kubectl에서 --token 옵션은 service account 토큰만 가능하다.
하지만 만약 k8s가 oidc 연동 중이라면 kubectl로 user token도 사용할 수 있다.
방법은 service account 토큰 사용법과는 조금 다르다.
1. kube-apiserver.yaml 확인
apiVersion: v1
kind: Pod
metadata:
...
spec:
containers:
- command:
...
- --oidc-issuer-url=https://{KEYCLOAK 주소}/auth/realms/{REALM 이름}
- --oidc-client-id=my-client
- --oidc-username-claim=preferred_username
- --oidc-username-prefix=-
- --oidc-groups-claim=group
/etc/kubernetes/manifests/kube-apiserver.yaml 경로의 파일에서 k8s 클러스터의 oidc 연동 설정을 확인한다.
여기서 --oidc-issuer-url과 --oidc-client-id 정보를 kubectl 설정에 넣어줘야한다.
2. user token 이용해 kubectl user 생성
kubectl config set-credentials togomi \
--auth-provider=oidc \
--auth-provider-arg=idp-issuer-url="https://{KEYCLOAK 주소}/auth/realms/{REALM 이름}" \
--auth-provider-arg=client-id="my-client" \
--auth-provider-arg=id-token="$ID_TOKEN" \
--auth-provider-arg=refresh-token="$REFRESH_TOKEN"
id-token과 refresh-token을 발급 받은 뒤, 위에 ID_TOKEN, REFRESH_TOKEN 변수에 넣으면 된다.
(참고) keycloak으로 user token 발급 받는 방법
https://{KEYCLOAK 주소}/auth/realms/{REALM 이름}/protocol/openid-connect/token의 주소로 POST 콜을 보내면 된다.
body는 아래 항목을 채워넣는다.
grant_type=password
scope=openid
client_id={클라이언트 id}
username={유저 네임}
password={유저 비밀번호}
client_secret={시크릿} (client acces-type이 confidential 이라면 넣어준다.)
3. context 설정
kubectl config set-context my-context --user=togomi --cluster=kubernetes
kubectl config use-context my-context
2번에서 생성한 유저를 이용해 context를 만들고 해당 context를 사용하면 된다.
'공부 > Kubernetes' 카테고리의 다른 글
Kubernetes 사용을 편리하게 해주는 툴 (0) | 2023.02.20 |
---|---|
k8s client-go leader election 코드 메커니즘 분석 (0) | 2022.11.09 |
kubernetes 환경에서 Postgres streaming replication 설정 (0) | 2022.08.18 |
kubernetes 환경에서 Postgres migration 백업 & 복원 (0) | 2022.08.17 |
k8s kubelet forbidden sysctl: not whitelisted 에러 해결 (0) | 2022.07.18 |