12.5. 허용된 보안 관리
API 자격 증명을 제공하는 것 외에도 Pod의 서비스 계정에서 Pod에서 사용할 수 있는 보안을 결정합니다.
Pod는 다음 두 가지 방법으로 시크릿을 사용합니다.
- 이미지 풀 시크릿을 제공하여 Pod 컨테이너의 이미지를 가져오는 데 사용되는 인증 정보를 제공합니다.
- 마운트 가능한 시크릿을 사용하여 컨테이너에 보안 콘텐츠를 파일로 삽입
서비스 계정의 Pod에서 보안을 이미지 풀 시크릿으로 사용할 수 있도록 하려면 다음을 실행합니다.
oc secrets link --for=pull <serviceaccount-name> <secret-name>
$ oc secrets link --for=pull <serviceaccount-name> <secret-name>
서비스 계정의 Pod를 통해 보안을 마운트할 수 있도록 하려면 다음을 실행합니다.
oc secrets link --for=mount <serviceaccount-name> <secret-name>
$ oc secrets link --for=mount <serviceaccount-name> <secret-name>
보안을 참조하는 서비스 계정으로만 보안은 기본적으로 비활성화되어 있습니다. 즉, 마스터 구성 파일에서 serviceAccountConfig.limitSecretReferences
가 false
(기본 설정)로 설정된 경우 --for=mount
옵션을 사용하여 서비스 계정의 Pod에 보안을 마운트할 필요가 없습니다. 그러나 --for=pull
옵션을 사용하여 serviceAccountConfig.limitSecretReferences
값과 관계없이 이미지 가져오기 시크릿을 사용해야 합니다.
이 예제에서는 서비스 계정을 생성하고 보안을 추가합니다.