12.5. 허용된 보안 관리
API 자격 증명을 제공하는 것 외에도 Pod의 서비스 계정에서 Pod에서 사용할 수 있는 보안을 결정합니다.
Pod는 다음 두 가지 방법으로 시크릿을 사용합니다.
- 이미지 풀 시크릿을 제공하여 Pod 컨테이너의 이미지를 가져오는 데 사용되는 인증 정보를 제공합니다.
- 마운트 가능한 시크릿을 사용하여 컨테이너에 보안 콘텐츠를 파일로 삽입
서비스 계정의 Pod에서 보안을 이미지 풀 시크릿으로 사용할 수 있도록 하려면 다음을 실행합니다.
$ oc secrets link --for=pull <serviceaccount-name> <secret-name>
서비스 계정의 Pod를 통해 보안을 마운트할 수 있도록 하려면 다음을 실행합니다.
$ oc secrets link --for=mount <serviceaccount-name> <secret-name>
참고
보안을 참조하는 서비스 계정으로만 보안은 기본적으로 비활성화되어 있습니다. 즉, 마스터 구성 파일에서 serviceAccountConfig.limitSecretReferences 가 false (기본 설정)로 설정된 경우 --for=mount 옵션을 사용하여 서비스 계정의 Pod에 보안을 마운트할 필요가 없습니다. 그러나 --for=pull 옵션을 사용하여 serviceAccountConfig.limitSecretReferences 값과 관계없이 이미지 가져오기 시크릿을 사용해야 합니다.
이 예제에서는 서비스 계정을 생성하고 보안을 추가합니다.
$ oc create secret generic secret-plans \
--from-file=plan1.txt \
--from-file=plan2.txt
secret/secret-plans
$ oc create secret docker-registry my-pull-secret \
--docker-username=mastermind \
--docker-password=12345 \
--docker-email=mastermind@example.com
secret/my-pull-secret
$ oc secrets link robot secret-plans --for=mount
$ oc secrets link robot my-pull-secret --for=pull
$ oc describe serviceaccount robot
Name: robot
Labels: <none>
Image pull secrets: robot-dockercfg-624cx
my-pull-secret
Mountable secrets: robot-token-uzkbh
robot-dockercfg-624cx
secret-plans
Tokens: robot-token-8bhpp
robot-token-uzkbh