Menu Close

2.10.2. 승인 플러그인으로 컨트롤 플레인 보호

RBAC는 사용자와 그룹 및 사용 가능한 프로젝트 간의 액세스 규칙을 제어하지만 승인 플러그인은 OpenShift Container Platform 마스터 API에 대한 액세스를 정의합니다. 승인 플러그인은 다음과 같은 일련의 규칙으로 구성됩니다.

  • 기본 승인 플러그인: 이는 OpenShift Container Platform 컨트롤 플레인의 구성 요소에 적용되는 기본 정책 및 리소스 제한 세트를 구현합니다.
  • 변경 승인 플러그인: 이러한 플러그인은 동적으로 승인 체인을 확장합니다. 이 플러그인은 웹 후크 서버를 호출하고 요청을 인증하며 선택된 리소스를 수정할 수 있습니다.
  • 승인 플러그인 검증: 이러한 경우 선택한 리소스에 대한 요청의 유효성을 검사하고 요청의 유효성을 검사하고 리소스가 다시 변경되지 않는지 확인할 수 있습니다.

API 요청이 체인의 승인 플러그인을 진행하는 중에 실패가 발생하여 요청이 거부됩니다. 각 승인 플러그인은 특정 리소스와 연관되어 있으며 해당 리소스의 요청에만 응답합니다.

2.10.2.1. SCC(보안 컨텍스트 제약 조건)

SCC(보안 컨텍스트 제약 조건 )를 사용하여 시스템에 적용하기 위해 Pod를 실행해야 하는 조건 집합을 정의할 수 있습니다.

SCC에서 관리할 수 있는 몇 가지 요소는 다음과 같습니다.

  • 권한이 있는 컨테이너 실행
  • 컨테이너가 추가하도록 요청할 수 있는 기능
  • 호스트 디렉터리를 볼륨으로 사용
  • 컨테이너의 SELinux 컨텍스트
  • 컨테이너 사용자 ID

필수 권한이 있으면 필요한 경우 기본 SCC 정책의 허용 범위를 넓게 조정할 수 있습니다.