Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

2.8. 단기 자격 증명을 사용하여 포드 인증

일부 OpenShift Container Platform 클러스터는 클러스터 외부에서 생성 및 관리되는 개별 구성 요소에 대해 단기 보안 자격 증명을 사용합니다. 이러한 클러스터의 고객 워크로드에 있는 애플리케이션은 클러스터가 사용하는 단기 인증 방법을 사용하여 인증할 수 있습니다.

2.8.1. 워크로드에 대한 단기 인증 구성
링크 복사

애플리케이션에서 이 인증 방법을 사용하려면 다음 단계를 완료해야 합니다.

  1. 클라우드 공급자의 IAM(Identity and Access Management) 설정에서 연합 ID 서비스 계정을 만듭니다.
  2. 클라우드 공급자의 서비스 계정을 가장할 수 있는 OpenShift Container Platform 서비스 계정을 만듭니다.
  3. OpenShift Container Platform 서비스 계정을 사용하여 애플리케이션과 관련된 모든 워크로드를 구성합니다.

2.8.1.1. 환경 및 사용자 액세스 요구 사항
링크 복사

이 인증 방법을 구성하려면 다음 요구 사항을 충족해야 합니다.

  • 클러스터는 단기 보안 자격 증명을 사용해야 합니다.
  • cluster-admin 역할이 있는 사용자로 OpenShift CLI( oc )에 액세스할 수 있어야 합니다.
  • 클라우드 공급자 콘솔에서 IAM(Identity and Access Management) 및 페더레이션 ID 구성을 관리할 수 있는 권한이 있는 사용자로 액세스해야 합니다.

2.8.2. GCP에서 애플리케이션에 대한 GCP 워크로드 ID 인증 구성
링크 복사

GCP 워크로드 ID 인증을 사용하는 GCP 클러스터의 애플리케이션에 대해 단기 인증을 사용하려면 다음 단계를 완료해야 합니다.

  1. GCP에서 액세스를 구성합니다.
  2. 이 액세스를 사용할 수 있는 OpenShift Container Platform 서비스 계정을 만듭니다.
  3. GCP 워크로드 ID로 인증하는 고객 워크로드를 배포합니다.
연합 GCP 서비스 계정 생성

Google Cloud 콘솔을 사용하여 워크로드 ID 풀과 공급자를 만들고 OpenShift Container Platform 서비스 계정이 GCP 서비스 계정을 가장하도록 허용할 수 있습니다.

사전 요구 사항

  • 귀하의 GCP 클러스터는 GCP 워크로드 ID를 사용합니다.
  • IAM(Identity and Access Management) 및 워크로드 ID 구성을 관리할 수 있는 권한이 있는 사용자로서 Google Cloud 콘솔에 액세스할 수 있습니다.
  • 애플리케이션과 함께 사용할 Google Cloud 프로젝트를 생성했습니다.

프로세스

  1. Google Cloud 프로젝트의 IAM 구성에서 클러스터가 GCP 워크로드 ID 인증에 사용하는 ID 풀과 공급자를 식별합니다.

  2. 외부 ID가 GCP 서비스 계정을 가장할 수 있도록 권한을 부여합니다. 이러한 권한을 통해 OpenShift Container Platform 서비스 계정은 페더레이션 워크로드 ID로 작동할 수 있습니다.

    자세한 내용은 외부 작업 부하가 Google Cloud 리소스에 액세스하도록 허용하는 방법 에 대한 GCP 문서를 참조하세요.

GCP용 OpenShift Container Platform 서비스 계정 생성

OpenShift Container Platform 서비스 계정을 만들고 GCP 서비스 계정을 가장하도록 주석을 추가합니다.

사전 요구 사항

  • 귀하의 GCP 클러스터는 GCP 워크로드 ID를 사용합니다.
  • 연합 GCP 서비스 계정을 생성했습니다.
  • cluster-admin 역할이 있는 사용자로 OpenShift CLI( oc )에 액세스할 수 있습니다.
  • IAM(Identity and Access Management) 및 워크로드 ID 구성을 관리할 수 있는 권한이 있는 사용자로서 Google Cloud CLI( gcloud )에 액세스할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 GCP Workload Identity Pod 인증에 사용할 OpenShift Container Platform 서비스 계정을 만듭니다. 

