se kubectl을 사용하여 CSR을 만들고 승인합니다.
CSR 목록 가져오기:
kubectl은 CSR을 얻습니다.
CSR 승인:
kubectl 인증서 승인 myuser
인증서 받기
CSR에서 인증서를 검색합니다.
kubectl get csr/myuser -o yaml
다음은 john에게 NEW_CRD 리소스를 생성할 수 있는 권한을 부여하는 역할 및 역할 바인딩입니다.
kubectl apply -f roleBindingJohn.yaml --as=john
rolebinding.rbac.authorization.k8s.io/john_external-rosource-rb 생성 종류: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 메타데이터:
이름: john_crd
네임스페이스: Development-John
과목:
- 종류: 사용자
이름: 존
API 그룹: rbac.authorization.k8s.io
역할 참조:
종류: ClusterRole
이름: crd 생성
종류: ClusterRole
API 버전: rbac.authorization.k8s.io/v1
메타데이터:
이름: crd 생성
규칙:
- API그룹: ["kubernetes-client.io/v1"]
자원: ["NEW_CRD"]
동사: ["만들기, 나열, 가져오기"]

Kubernetes 감사는 클러스터에 대한 보안 관련 시간순 레코드 세트를 제공합니다. Kube-apiserver는 감사를 수행합니다. 각 실행 단계의 각 요청은 이벤트를 생성한 다음 특정 정책에 따라 사전 처리되고 백엔드에 기록됩니다. 정책은 기록되는 내용을 결정하고 백엔드는 기록을 유지합니다.
CIS(Center for Internet Security) Kubernetes 벤치마크 제어 준수의 일부로 감사 로그를 구성할 수 있습니다.
감사 로그는 기본적으로 cluster.yml에서 다음 구성을 사용하여 활성화할 수 있습니다.
서비스:
kube-api:
감사 로그:
활성화됨: 참
감사 로그가 활성화되면 /etc/kubernetes/audit-policy.yaml에서 기본값을 볼 수 있어야 합니다. 로그 백엔드는 JSONlines 형식의 파일에 감사 이벤트를 씁니다. 다음 kube-apiserver 플래그를 사용하여 로그 감사 백엔드를 구성할 수 있습니다.
--audit-log-path는 로그 백엔드가 감사 이벤트를 작성하는 데 사용하는 로그 파일 경로를 지정합니다. 이 플래그를 지정하지 않으면 로그 백엔드가 비활성화됩니다. - 표준 출력을 의미합니다.
--audit-log-maxage는 오래된 감사 로그 파일을 유지하는 최대 일수를 정의했습니다.
--audit-log-maxbackup은 보관할 감사 로그 파일의 최대 수를 정의합니다.
--audit-log-maxsize는 회전되기 전 감사 로그 파일의 최대 크기를 메가바이트 단위로 정의합니다. 클러스터의 제어 평면이 kube-apiserver를 파드로 실행하는 경우 hostPath를 정책 파일 및 로그 위치에 마운트해야 합니다. 감사 기록이 유지되도록 파일. 예를 들어:
--audit-policy-file=/etc/kubernetes/audit-policy.yaml \
--audit-log-path=/var/log/audit.log

api 버전: 네트워킹.k8s.io/v1
종류: 네트워크 정책
메타데이터:
이름: 네트워크 정책
투기:
podSelector: {} #배포된 네임스페이스의 모든 포드를 선택합니다.
정책 유형:
- 진입
입구:
- 포트: #in 입력 트래픽은 80 포트를 통해서만 허용됩니다.
- 프로토콜: TCP
포트: 80

[타임스탬프],[uid],[프로세스 이름]

[desk@cli] $ k create sa backend-qa -n qa
sa/backend-qa 생성됨
[desk@cli] $ k 역할 가져오기, 역할 바인딩 -n qa
qa 네임스페이스에서 리소스를 찾을 수 없습니다.
[desk@cli] $ k create role backend -n qa --resource pods,namespaces,configmaps --verb list
# 비밀에 접근할 수 없음
[desk@cli] $ k create rolebinding backend -n qa --role backend --serviceaccount qa:backend-qa
[desk@cli] $ vim /home/cert_masters/frontend-pod.yaml
API 버전: v1
종류: 포드
메타데이터:
이름: 프론트엔드
투기:
serviceAccountName: backend-qa # 추가
이미지: nginx
이름: 프론트엔드
[desk@cli] $ k 적용 -f /home/cert_masters/frontend-pod.yaml
포드 생성
[desk@cli] $ k create sa backend-qa -n qa
serviceaccount/backend-qa 생성됨
[desk@cli] $ k 역할 가져오기, 역할 바인딩 -n qa
qa 네임스페이스에서 리소스를 찾을 수 없습니다.
[desk@cli] $ k create role backend -n qa --resource pods,namespaces,configmaps --verb list role.rbac.authorization.k8s.io/backend 생성
[desk@cli] $ k create rolebinding backend -n qa --role backend --serviceaccount qa:backend-qa rolebinding.rbac.authorization.k8s.io/backend 생성됨
[desk@cli] $ vim /home/cert_masters/frontend-pod.yaml
API 버전: v1
종류: 포드
메타데이터:
이름: 프론트엔드
투기:
serviceAccountName: backend-qa # 추가
이미지: nginx
이름: 프론트엔드
[desk@cli] $ k 적용 -f /home/cert_masters/frontend-pod.yaml 포드/프론트엔드 생성 https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/ pod/ 프론트엔드 생성
[desk@cli] $ k 적용 -f /home/cert_masters/frontend-pod.yaml 포드/프론트엔드 생성 https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/