5.6. 서비스에서 바인딩 데이터 노출
애플리케이션 개발자는 워크로드를 구축하고 연결하기 위해 서비스 지원에 액세스할 수 있어야 합니다. 워크로드를 백업 서비스에 연결하는 것은 항상 어려운 일입니다. 각 서비스 공급자는 시크릿에 액세스하여 워크로드에서 사용할 수 있는 다른 방법이 필요하기 때문입니다.
Service Binding Operator를 사용하면 애플리케이션 개발자가 수동 절차 없이 바인딩 연결을 구성하지 않고 운영자가 관리하는 백업 서비스와 쉽게 워크로드를 바인딩할 수 있습니다. Service Binding Operator가 바인딩 데이터를 제공하기 위해 Operator 공급자 또는 백업 서비스를 생성하는 사용자로 Service Binding Operator에서 자동으로 탐지할 바인딩 데이터를 노출해야 합니다. 그런 다음 Service Binding Operator는 백업 서비스에서 바인딩 데이터를 자동으로 수집하고 이를 워크로드와 공유하여 일관되고 예측 가능한 환경을 제공합니다.
5.6.1. 바인딩 데이터를 노출하는 방법
이 섹션에서는 바인딩 데이터를 노출하는 데 사용할 수 있는 방법을 설명합니다.
워크로드 요구 사항 및 환경, 그리고 제공된 서비스와 함께 작동하는 방식을 알고 이해하고 있는지 확인합니다.
바인딩 데이터는 다음과 같은 상황에서 노출됩니다.
백업 서비스는 프로비저닝된 서비스 리소스로 사용할 수 있습니다.
연결하려는 서비스는 Service Binding 사양을 준수합니다. 필요한 모든 바인딩 데이터 값을 사용하여
Secret리소스를 생성하고 백업 서비스 CR(사용자 정의 리소스)에서 참조해야 합니다. 모든 바인딩 데이터 값의 감지는 automatic입니다.백업 서비스는 프로비저닝된 서비스 리소스로 사용할 수 없습니다.
백업 서비스의 바인딩 데이터를 노출해야 합니다. 워크로드 요구 사항 및 환경에 따라 바인딩 데이터를 노출하는 다음 방법 중 하나를 선택할 수 있습니다.
- 직접 시크릿 참조
- CRD(사용자 정의 리소스 정의) 또는 CR 주석을 통해 바인딩 데이터 선언
- 소유 리소스를 통한 바인딩 데이터 감지
5.6.1.1. 프로비저닝된 서비스
프로비저닝된 서비스는 백업 서비스 CR의 .status.binding.name 필드에 저장된 Secret 리소스에 대한 참조와 함께 백업 서비스 CR을 나타냅니다.
Operator 공급자 또는 백업 서비스를 생성하는 사용자는 Secret 리소스를 생성하고 백업 서비스 CR의 .status.binding.name 섹션에서 참조하여 이 방법을 사용하여 서비스 바인딩 사양을 준수할 수 있습니다. 이 시크릿 리소스는 워크로드가 백업 서비스에 연결하는 데 필요한 모든 바인딩 데이터 값을 제공해야 합니다.
다음 예제에서는 CR에서 참조하는 백업 서비스 및 Secret 리소스를 나타내는 AccountService CR을 보여줍니다.
예: AccountService CR
apiVersion: example.com/v1alpha1
kind: AccountService
name: prod-account-service
spec:
...
status:
binding:
name: hippo-pguser-hippo
예: 참조된 시크릿 리소스
apiVersion: v1 kind: Secret metadata: name: hippo-pguser-hippo data: password: "MTBz" user: "Z3Vlc3Q=" ...
서비스 바인딩 리소스를 생성할 때 다음과 같이 ServiceBinding 사양에서 AccountService 리소스의 세부 정보를 직접 제공할 수 있습니다.
예: ServiceBinding 리소스
apiVersion: binding.operators.coreos.com/v1alpha1
kind: ServiceBinding
metadata:
name: account-service
spec:
...
services:
- group: "example.com"
version: v1alpha1
kind: AccountService
name: prod-account-service
application:
name: spring-petclinic
group: apps
version: v1
resource: deployments
servicebinding.io API 그룹을 사용한 Service Binding(Spec API 기술 프리뷰) 은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다. Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.
예: Specification API의 ServiceBinding 리소스
apiVersion: servicebinding.io/v1alpha3
kind: ServiceBinding
metadata:
name: account-service
spec:
...
service:
apiVersion: example.com/v1alpha1
kind: AccountService
name: prod-account-service
application:
apiVersion: apps/v1
kind: Deployment
name: spring-petclinic
이 메서드는 hippo-pguser-hippo 에서 Secret 리소스를 워크로드에 예상할 바인딩 데이터로 참조하는 모든 키를 노출합니다.
