클러스터 인증서로 액세스 제어 (RBAC 또는 ABAC) (사용 중지됨)
Tier: Free, Premium, Ultimate
Offering: GitLab.com, Self-Managed
이 기능은 GitLab 14.5에서 사용 중지되었습니다.
클러스터를 GitLab에 연결하려면 대신 GitLab 에이전트를 사용하세요.
GitLab에서 클러스터를 생성할 때 선택할 수 있는 항목:
- GitLab의 기본 및 추천 옵션인 역할 기반 액세스 제어 (RBAC) 클러스터
- 속성 기반 액세스 제어 (ABAC) 클러스터
GitLab이 클러스터를 생성하면 default 네임스페이스에 cluster-admin 권한을 가진 gitlab 서비스 계정이 생성됩니다.
또한 Helm은 각 설치된 응용 프로그램에 대해 추가 서비스 계정 및 기타 리소스를 생성합니다. 각 응용 프로그램의 Helm 차트 문서를 참조하세요.
기존의 Kubernetes 클러스터를 추가하는 경우, 해당 계정의 토큰이 클러스터에 대한 관리자 권한을 갖고 있는지 확인하세요.
GitLab이 생성하는 리소스는 클러스터 유형에 따라 다릅니다.
중요 사항
액세스 제어에 관련된 다음 사항을 참고하세요:
- 환경별 리소스는 GitLab에서 관리되는 클러스터인 경우에만 생성됩니다.
- 클러스터가 GitLab 12.2 이전에 생성된 경우 모든 프로젝트 환경을 위해 단일 네임스페이스를 사용합니다.
RBAC 클러스터 리소스
GitLab은 RBAC 클러스터에 대해 다음과 같은 리소스를 생성합니다.
| 이름 | 유형 | 세부 정보 | 생성 시점 |
|---|---|---|---|
gitlab
| ServiceAccount
|
default 네임스페이스
| 새 클러스터 생성 |
gitlab-admin
| ClusterRoleBinding
|
cluster-admin 역할
| 새 클러스터 생성 |
gitlab-token
| Secret
|
gitlab 서비스 계정의 토큰
| 새 클러스터 생성 |
| 환경 네임스페이스 | Namespace
| 모든 환경별 리소스가 포함됨 | 클러스터에 배포 |
| 환경 네임스페이스 | ServiceAccount
| 환경의 네임스페이스 사용 | 클러스터에 배포 |
| 환경 네임스페이스 | Secret
| 환경 서비스 계정의 토큰 | 클러스터에 배포 |
| 환경 네임스페이스 | RoleBinding
|
admin 역할
| 클러스터에 배포 |
ABAC 클러스터 리소스
GitLab은 ABAC 클러스터에 대해 다음과 같은 리소스를 생성합니다.
| 이름 | 유형 | 세부 정보 | 생성 시점 |
|---|---|---|---|
gitlab
| ServiceAccount
|
default 네임스페이스
| 새 클러스터 생성 |
gitlab-token
| Secret
|
gitlab 서비스 계정의 토큰
| 새 클러스터 생성 |
| 환경 네임스페이스 | Namespace
| 모든 환경별 리소스가 포함됨 | 클러스터에 배포 |
| 환경 네임스페이스 | ServiceAccount
| 환경의 네임스페이스 사용 | 클러스터에 배포 |
| 환경 네임스페이스 | Secret
| 환경 서비스 계정의 토큰 | 클러스터에 배포 |
러너의 보안
러너는 기본적으로 특권 모드를 활성화하여 특별한 명령을 실행하고 Docker를 실행할 수 있습니다. 이 기능은 자동 DevOps 작업 중 일부를 실행하는 데 필요합니다. 이는 컨테이너가 특권 모드에서 실행되고 있으며 따라서 일부 중요한 세부 사항을 인식해야 함을 의미합니다.
특권 플래그는 실행 중인 컨테이너에 모든 기능을 부여하여 실제로 호스트가 할 수 있는 거의 모든 작업을 수행할 수 있습니다. 임의의 이미지에서 docker run 작업을 수행하는 것과 관련된 내재적 보안 리스크를 인식해야 합니다.
특권 모드에서 러너를 사용하고 싶지 않은 경우 다음 중 하나를 수행하세요:
- GitLab.com에서 인스턴스 러너를 사용합니다. 이러한 보안 문제가 없습니다.
-
docker+machine을 사용하는 자체 러너를 설정합니다.
도움말