1.2. 역할 기반 액세스 제어 구현
Kubernetes RBAC용 Red Hat Advanced Cluster Management는 콘솔 수준 및 API 수준에서 검증됩니다. 사용자 액세스 역할 권한에 따라 콘솔의 작업을 활성화하거나 비활성화할 수 있습니다.
멀티 클러스터 엔진 Operator는 Red Hat Advanced Cluster Management의 전제 조건 및 클러스터 라이프사이클 기능입니다. 다중 클러스터 엔진 Operator를 사용하여 클러스터의 RBAC를 관리하려면 Kubernetes Operator 역할 기반 액세스 제어 설명서의 클러스터 라이프사이클 다중 클러스터 엔진 의 RBAC 지침을 사용합니다.
Red Hat Advanced Cluster Management의 특정 라이프 사이클에 대한 RBAC에 대한 자세한 내용은 다음 섹션을 참조하십시오.
1.2.1. 애플리케이션 라이프사이클 RBAC
애플리케이션을 생성하면 서브스크립션
네임스페이스가 생성되고 서브스크립션
네임스페이스에 구성 맵이 생성됩니다. channel
네임스페이스에도 액세스할 수 있어야 합니다. 서브스크립션을 적용하려면 서브스크립션 관리자여야 합니다. 애플리케이션 관리에 대한 자세한 내용은 서브스크립션 관리자로 허용 및 거부 목록 생성을 참조하십시오.
다음 애플리케이션 라이프사이클 RBAC 작업을 확인합니다.
username
이라는 사용자를 사용하여 모든 관리 클러스터에서 애플리케이션을 생성하고 관리합니다. 클러스터 역할 바인딩을 생성하고 사용자 이름에 바인딩해야합니다
. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin --user=<username>
이 역할은 모든 리소스 및 작업에 액세스할 수 있는 슈퍼 유저입니다. 이 역할이 있는 네임스페이스에 애플리케이션 네임스페이스 및 모든 애플리케이션 리소스를 생성할 수 있습니다.
여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성합니다.
open-cluster-management:subscription-admin
클러스터 역할에 클러스터 역할 바인딩을 생성하고 사용자 이름 에게 바인딩해야합니다
. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
username
사용자로cluster-name
관리 클러스터에서application-name
이라는 애플리케이션을 생성하고 관리합니다.open-cluster-management:admin:<cluster-name> 클러스터
역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여사용자
이름에 바인딩해야 합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>
이 역할에는 관리형 클러스터의
cluster-name
의 모든애플리케이션
리소스에 대한 읽기 및 쓰기 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.admin
역할을 사용하여애플리케이션
네임스페이스에 네임스페이스 역할 바인딩을 생성하고 다음 명령을입력하여 사용자
이름에 바인딩합니다.oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=admin --user=<username>
이 역할에는 애플리케이션 namspace의 모든
애플리케이션
리소스에 대한 읽기 및 쓰기 권한이 있습니다.다른 애플리케이션에 대한 액세스가 필요하거나 애플리케이션이 여러 네임스페이스에 배포된 경우 이 작업을 반복합니다.
여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성할 수 있습니다.
open-cluster-management:subscription-admin
클러스터 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여사용자
이름에 바인딩합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
사용자 이름이
username
cluster-name
이라는 관리 클러스터에서 애플리케이션을 보려면open-cluster-management:view:
cluster 역할에 클러스터 역할 바인딩을 생성하고 사용자 이름 에 바인딩합니다. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
이 역할에는 관리형 클러스터의
cluster-name
의 모든애플리케이션
리소스에 대한 읽기 액세스 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.view
역할을 사용하여애플리케이션
네임스페이스에 네임스페이스 역할 바인딩을 생성하고사용자 이름
에 바인딩합니다. 다음 명령을 실행합니다.oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=view --user=<username>
이 역할에는 애플리케이션 namspace의 모든
애플리케이션
리소스에 대한 읽기 액세스 권한이 있습니다.다른 애플리케이션에 대한 액세스가 필요한 경우 이 단계를 반복합니다.
1.2.1.1. 애플리케이션 라이프사이클을 위한 콘솔 및 API RBAC 테이블
애플리케이션 라이프사이클에 대한 다음 콘솔 및 API RBAC 표를 확인합니다.