5.6.1.2. 직접 시크릿 참조
Service Binding 정의에서 참조할 수 있는 Secret 리소스에서 필요한 모든 바인딩 데이터 값을 사용할 수 있는 경우 이 메서드를 사용할 수 있습니다. 이 메서드에서 ServiceBinding 리소스는 Secret 리소스를 직접 참조하여 서비스에 연결합니다. Secret 리소스의 모든 키는 바인딩 데이터로 노출됩니다.
예: binding.operators.coreos.com API 사양
apiVersion: binding.operators.coreos.com/v1alpha1
kind: ServiceBinding
metadata:
name: account-service
spec:
...
services:
- group: ""
version: v1
kind: Secret
name: hippo-pguser-hippo
예: servicebinding.io API와 호환되는 사양
apiVersion: servicebinding.io/v1alpha3
kind: ServiceBinding
metadata:
name: account-service
spec:
...
service:
apiVersion: v1
kind: Secret
name: hippo-pguser-hippo
5.6.1.3. CRD 또는 CR 주석을 통해 바인딩 데이터 선언
이 메서드를 사용하여 지원 서비스의 리소스에 주석을 달아 바인딩 데이터를 특정 주석으로 노출할 수 있습니다. metadata 섹션에 주석을 추가하면 백업 서비스의 CR 및 CRD가 변경됩니다. Service Binding Operator는 CR 및 CRD에 추가된 주석을 감지한 다음 주석을 기반으로 추출된 값으로 Secret 리소스를 생성합니다.
다음 예제에서는 metadata 섹션에 추가된 주석과 리소스의 참조된 ConfigMap 오브젝트를 보여줍니다.
예: CR 주석에 정의된 Secret 오브젝트에서 바인딩 데이터 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
service.binding: 'path={.metadata.name}-pguser-{.metadata.name},objectType=Secret'
...
이전 예제에서는 hippo-pguser-hippo 로 확인되는 {.metadata.name}-pguser-{.metadata.name} 템플릿에 시크릿 이름의 이름을 배치합니다. 템플릿에는 여러 개의 JSONPath 표현식이 포함될 수 있습니다.
예: 리소스의 참조된 Secret 오브젝트
apiVersion: v1 kind: Secret metadata: name: hippo-pguser-hippo data: password: "MTBz" user: "Z3Vlc3Q="
예: CR 주석에 정의된 ConfigMap 오브젝트에서 바인딩 데이터 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
service.binding: 'path={.metadata.name}-config,objectType=ConfigMap'
...
이전 예제에서는 hippo-config로 확인되는 템플릿에는 여러 개의 JSONPath 표현식이 포함될 수 있습니다.
{.metadata.name}-config 템플릿에 구성 맵의 이름을 배치합니다.
예: 리소스에서 참조된 ConfigMap 오브젝트
apiVersion: v1 kind: ConfigMap metadata: name: hippo-config data: db_timeout: "10s" user: "hippo"
5.6.1.4. 소유 리소스를 통한 바인딩 데이터 감지
백업 서비스에서 바인딩 데이터를 탐지하는 데 사용할 수 있는 경로, 서비스, 구성 맵 또는 시크릿과 같은 하나 이상의 Kubernetes 리소스를 소유하는 경우 이 방법을 사용할 수 있습니다. 이 메서드에서 Service Binding Operator는 백업 서비스 CR에서 소유한 리소스의 바인딩 데이터를 탐지합니다.
다음 예제에서는 Service API 옵션을 보여줍니다.
Binding CR에서 Resourcestrue 로 설정된 detectBinding
예제
apiVersion: binding.operators.coreos.com/v1alpha1
kind: ServiceBinding
metadata:
name: spring-petclinic-detect-all
namespace: my-petclinic
spec:
detectBindingResources: true
services:
- group: postgres-operator.crunchydata.com
version: v1beta1
kind: PostgresCluster
name: hippo
application:
name: spring-petclinic
group: apps
version: v1
resource: deployments
이전 예에서 PostgresCluster 사용자 정의 서비스 리소스는 경로, 서비스, 구성 맵 또는 시크릿과 같은 하나 이상의 Kubernetes 리소스를 소유합니다.
Service Binding Operator는 보유된 각 리소스에 노출된 바인딩 데이터를 자동으로 탐지합니다.
5.6.2. 데이터 모델
주석에 사용되는 데이터 모델은 특정 규칙을 따릅니다.
