GKE Identity Service로 ID 관리

AWS용 GKE에서 OpenID Connect(OIDC)AWS IAM은 GKE Identity Service를 사용하여 클러스터의 Kubernetes API 서버와 상호작용하기 위한 인증 메커니즘으로 지원됩니다. GKE ID 서비스는 인증을 위한 기존 ID 솔루션을 여러 환경에 제공할 수 있게 해주는 인증 서비스입니다. 사용자는 명령줄이나 Google Cloud 콘솔에서 모두 기존 ID 공급업체를 사용하여 GKE 클러스터에 로그인하고 이를 사용할 수 있습니다.

GKE Identity Service 작동 방식에 대한 개요는 GKE Identity Service 소개를 참조하세요.

GKE 클러스터에 로그인하기 위해 Google ID를 이미 사용 중이거나 앞으로 사용하려는 경우에는 인증을 위해 gcloud containers aws clusters get-credentials 명령어를 사용하는 것이 좋습니다. 자세한 내용은 클러스터에 연결 및 인증을 참조하세요.

OpenID Connect 인증

시작하기 전에

  1. OIDC 인증을 사용하려면 사용자가 클러스터의 제어 영역에 연결할 수 있어야 합니다. 클러스터 제어 영역에 연결을 참조하세요.

  2. Google Cloud 콘솔을 통해 인증하려면 프로젝트 Fleet에 구성하려는 각 클러스터를 등록해야 합니다. AWS용 GKE의 경우 노드 풀을 만들 때 자동으로 수행됩니다.

  3. Google Cloud 콘솔을 통한 사용자 인증을 허용하려면 구성하려는 모든 클러스터가 프로젝트 Fleet에 등록되어 있는지 확인합니다. AWS용 GKE의 경우 노드 풀을 만들 때 자동으로 수행됩니다.

설정 프로세스 및 옵션

  1. GKE Identity Service 제공업체 구성의 안내에 따라 OIDC 제공업체에 GKE Identity Service를 클라이언트로 등록합니다.

  2. 다음 클러스터 구성 옵션 중에서 선택합니다.

  3. GKE Identity Service를 위한 사용자 액세스 설정의 안내에 따라 역할 기반 액세스 제어(RBAC)를 포함하여 클러스터에 대해 사용자 액세스를 설정합니다.

클러스터 액세스

GKE Identity Service가 클러스터에 설정된 후에 사용자가 명령줄이나 Google Cloud 콘솔을 사용하여 클러스터에 로그인할 수 있습니다.

AWS IAM 인증

AWS용 GKE의 AWS IAM 지원에는 GKE ID 서비스가 사용됩니다.

시작하기 전에

AWS IAM 인증을 사용하려면 사용자가 클러스터 제어 영역에 연결할 수 있어야 합니다. 클러스터 제어 영역에 연결을 참조하세요.

설정 프로세스 및 옵션

특정 AWS 리전에 대해 AWS IAM 인증을 허용하도록 클러스터를 구성하려면 다음을 수행합니다.

  1. 클러스터에서 ClientConfig 리소스를 수정합니다.

    kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public
    

    KUBECONFIG_PATH를 클러스터의 kubeconfig 파일 경로로 바꿉니다(예: $HOME/.kube/config).

    텍스트 편집기가 클러스터의 ClientConfig 리소스를 로드합니다. 아래와 같이 spec.authentication.aws 객체를 추가합니다. 이미 작성된 기본 데이터를 수정하지 마세요.

    apiVersion: authentication.gke.io/v2alpha1
    kind: ClientConfig
    metadata:
      name: default
      namespace: kube-public
    spec:
      authentication:
      - name: NAME
        aws:
          region: AWS_REGION
    

    다음을 바꿉니다.

    • NAME: 이 인증 방법에 대한 임의 이름입니다(예: 'aws-iam').
    • AWS_REGION: 사용자 정보가 검색되는 AWS 리전입니다. 사용자의 AWS CLI에 구성된 리전과 일치해야 합니다.
  2. 클러스터 사용자가 AWS IAM을 사용하도록 설정하려면 GKE Identity Service의 사용자 액세스 설정을 참조하세요.

클러스터 액세스

GKE Identity Service가 클러스터에 설정된 후에 사용자가 명령줄이나 Google Cloud 콘솔을 사용하여 클러스터에 로그인할 수 있습니다.

AWS IAM ID를 사용하여 등록된 클러스터에 로그인하는 방법을 알아보려면 GKE Identity Service를 사용하여 클러스터 액세스를 참조하세요.