Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

2.9. 단기 인증 정보로 Pod 인증

일부 OpenShift Container Platform 클러스터는 클러스터 외부에서 생성 및 관리되는 개별 구성 요소에 대해 단기 보안 인증 정보를 사용합니다. 이러한 클러스터의 고객 워크로드의 애플리케이션은 클러스터가 사용하는 단기 인증 방법을 사용하여 인증할 수 있습니다.

2.9.1. 워크로드에 대한 단기 인증 구성
링크 복사

애플리케이션에서 이 인증 방법을 사용하려면 다음 단계를 완료해야 합니다.

  1. 클라우드 공급자의 IAM(Identity and Access Management) 설정에 페더레이션 ID 서비스 계정을 생성합니다.
  2. 클라우드 공급자의 서비스 계정을 가장할 수 있는 OpenShift Container Platform 서비스 계정을 생성합니다.
  3. OpenShift Container Platform 서비스 계정을 사용하도록 애플리케이션과 관련된 워크로드를 구성합니다.

2.9.1.1. 환경 및 사용자 액세스 요구사항
링크 복사

이 인증 방법을 구성하려면 다음 요구 사항을 충족해야 합니다.

  • 클러스터는 단기 보안 인증 정보를 사용해야 합니다.
  • cluster-admin 역할의 사용자로 OpenShift CLI(oc)에 액세스할 수 있어야 합니다.
  • 클라우드 공급자 콘솔에서는 IAM(Identity and Access Management) 및 페더레이션 ID 구성을 관리할 수 있는 권한이 있는 사용자로 액세스할 수 있어야 합니다.

2.9.2. Google Cloud에서 애플리케이션의 GCP 워크로드 ID 인증 구성
링크 복사

GCP Workload Identity 인증을 사용하는 Google Cloud 클러스터에서 애플리케이션에 대한 단기 인증을 사용하려면 다음 단계를 완료해야 합니다.

  1. Google Cloud에서 액세스 구성.
  2. 이 액세스를 사용할 수 있는 OpenShift Container Platform 서비스 계정을 생성합니다.
  3. GCP 워크로드 ID로 인증하는 고객 워크로드를 배포합니다.

2.9.2.1. 페더레이션 Google Cloud 서비스 계정 생성
링크 복사

Google Cloud 콘솔을 사용하여 워크로드 ID 풀 및 공급자를 생성하고 OpenShift Container Platform 서비스 계정이 Google Cloud 서비스 계정을 가장할 수 있도록 허용할 수 있습니다.

사전 요구 사항

  • Google Cloud 클러스터에서 GCP 워크로드 ID를 사용합니다.
  • IAM(Identity and Access Management) 및 워크로드 ID 구성을 관리할 수 있는 권한이 있는 사용자로 Google Cloud 콘솔에 액세스할 수 있습니다.
  • 애플리케이션과 함께 사용할 Google Cloud 프로젝트를 생성했습니다.

프로세스

  1. Google Cloud 프로젝트의 IAM 구성에서 클러스터가 GCP 워크로드 ID 인증에 사용하는 ID 풀 및 공급자를 식별합니다.

  2. Google Cloud 서비스 계정을 가장할 수 있는 외부 ID에 대한 권한을 부여합니다. 이러한 권한을 사용하면 OpenShift Container Platform 서비스 계정이 페더레이션 워크로드 ID로 작동할 수 있습니다.

    자세한 내용은 외부 워크로드가 Google Cloud 리소스에 액세스하도록 허용하는 방법에 대한 Google Cloud 설명서를 참조하십시오.

2.9.2.2. Google Cloud용 OpenShift Container Platform 서비스 계정 생성
링크 복사

OpenShift Container Platform 서비스 계정을 생성하고 Google Cloud 서비스 계정을 가장하도록 주석을 답니다.

사전 요구 사항

  • Google Cloud 클러스터에서 GCP 워크로드 ID를 사용합니다.
  • 페더레이션 Google Cloud 서비스 계정을 생성했습니다.
  • cluster-admin 역할의 사용자로 OpenShift CLI(oc)에 액세스할 수 있습니다.
  • IAM(Identity and Access Management) 및 워크로드 ID 구성을 관리할 수 있는 권한이 있는 사용자로 Google Cloud CLI(gcloud)에 액세스할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 GCP 워크로드 ID Pod 인증에 사용할 OpenShift Container Platform 서비스 계정을 생성합니다. 

