니다. 가장 일반적으로 어드미션 컨트롤러 사용법은 다음 세 가지 범주로 분류할 수 있습니다:
정책 및 거버넌스
입학 컨트롤러( )를 통해 비즈니스 요구 사항을 충족하는 정책을 시행할 수 있습니다:
dev네임스페이스에서는 내부 Cloud 로드밸런서만 사용할 수 있습니다.
파드의 모든 컨테이너에는 리소스 제한이 있어야 합니다.
모든 리소스에 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month, and much more.
