18.7. 멀티 테넌시 이해
Red Hat Advanced Cluster Security for Kubernetes에서는 중앙 인스턴스 내에서 멀티 테넌시를 구현할 수 있는 방법을 제공합니다.
RHACS 내에서 RBAC(역할 기반 액세스 제어) 및 액세스 범위를 사용하여 멀티 테넌시를 구현할 수 있습니다.
18.7.1. 리소스 범위 이해
RHACS에는 RBAC 내에서 사용되는 리소스가 포함되어 있습니다. 리소스에 대한 권한을 연결하는 것 외에도 각 리소스의 범위도 지정됩니다.
RHACS에서 리소스의 범위는 다음 유형으로 지정됩니다.
- 리소스가 클러스터 또는 네임스페이스에 할당되지 않은 전역 범위
- 특정 클러스터에 리소스가 할당되는 클러스터 범위
- 특정 네임스페이스에 리소스가 할당되는 네임스페이스 범위
리소스 범위는 사용자 정의 액세스 범위를 생성할 때 중요합니다. 사용자 지정 액세스 범위는 RHACS 내에서 멀티 테넌시를 만드는 데 사용됩니다.
클러스터 또는 네임스페이스 범위가 지정된 리소스만 액세스 범위의 범위에 적용할 수 있습니다. 전역적으로 범위가 지정된 리소스는 액세스 범위에 따라 범위가 지정되지 않습니다. 따라서 RHACS 내의 멀티 테넌시는 클러스터 또는 네임스페이스에서 범위가 지정된 리소스에 대해서만 수행할 수 있습니다.
18.7.2. 네임스페이스 구성당 멀티 테넌시 예
RHACS 내의 멀티 테넌시의 일반적인 예는 사용자를 특정 네임스페이스와 연결하고 특정 네임스페이스에 대한 액세스만 허용하는 것입니다.
다음 예제에서는 사용자 지정 권한 세트, 액세스 범위 및 역할을 결합합니다. 이 역할로 할당된 사용자 또는 그룹은 특정 네임스페이스 또는 클러스터 범위의 배포에 대한 CVE 정보, 위반 및 정보만 볼 수 있습니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
액세스 제어를 선택합니다. - 권한 집합 을 선택합니다.
- Create permission set 을 클릭합니다.
- 권한 세트의 이름 및 설명을 입력합니다.
다음 리소스 및 액세스 수준을 선택하고 저장을 클릭합니다.
-
READ경고 -
배포준비 -
READDeploymentExtension -
READImage -
READK8sRole -
READK8sRoleBinding -
READK8sSubject -
READNetworkGraph -
READNetworkPolicy -
READ시크릿 -
READServiceAccount
-
- 액세스 범위를 선택합니다.
- 액세스 범위 생성을 클릭합니다.
- 액세스 범위에 대한 이름 및 설명을 입력합니다.
- 허용된 리소스 섹션에서 범위 지정에 사용할 네임스페이스를 선택하고 저장을 클릭합니다.
- 역할을 선택합니다.
- 역할 생성을 클릭합니다.
- 역할에 대한 이름 및 설명을 입력합니다.
- 이전에 생성된 권한 세트 및 역할의 액세스 범위를 선택하고 저장을 클릭합니다.
- 필요한 사용자 또는 그룹에 역할을 할당합니다. 사용자 또는 그룹에 역할 할당을 참조하십시오.
샘플 역할이 있는 사용자의 RHACS 대시보드 옵션은 관리자가 사용할 수 있는 옵션과 비교하여 최소입니다. 사용자가 관련 페이지만 볼 수 있습니다.
18.7.3. 제한
RHACS 내에서 멀티 테넌시를 달성하는 것은 글로벌 범위가 있는 리소스에는 수행할 수 없습니다.
다음 리소스에는 글로벌 범위가 있습니다.
- 액세스
- 관리
- 탐지
- Integration
- VulnerabilityManagementApprovals
- VulnerabilityManagementRequests
- WatchedImage
- WorkflowAdministration
이러한 리소스는 RHACS Central 인스턴스 내의 모든 사용자가 공유되며 범위를 지정할 수 없습니다.
