1.2. 역할 기반 액세스 제어 구현

Kubernetes RBAC용 Red Hat Advanced Cluster Management는 콘솔 수준 및 API 수준에서 검증됩니다. 사용자 액세스 역할 권한에 따라 콘솔의 작업을 활성화하거나 비활성화할 수 있습니다.

멀티 클러스터 엔진 Operator는 Red Hat Advanced Cluster Management의 전제 조건 및 클러스터 라이프사이클 기능입니다. 다중 클러스터 엔진 Operator를 사용하여 클러스터의 RBAC를 관리하려면 Kubernetes Operator 역할 기반 액세스 제어 설명서의 클러스터 라이프사이클 다중 클러스터 엔진 의 RBAC 지침을 사용합니다.

Red Hat Advanced Cluster Management의 특정 라이프 사이클에 대한 RBAC에 대한 자세한 내용은 다음 섹션을 참조하십시오.

1.2.1. 애플리케이션 라이프사이클 RBAC

애플리케이션을 생성하면 서브스크립션 네임스페이스가 생성되고 서브스크립션 네임스페이스에 구성 맵이 생성됩니다. channel 네임스페이스에도 액세스할 수 있어야 합니다. 서브스크립션을 적용하려면 서브스크립션 관리자여야 합니다. 애플리케이션 관리에 대한 자세한 내용은 서브스크립션 관리자로 허용 및 거부 목록 생성을 참조하십시오.

다음 애플리케이션 라이프사이클 RBAC 작업을 확인합니다.

  • username 이라는 사용자를 사용하여 모든 관리 클러스터에서 애플리케이션을 생성하고 관리합니다. 클러스터 역할 바인딩을 생성하고 사용자 이름에 바인딩해야 합니다. 다음 명령을 실행합니다.

    oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin --user=<username>

    이 역할은 모든 리소스 및 작업에 액세스할 수 있는 슈퍼 유저입니다. 이 역할이 있는 네임스페이스에 애플리케이션 네임스페이스 및 모든 애플리케이션 리소스를 생성할 수 있습니다.

  • 여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성합니다. open-cluster-management:subscription-admin 클러스터 역할에 클러스터 역할 바인딩을 생성하고 사용자 이름 에게 바인딩해야 합니다. 다음 명령을 실행합니다.

    oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
  • username 사용자로 cluster-name 관리 클러스터에서 application-name 이라는 애플리케이션을 생성하고 관리합니다. open-cluster-management:admin:<cluster-name> 클러스터 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여 사용자 이름에 바인딩해야 합니다.

    oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>

    이 역할에는 관리형 클러스터의 cluster-name 의 모든 애플리케이션 리소스에 대한 읽기 및 쓰기 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.

  • admin 역할을 사용하여 애플리케이션 네임스페이스에 네임스페이스 역할 바인딩을 생성하고 다음 명령을 입력하여 사용자 이름에 바인딩합니다.

    oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=admin --user=<username>

    이 역할에는 애플리케이션 namspace의 모든 애플리케이션 리소스에 대한 읽기 및 쓰기 권한이 있습니다. 다른 애플리케이션에 대한 액세스가 필요하거나 애플리케이션이 여러 네임스페이스에 배포된 경우 이 작업을 반복합니다.

  • 여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성할 수 있습니다. open-cluster-management:subscription-admin 클러스터 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여 사용자 이름에 바인딩합니다.

    oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
  • 사용자 이름이 username cluster-name 이라는 관리 클러스터에서 애플리케이션을 보려면 open-cluster-management:view: cluster 역할에 클러스터 역할 바인딩을 생성하고 사용자 이름 에 바인딩합니다. 다음 명령을 실행합니다.

    oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>

    이 역할에는 관리형 클러스터의 cluster-name 의 모든 애플리케이션 리소스에 대한 읽기 액세스 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.

  • view 역할을 사용하여 애플리케이션 네임스페이스에 네임스페이스 역할 바인딩을 생성하고 사용자 이름 에 바인딩합니다. 다음 명령을 실행합니다.

    oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=view --user=<username>

    이 역할에는 애플리케이션 namspace의 모든 애플리케이션 리소스에 대한 읽기 액세스 권한이 있습니다. 다른 애플리케이션에 대한 액세스가 필요한 경우 이 단계를 반복합니다.

1.2.1.1. 애플리케이션 라이프사이클을 위한 콘솔 및 API RBAC 테이블

애플리케이션 라이프사이클에 대한 다음 콘솔 및 API RBAC 표를 확인합니다.

표 1.2. 애플리케이션 라이프사이클을 위한 콘솔 RBAC 테이블

리소스admineditview

애플리케이션

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

채널

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

서브스크립션

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

배치 규칙

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

표 1.3. 애플리케이션 라이프사이클을 위한 API RBAC 테이블

APIadmineditview

applications.app.k8s.io

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

channels.apps.open-cluster-management.io

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

deployables.apps.open-cluster-management.io

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

helmreleases.apps.open-cluster-management.io

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

placements.apps.open-cluster-management.io

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

placementrules.apps.open-cluster-management.io (더 이상 사용되지 않음)

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

subscriptions.apps.open-cluster-management.io

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

configmaps

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

secrets

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

네임스페이스

만들기, 읽기, 업데이트, 삭제

만들기, 읽기, 업데이트, 삭제

read

1.2.2. 거버넌스 라이프사이클 RBAC

정책이 생성되면 클러스터에 정책이 생성됩니다. 거버넌스 라이프사이클의 역할은 네임스페이스 범위입니다. 또한 사용자는 관리 클러스터에 액세스할 수 있어야 합니다.

