VPC 환경에서 이용 가능합니다.
Ncloud Kubernetes Service 클러스터의 인증 방식으로 OpenID Connect(OIDC) 제공자를 추가 할 수 있으며, OIDC 인증 사용자의 역할과 권한을 구성하여 권한을 부여할 수 있습니다.
참고
- Kubernetes 1.18 버전 이상부터 제공합니다.
- 1.18 이전 버전의 클러스터는 업그레이드 기능을 이용하여 요구되는 버전을 충족 후 사용할 수 있습니다.
- 하나의 OIDC 제공자만 설정 가능합니다.
- NCloud Kubernetes Service가 공개 서명 키를 검색할 수 있도록 OIDC 제공자에 공개적으로 접근 할 수 있어야 합니다.
- NAT Gateway 추가 및 Routing 설정이 필요합니다.
- Self Signed 인증서를 사용하는 OIDC 제공자는 지원하지 않습니다.
- OIDC 인증에 관한 상세 정보는 Authentication 공식문서, 인증된 사용자의 역할과 권한정보는 Using RBAC Authorization 공식문서에서 확인할 수 있습니다.
OIDC 인증 설정
- 필수 정보
- Issuer URL: API 서버가 공개 서명 키를 검색할 수 있도록 하는 OIDC 제공자의 URL입니다. https:// 체계를 사용하는 URL만 허용되며, 일반적으로 경로가 없는 OIDC 제공자의 검색 URL입니다(예: "https://oidc.example.com" 또는 "https://login.example.com"). 이 URL은 .well-known/openid-configuration 아래의 레벨을 가리켜야 하며 인터넷을 통해 접근 가능해야 합니다.
- Client ID: OIDC 제공자의 Client ID
- 부가 정보
- Username claim: 사용자의 username으로 사용 claim이며 기본값은 sub 입니다. 다른 플러그인과의 충돌을 막기 위해 email이 아닌 claim에는 Issuer URL이 접두사로 붙습니다.
- Groups claim: 사용자의 groups로 사용할 JWT claim 입니다. claim 이 있는 경우 문자열 배열이어야 합니다.
- Username prefix: 기존 username(예: system:users)과의 충돌을 방지하기 위해 Username claim앞에 접두사가 추가됩니다. 예를 들어 oidc: 값은 oidc:jane.doe와 같은 username을 생성합니다. Username prefix가 지정되지 않고 Username claim이 email 이외의 값인 경우 접두사의 기본값은 (Issuer URL)#입니다. -로 지정하여 모든 접두사를 사용하지 않도록 설정할 수 있습니다.
- Groups prefix: 기존 groups(예: system:group)과의 충돌을 방지하기 위해 Groups claim 앞에 접두사가 추가됩니다. 예를 들어 oidc: 값은 oidc:developers 및 oidc:tester 와 같은 그룹 이름을 생성합니다.
- Required claim: ID 토큰에 필수 claim을 지정하는 key=value 쌍입니다. 설정된 경우 ID 토큰에서 일치하는 claim이 있는지 확인합니다. ','로 구분하여 여러 claim을 지정합니다.
- Ncloud Kubernetes Service > 클러스터 > 클러스터 설명 > OpenID Connect(OIDC) 에서 [수정] 버튼을 클릭합니다.
- 상태를 설정으로 변경하고 OIDC 인증 정보 입력해 주십시오.
- [확인] 버튼을 누르면 클러스터가 설정중 상태로 변경되고, OIDC 인증 설정 작업 진행됩니다.
- OIDC 인증 설정이 완료되면 클러스터가 운영중 상태로 변경됩니다.
OIDC 인증 해제
- Ncloud Kubernetes Service > 클러스터 > 클러스터 설명 > OpenID Connect(OIDC) 에서 [수정] 버튼을 클릭합니다.
- 상태를 해제으로 변경하고 [확인] 버튼을 누르면 클러스터가 설정중 상태로 변경되고, OIDC 인증 해제 작업이 진행됩니다.
- OIDC 인증 해제가 완료되면 클러스터가 운영중 상태로 변경됩니다.