8.5.2. 전달자 인증
기본적으로 인증을 지정하지 않으면 브로커는 전달자 토큰 인증(Bearer Auth)을 사용합니다. 전달자 Auth는 Kubernetes apiserver 라이브러리에서 위임된 인증을 사용합니다.
이 구성은 Kubernetes RBAC 역할 및 역할 바인딩을 통해 URL 접두사에 액세스 권한을 부여합니다. 브로커가 url_prefix를 지정하기 위해 구성 옵션 을 추가했습니다. 이 값은 기본값은 cluster_ urlopenshift-ansible-service-broker 입니다.
클러스터 역할 예
- apiVersion: authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: access-asb-role
rules:
- nonResourceURLs: ["/ansible-service-broker", "/ansible-service-broker/*"]
verbs: ["get", "post", "put", "patch", "delete"]
8.5.2.1. 배포 템플릿 및 시크릿
다음은 서비스 카탈로그에서 사용할 수 있는 시크릿을 생성하는 예입니다. 이 예제에서는 access-asb-role 역할이 이미 생성되었다고 가정합니다. 배포 템플릿에서:
- apiVersion: v1
kind: ServiceAccount
metadata:
name: ansibleservicebroker-client
namespace: openshift-ansible-service-broker
- apiVersion: authorization.openshift.io/v1
kind: ClusterRoleBinding
metadata:
name: ansibleservicebroker-client
subjects:
- kind: ServiceAccount
name: ansibleservicebroker-client
namespace: openshift-ansible-service-broker
roleRef:
kind: ClusterRole
name: access-asb-role
- apiVersion: v1
kind: Secret
metadata:
name: ansibleservicebroker-client
annotations:
kubernetes.io/service-account.name: ansibleservicebroker-client
type: kubernetes.io/service-account-token위의 예제에서는 access -asb-role에 대한 액세스 권한을 부여하고 해당 서비스 계정 토큰에 대한 시크릿을 생성하는 서비스 계정을 생성합니다.