거버넌스 라이프사이클 작업을 수행하려면 정책이 생성된 네임스페이스에 대한 액세스와 정책이 적용되는 관리 클러스터에 대한 액세스 권한이 있어야 합니다.

다음 작업을 확인합니다.

  • 정책 네임스페이스에 정책을 생성하고 cluster-name 이라는 관리형 클러스터에 적용하려면 open-cluster-management:admin:<cluster-name> 클러스터 역할을 사용하여 정책 네임스페이스에 네임스페이스 역할 바인딩을 생성합니다. 다음 명령을 실행합니다.

    oc create rolebinding <role-binding-name> -n <policy-namespace> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>
  • 관리 클러스터에서 정책을 보려면 open-cluster-management:view:<cluster-name> 클러스터 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 사용하여 view 역할에 바인딩합니다.

    oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>

1.2.2.1. 거버넌스 라이프사이클을 위한 콘솔 및 API RBAC 테이블

거버넌스 라이프사이클은 다음 콘솔 및 API RBAC 표를 확인합니다.

표 1.4. 거버넌스 라이프사이클을 위한 콘솔 RBAC 테이블

리소스admineditview

Policies

만들기, 읽기, 업데이트, 삭제

읽기, 업데이트

read

PlacementBindings

만들기, 읽기, 업데이트, 삭제

읽기, 업데이트

read

배치

만들기, 읽기, 업데이트, 삭제

읽기, 업데이트

read

PlacementRules (더 이상 사용되지 않음)

만들기, 읽기, 업데이트, 삭제

읽기, 업데이트

read

PolicyAutomations

만들기, 읽기, 업데이트, 삭제

읽기, 업데이트

read

표 1.5. 거버넌스 라이프사이클을 위한 API RBAC 테이블

APIadmineditview

policies.policy.open-cluster-management.io

만들기, 읽기, 업데이트, 삭제

읽기, 업데이트

read

placementbindings.policy.open-cluster-management.io

만들기, 읽기, 업데이트, 삭제

읽기, 업데이트

read

policyautomations.policy.open-cluster-management.io

만들기, 읽기, 업데이트, 삭제

읽기, 업데이트

read

1.2.3. 가시성 RBAC

관리 대상 클러스터에 대한 관찰 가능 지표를 보려면 hub 클러스터의 해당 관리 클러스터에 대한 보기 액세스 권한이 있어야 합니다. 다음 관찰 기능 목록을 확인합니다.

  • 관리형 클러스터 메트릭에 액세스합니다.

    hub 클러스터의 관리 클러스터 역할에 대한 보기 역할이 할당되지 않은 경우 사용자는 관리되는 클러스터 메트릭에 대한 액세스가 거부됩니다. 다음 명령을 실행하여 사용자가 관리 클러스터 네임스페이스에서 managedClusterView 역할을 생성할 권한이 있는지 확인합니다.

    oc auth can-i create ManagedClusterView -n <managedClusterName> --as=<user>

    클러스터 관리자는 관리 클러스터 네임스페이스에서 managedClusterView 역할을 생성합니다. 다음 명령을 실행합니다.

    oc create role create-managedclusterview --verb=create --resource=managedclusterviews -n <managedClusterName>

    그런 다음 역할을 바인딩하여 사용자에게 적용하고 바인딩합니다. 다음 명령을 실행합니다.

    oc create rolebinding user-create-managedclusterview-binding --role=create-managedclusterview --user=<user>  -n <managedClusterName>
  • 리소스를 검색합니다.

    사용자가 리소스 유형에 액세스할 수 있는지 확인하려면 다음 명령을 사용합니다.

    oc auth can-i list <resource-type> -n <namespace> --as=<rbac-user>

    참고: & lt;resource-type&gt;은 복수형이어야 합니다.

  • Grafana에서 관찰 가능한 데이터를 보려면 관리 클러스터의 동일한 네임스페이스에 RoleBinding 리소스가 있어야 합니다.

    다음 RoleBinding 예제를 확인합니다.

    kind: RoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
     name: <replace-with-name-of-rolebinding>
     namespace: <replace-with-name-of-managedcluster-namespace>
    subjects:
     - kind: <replace with User|Group|ServiceAccount>
       apiGroup: rbac.authorization.k8s.io
       name: <replace with name of User|Group|ServiceAccount>
    roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: ClusterRole
     name: view

자세한 내용은 역할 바인딩 정책을 참조하십시오. 관찰 기능을 구성하기 위한 관찰 기능 사용자 지정을 참조하십시오.

1.2.3.1. 관찰 가능 라이프사이클을 위한 콘솔 및 API RBAC 테이블

관찰 기능 구성 요소를 관리하려면 다음 API RBAC 표를 참조하십시오.

표 1.6. 관찰을 위한 API RBAC 테이블

API

admin

edit

view

multiclusterobservabilities.observability.open-cluster-management.io

생성, 읽기, 업데이트 및 삭제

읽기, 업데이트

read

searchcustomizations.search.open-cluster-management.io

생성, 가져오기, 목록, 감시, 업데이트, 삭제, 패치

-

-

policyreports.wgpolicyk8s.io

get, list, watch

get, list, watch

get, list, watch

클러스터 보안에 대한 자세한 내용은 위험 및 규정 준수 를 참조하십시오.