    $ oc create serviceaccount <service_account_name>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 가장할 ID 공급자와 GCP 서비스 계정을 서비스 계정에 주석으로 추가합니다. 

    $ oc patch serviceaccount <service_account_name> -p '{"metadata": {"annotations": {"cloud.google.com/workload-identity-provider": "projects/<project_number>/locations/global/workloadIdentityPools/<identity_pool>/providers/<identity_provider>"}}}'
    Copy to Clipboard Toggle word wrap

    <project_number> , <identity_pool> , <identity_provider>를 구성 값으로 바꾸세요.

    참고

    <project_number> 에는 프로젝트 ID가 아닌 Google Cloud 프로젝트 번호를 지정하세요.

  3. 다음 명령을 실행하여 GCP 서비스 계정의 이메일 주소로 서비스 계정에 주석을 추가합니다. 

    $ oc patch serviceaccount <service_account_name> -p '{"metadata": {"annotations": {"cloud.google.com/service-account-email": "<service_account_email>"}}}'
    Copy to Clipboard Toggle word wrap

    <service_account_email>을 GCP 서비스 계정의 이메일 주소로 바꾸세요.

    작은 정보

    GCP 서비스 계정 이메일 주소는 일반적으로 <service_account_name>@<project_id>.iam.gserviceaccount.com 형식을 사용합니다.

  4. 다음 명령을 실행하여 직접 외부 자격 증명 구성 주입 모드를 사용하도록 서비스 계정에 주석을 추가합니다. 

    $ oc patch serviceaccount <service_account_name> -p '{"metadata": {"annotations": {"cloud.google.com/injection-mode": "direct"}}}'
    Copy to Clipboard Toggle word wrap

    이 모드에서는 Workload Identity Federation 웹훅 컨트롤러가 GCP 외부 자격 증명 구성을 직접 생성하고 이를 Pod에 삽입합니다.

  5. 다음 명령을 실행하여 Google Cloud CLI( gcloud )를 사용하여 워크로드에 대한 권한을 지정합니다. 

    $ gcloud projects add-iam-policy-binding <project_id> --member "<service_account_email>" --role "projects/<project_id>/roles/<role_for_workload_permissions>"
    Copy to Clipboard Toggle word wrap

    <role_for_workload_permissions>를 워크로드에 대한 역할로 바꾸세요. 작업에 필요한 권한을 부여하는 역할을 지정합니다.

검증

  • 서비스 계정 구성을 확인하려면 다음 명령을 실행하여 ServiceAccount 매니페스트를 검사하세요. 

    $ oc get serviceaccount <service_account_name>
    Copy to Clipboard Toggle word wrap

    다음 예에서 service-a/app-x OpenShift Container Platform 서비스 계정은 app-x 라는 GCP 서비스 계정을 가장할 수 있습니다. 

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: app-x
  namespace: service-a
  annotations:
    cloud.google.com/workload-identity-provider: "projects/<project_number>/locations/global/workloadIdentityPools/<identity_pool>/providers/<identity_provider>"
    1 
    
    cloud.google.com/service-account-email: "app-x@project.iam.googleapis.com"
    cloud.google.com/audience: "sts.googleapis.com"
    2 
    
    cloud.google.com/token-expiration: "86400"
    3 
    
    cloud.google.com/gcloud-run-as-user: "1000"
    cloud.google.com/injection-mode: "direct"
    4
    Copy to Clipboard Toggle word wrap
    1
    클러스터의 서비스 계정에 대한 워크로드 ID 공급자입니다.
    2
    워크로드 ID 공급자에 대해 허용된 대상입니다.
    3
    토큰 만료 기간(초)입니다.
    4
    직접적인 외부 자격 증명 구성 주입 모드입니다.
GCP 워크로드 ID로 인증하는 고객 워크로드 배포

애플리케이션에서 단기 인증을 사용하려면 관련 Pod를 구성하여 OpenShift Container Platform 서비스 계정을 사용해야 합니다. OpenShift Container Platform 서비스 계정을 사용하면 웹훅이 트리거되어 포드를 변형하여 GCP 서비스 계정을 가장할 수 있습니다.

다음 예제에서는 OpenShift Container Platform 서비스 계정을 사용하는 Pod를 배포하고 구성을 확인하는 방법을 보여줍니다.

