14.2. 볼륨 프로젝션을 사용한 바인딩된 서비스 계정 토큰 구성

볼륨 프로젝션을 통해 바인딩된 서비스 계정 토큰을 요청하도록 pod를 구성할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있습니다.
  • 서비스 계정을 생성했습니다. 이 절차에서는 서비스 계정의 이름이 build-robot이라고 가정합니다.

절차

  1. 선택 사항: 서비스 계정 발행자를 설정합니다.

    바인딩된 토큰이 클러스터 내에서만 사용되는 경우 일반적으로 이 단계가 필요하지 않습니다.

    주의

    serviceAccountIssuer 필드를 업데이트하고 이미 사용 중인 바인딩 토큰이 있으면 이전 발급자 값이 있는 모든 바인딩 토큰이 무효화됩니다. 바인딩된 토큰 소유자가 발급자 변경에 대한 명시적으로 지원이 없는 경우, 소유자는 Pod를 다시 시작할 때까지 새 바인딩 토큰을 요청하지 않습니다.

    필요에 따라 다음 명령을 사용하여 클러스터의 모든 Pod를 직접 다시 시작할 수 있습니다. 이 명령을 실행하면 모든 네임스페이스에서 실행 중인 모든 Pod가 삭제되므로 서비스가 중단됩니다. 이 Pod는 삭제 후 자동으로 다시 시작됩니다.

    $ for I in $(oc get ns -o jsonpath='{range .items[*]} {.metadata.name}{"\n"} {end}'); \
          do oc delete pods --all -n $I; \
          sleep 1; \
          done
    1. cluster Authentication 오브젝트를 편집합니다.

      $ oc edit authentications cluster
    2. spec.serviceAccountIssuer 필드를 원하는 서비스 계정 발행자 값으로 설정합니다.

      spec:
        serviceAccountIssuer: https://test.default.svc 1
      1
      이 값은 바인딩된 토큰의 수신자가 토큰 서명을 확인하는 데 필요한 공개 키를 공급할 수 있는 URL이어야 합니다. 기본값은 https://kubernetes.default.svc입니다.
  2. 볼륨 프로젝션을 통해 바인딩된 서비스 계정 토큰을 사용하도록 pod를 구성합니다.

    1. 다음 콘텐츠를 사용하여 pod-projected-svc-token.yaml이라는 파일을 생성합니다.

      apiVersion: v1
      kind: Pod
      metadata:
        name: nginx
      spec:
        containers:
        - image: nginx
          name: nginx
          volumeMounts:
          - mountPath: /var/run/secrets/tokens
            name: vault-token
        serviceAccountName: build-robot 1
        volumes:
        - name: vault-token
          projected:
            sources:
            - serviceAccountToken:
                path: vault-token 2
                expirationSeconds: 7200 3
                audience: vault 4
      1
      기존 서비스 계정에 대한 참조입니다.
      2
      토큰을 프로젝션할 파일의 마운트 지점을 기준으로 하는 경로입니다.
      3
      필요한 경우 서비스 계정 토큰 만료 시간을 초 단위로 설정합니다. 기본값은 3600초(1시간)이며 600초(10분) 이상이어야 합니다. 토큰이 수명의 80% 이상을 경과했거나 24시간 이상 된 경우, kubelet에서 토큰을 회전합니다.
      4
      필요한 경우 의도된 토큰 오디언스를 설정합니다. 토큰 수신자는 수신자 ID가 토큰의 오디언스 클레임과 일치하는지 확인하고 일치하지 않는 경우 토큰을 거부해야 합니다. 오디언스는 기본적으로 API 서버의 식별자입니다.
    2. Pod를 생성합니다.

      $ oc create -f pod-projected-svc-token.yaml

      kubelet은 pod를 대신하여 토큰을 요청 및 저장하고, 구성 가능한 파일 경로에 있는 pod에서 토큰을 사용할 수 있도록 설정하고, 토큰이 만료되면 토큰을 갱신합니다.

  3. 바인딩된 토큰을 사용하는 애플리케이션에서는 토큰이 회전할 때 다시 로드하는 작업을 처리해야 합니다.

    kubelet은 토큰이 수명의 80% 이상을 경과했거나 24시간 이상된 경우, 토큰을 회전합니다.