서비스 바인딩 주석은 다음 규칙을 사용해야 합니다.
service.binding(/<NAME>)?:
"<VALUE>|(path=<JSONPATH_TEMPLATE>(,objectType=<OBJECT_TYPE>)?(,elementType=<ELEMENT_TYPE>)?(,sourceKey=<SOURCE_KEY>)?(,sourceValue=<SOURCE_VALUE>)?)"다음과 같습니다.
|
|
바인딩 값을 노출할 이름을 지정합니다. |
|
|
|
데이터 모델은 path,elementType,, sourceobjectType Key 및 sourceValue 매개변수에 허용된 값 및 의미에 대한 세부 정보를 제공합니다.
표 5.3. 매개변수 및 설명
| 매개변수 | 설명 | 기본값 |
|---|---|---|
|
| 중괄호 {}로 묶은 JSONPath 표현식을 구성하는 JSONPath 템플릿. | 해당 없음 |
|
|
|
|
|
|
|
|
|
|
바인딩 데이터를 수집할 때 바인딩 보안에 추가할 참고:
| 해당 없음 |
|
|
맵 슬라이스에 키를 지정합니다. 참고:
| 해당 없음 |
sourceKey 및 sourceValue 매개변수는 경로 매개 변수에 표시된 요소가 ConfigMap 또는 Secret 리소스를 참조하는 경우에만 적용할 수 있습니다.
5.6.3. RBAC 요구 사항
Service Binding Operator를 사용하여 백업 서비스 바인딩 데이터를 노출하려면 특정 RBAC(역할 기반 액세스 제어) 권한이 필요합니다. ClusterRole 리소스의 rules 필드에 특정 동사를 지정하여 백업 서비스 리소스에 대한 RBAC 권한을 부여합니다. 이러한 규칙을 정의하면 Service Binding Operator가 클러스터 전체에서 백업 서비스 리소스의 바인딩 데이터를 읽을 수 있습니다. 사용자에게 바인딩 데이터를 읽거나 애플리케이션 리소스를 수정할 수 있는 권한이 없는 경우 Service Binding Operator는 이러한 사용자가 애플리케이션에 서비스를 바인딩하지 못하도록 합니다. RBAC 요구 사항을 준수하면 사용자에게 불필요한 권한 상승을 방지하고 무단 서비스 또는 애플리케이션에 대한 액세스를 방지합니다.
Service Binding Operator는 전용 서비스 계정을 사용하여 Kubernetes API에 대한 요청을 수행합니다. 기본적으로 이 계정에는 다음 표준 Kubernetes 또는 OpenShift 오브젝트로 표시되는 워크로드에 서비스를 바인딩할 수 있는 권한이 있습니다.
-
배포 -
DaemonSets -
ReplicaSets -
StatefulSets -
DeploymentConfigs
Operator 서비스 계정은 집계된 클러스터 역할에 바인딩되므로 Operator 공급자 또는 클러스터 관리자가 사용자 정의 서비스 리소스를 워크로드에 바인딩할 수 있습니다. ClusterRole 내에서 필요한 권한을 부여하려면 servicebinding.io/controller 플래그를 사용하여 레이블을 지정하고 플래그 값을 true 로 설정합니다. 다음 예제에서는 Service Binding Operator가 Crunchy PostgreSQL Operator의 CR(사용자 정의 리소스)을 가져오고 , 조사하고, 나열 하도록 허용하는 방법을 보여줍니다.
예: Crunchy PostgreSQL Operator에서 프로비전한 PostgreSQL 데이터베이스 인스턴스에 대한 바인딩 활성화
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: postgrescluster-reader
labels:
servicebinding.io/controller: "true"
rules:
- apiGroups:
- postgres-operator.crunchydata.com
resources:
- postgresclusters
verbs:
- get
- watch
- list
...
이 클러스터 역할은 백업 서비스 Operator 설치 중에 배포할 수 있습니다.
5.6.4. 노출된 바인딩 데이터 범주
Service Binding Operator를 사용하면 백업 서비스 리소스 및 CRD(사용자 정의 리소스 정의)에서 바인딩 데이터 값을 노출할 수 있습니다.
이 섹션에서는 노출 가능한 바인딩 데이터의 다양한 범주를 사용할 수 있는 방법을 보여주는 예제를 제공합니다. 작업 환경 및 요구 사항에 맞게 이러한 예제를 수정해야 합니다.
5.6.4.1. 리소스에서 문자열 노출
다음 예제에서는 PostgresCluster CR(사용자 정의 리소스)의 metadata.name 필드에서 사용자 이름으로 문자열을 노출하는 방법을 보여줍니다.
예제
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
service.binding/username: path={.metadata.name}
...
5.6.4.2. 바인딩 항목으로 상수 값 노출
다음 예제에서는 PostgresCluster 사용자 정의 리소스(CR)에서 상수 값을 노출하는 방법을 보여줍니다.
예: 상수 값 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
"service.binding/type": "postgresql" 1
- 1
postgresql값으로 표시할 바인딩유형입니다.