리소스 | admin | edit | view |
---|---|---|---|
애플리케이션 | 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
채널 | 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
서브스크립션 | 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
배치 규칙 | 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
API | admin | edit | view |
---|---|---|---|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
1.2.2. 거버넌스 라이프사이클 RBAC
정책이 생성되면 클러스터에 정책이 생성됩니다. 거버넌스 라이프사이클의 역할은 네임스페이스 범위입니다. 또한 사용자는 관리 클러스터에 액세스할 수 있어야 합니다.
거버넌스 라이프사이클 작업을 수행하려면 정책이 생성된 네임스페이스에 대한 액세스와 정책이 적용되는 관리 클러스터에 대한 액세스 권한이 있어야 합니다.
다음 작업을 확인합니다.
정책 네임스페이스에
정책을
생성하고cluster-name
이라는 관리형 클러스터에 적용하려면open-cluster-management:admin:<cluster-name> 클러스터
역할을 사용하여정책
네임스페이스에 네임스페이스 역할 바인딩을 생성합니다. 다음 명령을 실행합니다.oc create rolebinding <role-binding-name> -n <policy-namespace> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>
관리 클러스터에서 정책을 보려면
open-cluster-management:view:<cluster-name> 클러스터
역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 사용하여view
역할에 바인딩합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
1.2.2.1. 거버넌스 라이프사이클을 위한 콘솔 및 API RBAC 테이블
거버넌스 라이프사이클은 다음 콘솔 및 API RBAC 표를 확인합니다.
리소스 | admin | edit | view |
---|---|---|---|
Policies | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
PlacementBindings | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
배치 | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
PlacementRules (더 이상 사용되지 않음) | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
PolicyAutomations | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
API | admin | edit | view |
---|---|---|---|
| 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
| 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
| 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
1.2.3. 가시성 RBAC
관리 대상 클러스터에 대한 관찰 가능 지표를 보려면 hub 클러스터의 해당 관리 클러스터에 대한 보기
액세스 권한이 있어야 합니다. 다음 관찰 기능 목록을 확인합니다.
관리형 클러스터 메트릭에 액세스합니다.
hub 클러스터의 관리 클러스터 역할에 대한
보기
역할이 할당되지 않은 경우 사용자는 관리되는 클러스터 메트릭에 대한 액세스가 거부됩니다. 다음 명령을 실행하여 사용자가 관리 클러스터 네임스페이스에서managedClusterView
역할을 생성할 권한이 있는지 확인합니다.oc auth can-i create ManagedClusterView -n <managedClusterName> --as=<user>
클러스터 관리자는 관리 클러스터 네임스페이스에서
managedClusterView
역할을 생성합니다. 다음 명령을 실행합니다.oc create role create-managedclusterview --verb=create --resource=managedclusterviews -n <managedClusterName>
그런 다음 역할을 바인딩하여 사용자에게 적용하고 바인딩합니다. 다음 명령을 실행합니다.
oc create rolebinding user-create-managedclusterview-binding --role=create-managedclusterview --user=<user> -n <managedClusterName>
리소스를 검색합니다.
사용자가 리소스 유형에 액세스할 수 있는지 확인하려면 다음 명령을 사용합니다.
oc auth can-i list <resource-type> -n <namespace> --as=<rbac-user>
참고: &
lt;resource-type>
;은 복수형이어야 합니다.Grafana에서 관찰 가능한 데이터를 보려면 관리 클러스터의 동일한 네임스페이스에
RoleBinding
리소스가 있어야 합니다.다음
RoleBinding
예제를 확인합니다.kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: <replace-with-name-of-rolebinding> namespace: <replace-with-name-of-managedcluster-namespace> subjects: - kind: <replace with User|Group|ServiceAccount> apiGroup: rbac.authorization.k8s.io name: <replace with name of User|Group|ServiceAccount> roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: view
자세한 내용은 역할 바인딩 정책을 참조하십시오. 관찰 기능을 구성하기 위한 관찰 기능 사용자 지정을 참조하십시오.
1.2.3.1. 관찰 가능 라이프사이클을 위한 콘솔 및 API RBAC 테이블
관찰 기능 구성 요소를 관리하려면 다음 API RBAC 표를 참조하십시오.
API | admin | edit | view |
| 생성, 읽기, 업데이트 및 삭제 | 읽기, 업데이트 | read |
| 생성, 가져오기, 목록, 감시, 업데이트, 삭제, 패치 | - | - |
| get, list, watch | get, list, watch | get, list, watch |
클러스터 보안에 대한 자세한 내용은 위험 및 규정 준수 를 참조하십시오.