    $ oc create serviceaccount <service_account_name>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 ID 공급자 및 Google Cloud 서비스 계정으로 서비스 계정에 주석을 답니다. 

    $ oc patch serviceaccount <service_account_name> -p '{"metadata": {"annotations": {"cloud.google.com/workload-identity-provider": "projects/<project_number>/locations/global/workloadIdentityPools/<identity_pool>/providers/<identity_provider>"}}}'
    Copy to Clipboard Toggle word wrap

    < project_number > , < identity_pool > , < identity_provider >를 구성 값으로 바꿉니다.

    참고

    & lt;project_number >는 프로젝트 ID가 아닌 Google Cloud 프로젝트 번호를 지정합니다.

  3. 다음 명령을 실행하여 Google Cloud 서비스 계정의 이메일 주소로 서비스 계정에 주석을 답니다. 

    $ oc patch serviceaccount <service_account_name> -p '{"metadata": {"annotations": {"cloud.google.com/service-account-email": "<service_account_email>"}}}'
    Copy to Clipboard Toggle word wrap

    & lt;service_account_email& gt;을 Google Cloud 서비스 계정의 이메일 주소로 바꿉니다.

    작은 정보

    Google Cloud 서비스 계정 이메일 주소는 일반적으로 < service_account_name>@<project_id>.iam.gserviceaccount.com 형식을 사용합니다.

  4. 다음 명령을 실행하여 직접 외부 인증 정보 구성 삽입 모드를 사용하도록 서비스 계정에 주석을 답니다. 

    $ oc patch serviceaccount <service_account_name> -p '{"metadata": {"annotations": {"cloud.google.com/injection-mode": "direct"}}}'
    Copy to Clipboard Toggle word wrap

    이 모드에서 Workload Identity Federation webhook 컨트롤러는 Google Cloud 외부 인증 정보 구성을 직접 생성하여 Pod에 삽입합니다.

  5. 다음 명령을 실행하여 Google Cloud CLI(gcloud)를 사용하여 워크로드에 대한 권한을 지정합니다. 

    $ gcloud projects add-iam-policy-binding <project_id> --member "<service_account_email>" --role "projects/<project_id>/roles/<role_for_workload_permissions>"
    Copy to Clipboard Toggle word wrap

    & lt;role_for_workload_permissions& gt;를 워크로드의 역할로 바꿉니다. 워크로드에 필요한 권한을 부여하는 역할을 지정합니다.

검증

  • 서비스 계정 구성을 확인하려면 다음 명령을 실행하여 ServiceAccount 매니페스트를 검사합니다. 

    $ oc get serviceaccount <service_account_name>
    Copy to Clipboard Toggle word wrap

    다음 예에서 service-a/app-x OpenShift Container Platform 서비스 계정은 app-x 라는 Google Cloud 서비스 계정을 가장할 수 있습니다. 

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: app-x
  namespace: service-a
  annotations:
    cloud.google.com/workload-identity-provider: "projects/<project_number>/locations/global/workloadIdentityPools/<identity_pool>/providers/<identity_provider>"
    1 
    
    cloud.google.com/service-account-email: "app-x@project.iam.googleapis.com"
    cloud.google.com/audience: "sts.googleapis.com"
    2 
    
    cloud.google.com/token-expiration: "86400"
    3 
    
    cloud.google.com/gcloud-run-as-user: "1000"
    cloud.google.com/injection-mode: "direct"
    4
    Copy to Clipboard Toggle word wrap
    1
    클러스터의 서비스 계정에 대한 워크로드 ID 공급자입니다.
    2
    워크로드 ID 공급자에 허용되는 대상입니다.
    3
    토큰 만료 시간(초)입니다.
    4
    직접 외부 인증 정보 구성 삽입 모드입니다.

2.9.2.3. GCP 워크로드 ID로 인증하는 고객 워크로드 배포
링크 복사

애플리케이션에서 단기 인증을 사용하려면 OpenShift Container Platform 서비스 계정을 사용하도록 관련 Pod를 구성해야 합니다. OpenShift Container Platform 서비스 계정을 사용하면 Webhook가 Pod를 변경하여 Google Cloud 서비스 계정을 가장할 수 있습니다.

다음 예제에서는 OpenShift Container Platform 서비스 계정을 사용하는 Pod를 배포하고 구성을 확인하는 방법을 보여줍니다.