5.6.4.3. 리소스에서 참조하는 전체 구성 맵 또는 시크릿 노출
다음 예제에서는 주석을 통해 전체 시크릿을 노출하는 방법을 보여줍니다.
예: 주석을 통해 전체 시크릿 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
service.binding: 'path={.metadata.name}-pguser-{.metadata.name},objectType=Secret'
예: 백업 서비스 리소스에서 참조된 보안
apiVersion: v1 kind: Secret metadata: name: hippo-pguser-hippo data: password: "MTBz" user: "Z3Vlc3Q="
5.6.4.4. 리소스에서 참조하는 구성 맵 또는 시크릿에서 특정 항목 노출
다음 예제에서는 주석을 통해 구성 맵에서 특정 항목을 노출하는 방법을 보여줍니다.
예: 주석을 통해 구성 맵의 항목 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
service.binding: 'path={.metadata.name}-config,objectType=ConfigMap,sourceKey=user'
예: 백업 서비스 리소스에서 참조된 구성 맵
바인딩 데이터에는 이름이 db_timeout 이고 값이 10s 인 키가 있어야 합니다.
apiVersion: v1 kind: ConfigMap metadata: name: hippo-config data: db_timeout: "10s" user: "hippo"
5.6.4.5. 리소스 정의 값 노출
다음 예제에서는 주석을 통해 리소스 정의 값을 노출하는 방법을 보여줍니다.
예: 주석을 통해 리소스 정의 값 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
service.binding/username: path={.metadata.name}
...
5.6.4.6. 각 항목의 키 및 값을 사용하여 컬렉션 항목 공개
다음 예제에서는 주석을 통해 각 항목의 키 및 값을 사용하여 컬렉션 항목을 노출하는 방법을 보여줍니다.
예: 주석을 통해 컬렉션 항목 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
"service.binding/uri": "path={.status.connections},elementType=sliceOfMaps,sourceKey=type,sourceValue=url"
spec:
...
status:
connections:
- type: primary
url: primary.example.com
- type: secondary
url: secondary.example.com
- type: '404'
url: black-hole.example.com
다음 예제에서는 주석에서 컬렉션의 이전 항목을 바운드 애플리케이션에 프로젝션하는 방법을 보여줍니다.
예: 데이터 파일 바인딩
/bindings/<binding-name>/uri_primary => primary.example.com /bindings/<binding-name>/uri_secondary => secondary.example.com /bindings/<binding-name>/uri_404 => black-hole.example.com
예: 백업 서비스 리소스 구성
status:
connections:
- type: primary
url: primary.example.com
- type: secondary
url: secondary.example.com
- type: '404'
url: black-hole.example.com
이전 예제에서는 primary,secondary 등의 키를 사용하여 이러한 모든 값을 예상하는 데 도움이 됩니다.
5.6.4.7. 항목당 하나의 키를 사용하여 컬렉션 항목 노출
다음 예제에서는 주석을 통해 항목당 하나의 키로 컬렉션 항목을 노출하는 방법을 보여줍니다.
예: 주석을 통해 컬렉션 항목 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
"service.binding/tags": "path={.spec.tags},elementType=sliceOfStrings"
spec:
tags:
- knowledge
- is
- power
다음 예제에서는 주석에서 컬렉션의 이전 항목을 바인딩된 애플리케이션에 프로젝션하는 방법을 보여줍니다.
예: 데이터 파일 바인딩
/bindings/<binding-name>/tags_0 => knowledge /bindings/<binding-name>/tags_1 => is /bindings/<binding-name>/tags_2 => power
예: 백업 서비스 리소스 구성
spec: tags: - knowledge - is - power
5.6.4.8. 항목 값당 하나의 키가 있는 컬렉션 항목의 값 노출
다음 예제에서는 주석을 통해 항목 값당 하나의 키를 사용하여 컬렉션 항목의 값을 노출하는 방법을 보여줍니다.
예: 주석을 통해 수집 항목의 값 표시
apiVersion: postgres-operator.crunchydata.com/v1beta1
kind: PostgresCluster
metadata:
name: hippo
namespace: my-petclinic
annotations:
"service.binding/url": "path={.spec.connections},elementType=sliceOfStrings,sourceValue=url"
spec:
connections:
- type: primary
url: primary.example.com
- type: secondary
url: secondary.example.com
- type: '404'
url: black-hole.example.com
다음 예제에서는 주석에서 컬렉션의 이전 값을 바인딩된 애플리케이션에 프로젝션하는 방법을 보여줍니다.
예: 데이터 파일 바인딩
/bindings/<binding-name>/url_0 => primary.example.com /bindings/<binding-name>/url_1 => secondary.example.com /bindings/<binding-name>/url_2 => black-hole.example.com