사전 요구 사항

  • 귀하의 GCP 클러스터는 GCP 워크로드 ID를 사용합니다.
  • 연합 GCP 서비스 계정을 생성했습니다.
  • GCP용 OpenShift Container Platform 서비스 계정을 생성했습니다.

프로세스

  1. GCP 워크로드 ID로 인증하는 포드를 만들려면 다음 예와 유사한 배포 YAML 파일을 만듭니다.

    샘플 배포

    apiVersion: apps/v1
kind: Deployment
metadata:
  name: ubi9
spec:
  replicas: 1
  selector:
    matchLabels:
      app: ubi9
  template:
    metadata:
      labels:
        app: ubi9
    spec:
      serviceAccountName: "<service_account_name>"
    1 
    
      containers:
        - name: ubi
          image: 'registry.access.redhat.com/ubi9/ubi-micro:latest'
          command:
            - /bin/sh
            - '-c'
            - |
              sleep infinity
    Copy to Clipboard Toggle word wrap

    1
    OpenShift Container Platform 서비스 계정의 이름을 지정합니다.

  2. 다음 명령을 실행하여 배포 파일을 적용합니다. 

    $ oc apply -f deployment.yaml
    Copy to Clipboard Toggle word wrap

검증

  • 포드가 단기 인증을 사용하는지 확인하려면 다음 명령을 실행하세요. 

    $ oc get pods -o json | jq -r '.items[0].spec.containers[0].env[] | select(.name=="GOOGLE_APPLICATION_CREDENTIALS")'
    Copy to Clipboard Toggle word wrap

    출력 예

    {   "name": "GOOGLE_APPLICATION_CREDENTIALS",   "value": "/var/run/secrets/workload-identity/federation.json" }
    Copy to Clipboard Toggle word wrap

    GOOGLE_APPLICATION_CREDENTIALS 환경 변수가 있으면 Pod가 GCP 워크로드 ID로 인증됨을 나타냅니다.

  • 추가 구성 세부 정보를 확인하려면 Pod 사양을 살펴보세요. 다음 예제 Pod 사양은 웹훅이 변형하는 환경 변수와 볼륨 필드를 보여줍니다.

    직접 주입 모드를 사용한 포드 사양 예시:

    apiVersion: v1
kind: Pod
metadata:
  name: app-x-pod
  namespace: service-a
annotations:
  cloud.google.com/skip-containers: "init-first,sidecar"
  cloud.google.com/external-credentials-json: |-
    1 
    
    {
      "type": "external_account",
      "audience": "//iam.googleapis.com/projects/<project_number>/locations/global/workloadIdentityPools/on-prem-kubernetes/providers/<identity_provider>",
      "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
      "token_url": "https://sts.googleapis.com/v1/token",
      "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/app-x@project.iam.gserviceaccount.com:generateAccessToken",
      "credential_source": {
        "file": "/var/run/secrets/sts.googleapis.com/serviceaccount/token",
        "format": {
          "type": "text"
        }
      }
    }
spec:
  serviceAccountName: app-x
  initContainers:
  - name: init-first
    image: container-image:version
  containers:
  - name: sidecar
    image: container-image:version
  - name: container-name
    image: container-image:version
    env:
    2 
    
    - name: GOOGLE_APPLICATION_CREDENTIALS
      value: /var/run/secrets/gcloud/config/federation.json
    - name: CLOUDSDK_COMPUTE_REGION
      value: asia-northeast1
    volumeMounts:
    - name: gcp-iam-token
      readOnly: true
      mountPath: /var/run/secrets/sts.googleapis.com/serviceaccount
    - mountPath: /var/run/secrets/gcloud/config
      name: external-credential-config
      readOnly: true
  volumes:
  - name: gcp-iam-token
    projected:
      sources:
      - serviceAccountToken:
          audience: sts.googleapis.com
          expirationSeconds: 86400
          path: token
  - downwardAPI:
      defaultMode: 288
      items:
      - fieldRef:
          apiVersion: v1
          fieldPath: metadata.annotations['cloud.google.com/external-credentials-json']
        path: federation.json
    name: external-credential-config
    Copy to Clipboard Toggle word wrap

    1
    웹훅 컨트롤러가 생성한 외부 자격 증명 구성입니다. Kubernetes downwardAPI 볼륨은 구성을 컨테이너 파일 시스템에 마운트합니다.
    2
    토큰 기반 인증을 위한 웹훅 주입 환경 변수입니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat