11.2. 기본 서비스 계정
OpenShift Container Platform 클러스터에는 클러스터 관리를 위해 기본 서비스 계정이 포함되어 있으며, 프로젝트마다 더 많은 서비스 계정이 생성됩니다.
11.2.1. 기본 클러스터 서비스 계정
다양한 인프라 컨트롤러가 서비스 계정 자격 증명을 사용하여 실행됩니다. 다음 서비스 계정은 서버 시작 시 OpenShift Container Platform 인프라 프로젝트(openshift-infra)에서 생성되며, 클러스터 전체에서 다음 역할이 제공됩니다.
| 서비스 계정 | 설명 |
|---|---|
|
|
|
|
|
|
|
|
|
11.2.2. 기본 프로젝트 서비스 계정 및 역할
프로젝트당 3개의 서비스 계정이 자동으로 생성됩니다.
| 서비스 계정 | 사용법 |
|---|---|
|
|
빌드 Pod에서 사용합니다. 내부 Docker 레지스트리를 사용하여 프로젝트의 이미지 스트림으로 이미지를 밀어 넣을 수 있는 |
|
|
배포 Pod에서 사용하며 |
|
| 다른 서비스 계정을 지정하지 않는 한 기타 모든 Pod를 실행하는 데 사용합니다. |
프로젝트의 모든 서비스 계정에는 system:image-puller 역할이 부여되어 내부 컨테이너 이미지 레지스트리를 사용하여 프로젝트의 모든 이미지 스트림에서 이미지를 가져올 수 있습니다.
11.2.3. 자동으로 생성된 서비스 계정 토큰 시크릿 정보
4.12 에서 OpenShift Container Platform은 기본적으로 LegacyServiceAccountTokenNoAutoGeneration 기능을 활성화하는 업스트림 Kubernetes의 개선 사항을 적용하고 있습니다. 결과적으로 새 서비스 계정(SA)을 생성할 때 서비스 계정 토큰 시크릿이 더 이상 자동으로 생성되지 않습니다. 이전에는 OpenShift Container Platform에서 새 SA마다 시크릿에 서비스 계정 토큰을 자동으로 추가했습니다.
그러나 일부 기능 및 워크로드에는 Kubernetes API 서버와 통신하기 위해 서비스 계정 토큰 시크릿(예: OpenShift Controller Manager)이 필요합니다. 이 요구 사항은 향후 릴리스에서 변경되지만 OpenShift Container Platform 4.12에는 남아 있습니다. 결과적으로 서비스 계정 토큰 보안이 필요한 경우 TokenRequest API를 수동으로 사용하여 바인딩된 서비스 계정 토큰을 요청하거나 서비스 계정 토큰 시크릿을 생성해야 합니다.
4.12로 업그레이드한 후 기존 서비스 계정 토큰 보안이 삭제되지 않고 예상대로 계속 작동합니다.
4.12에서는 서비스 계정 토큰 보안이 자동으로 생성됩니다. 서비스 계정당 두 개의 시크릿을 생성하는 대신 OpenShift Container Platform은 이제 하나만 생성합니다. 향후 릴리스에서는 숫자가 0으로 더 감소합니다. dockercfg 보안은 여전히 생성되었으며 업그레이드 중에 보안은 삭제되지 않습니다.
추가 리소스
- 바인딩된 서비스 계정 토큰 요청에 대한 자세한 내용은 볼륨 프로젝션을 사용하여 바인딩된 서비스 계정 토큰 구성을참조하십시오.
- 서비스 계정 토큰 시크릿 생성에 대한 자세한 내용은 서비스 계정 토큰 시크릿 생성을 참조하십시오.