사전 요구 사항

  • Google Cloud 클러스터에서 GCP 워크로드 ID를 사용합니다.
  • 페더레이션 Google Cloud 서비스 계정을 생성했습니다.
  • Google Cloud용 OpenShift Container Platform 서비스 계정을 생성했습니다.

프로세스

  1. GCP 워크로드 ID로 인증하는 Pod를 생성하려면 다음 예와 유사한 배포 YAML 파일을 생성합니다.

    배포 샘플

    apiVersion: apps/v1
kind: Deployment
metadata:
  name: ubi9
spec:
  replicas: 1
  selector:
    matchLabels:
      app: ubi9
  template:
    metadata:
      labels:
        app: ubi9
    spec:
      serviceAccountName: "<service_account_name>"
    1 
    
      containers:
        - name: ubi
          image: 'registry.access.redhat.com/ubi9/ubi-micro:latest'
          command:
            - /bin/sh
            - '-c'
            - |
              sleep infinity
    Copy to Clipboard Toggle word wrap

    1
    OpenShift Container Platform 서비스 계정의 이름을 지정합니다.

  2. 다음 명령을 실행하여 배포 파일을 적용합니다. 

    $ oc apply -f deployment.yaml
    Copy to Clipboard Toggle word wrap

검증

  • Pod가 단기 인증을 사용하고 있는지 확인하려면 다음 명령을 실행합니다. 

    $ oc get pods -o json | jq -r '.items[0].spec.containers[0].env[] | select(.name=="GOOGLE_APPLICATION_CREDENTIALS")'
    Copy to Clipboard Toggle word wrap

    출력 예

    {   "name": "GOOGLE_APPLICATION_CREDENTIALS",   "value": "/var/run/secrets/workload-identity/federation.json" }
    Copy to Clipboard Toggle word wrap

    GOOGLE_APPLICATION_CREDENTIALS 환경 변수가 있으면 GCP 워크로드 ID로 인증하는 Pod를 나타냅니다.

  • 추가 구성 세부 정보를 확인하려면 Pod 사양을 검사합니다. 다음 예제 pod 사양은 웹 후크가 변경되는 환경 변수 및 볼륨 필드를 보여줍니다.

    직접 삽입 모드가 있는 Pod 사양의 예:

    apiVersion: v1
kind: Pod
metadata:
  name: app-x-pod
  namespace: service-a
annotations:
  cloud.google.com/skip-containers: "init-first,sidecar"
  cloud.google.com/external-credentials-json: |-
    1 
    
    {
      "type": "external_account",
      "audience": "//iam.googleapis.com/projects/<project_number>/locations/global/workloadIdentityPools/on-prem-kubernetes/providers/<identity_provider>",
      "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
      "token_url": "https://sts.googleapis.com/v1/token",
      "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/app-x@project.iam.gserviceaccount.com:generateAccessToken",
      "credential_source": {
        "file": "/var/run/secrets/sts.googleapis.com/serviceaccount/token",
        "format": {
          "type": "text"
        }
      }
    }
spec:
  serviceAccountName: app-x
  initContainers:
  - name: init-first
    image: container-image:version
  containers:
  - name: sidecar
    image: container-image:version
  - name: container-name
    image: container-image:version
    env:
    2 
    
    - name: GOOGLE_APPLICATION_CREDENTIALS
      value: /var/run/secrets/gcloud/config/federation.json
    - name: CLOUDSDK_COMPUTE_REGION
      value: asia-northeast1
    volumeMounts:
    - name: gcp-iam-token
      readOnly: true
      mountPath: /var/run/secrets/sts.googleapis.com/serviceaccount
    - mountPath: /var/run/secrets/gcloud/config
      name: external-credential-config
      readOnly: true
  volumes:
  - name: gcp-iam-token
    projected:
      sources:
      - serviceAccountToken:
          audience: sts.googleapis.com
          expirationSeconds: 86400
          path: token
  - downwardAPI:
      defaultMode: 288
      items:
      - fieldRef:
          apiVersion: v1
          fieldPath: metadata.annotations['cloud.google.com/external-credentials-json']
        path: federation.json
    name: external-credential-config
    Copy to Clipboard Toggle word wrap

    1
    웹 후크 컨트롤러에서 생성한 외부 인증 정보 구성입니다. Kubernetes DownwardAPI 볼륨은 구성을 컨테이너 파일 시스템에 마운트합니다.
    2
    토큰 기반 인증을 위한 Webhook 삽입 환경 변수입니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat