GitLab 차트를 위한 RBAC 구성
Tier: Free, Premium, Ultimate
Offering: Self-Managed
쿠버네티스 1.7 이전에는 클러스터 내에서 권한이 없었습니다. 1.7 버전이 출시되면서 클러스터 내에서 어떤 서비스가 어떤 작업을 수행할 수 있는지를 결정하는 역할 기반 액세스 제어 시스템(RBAC)이 나왔습니다.
RBAC는 GitLab의 여러 측면에 영향을 미칩니다:
- Helm을 사용하여 GitLab 설치
- 프로메테우스 모니터링
- GitLab 러너
- 클러스터 내 PostgreSQL 데이터베이스(RBAC가 활성화된 경우)
- 인증서 관리자
RBAC가 활성화되었는지 확인하기
현재 클러스터 역할을 나열하여 확인하려면, 실패하면 RBAC가 비활성화된 것입니다.
다음 명령어는 RBAC가 비활성화된 경우 false를 출력하고, 그렇지 않으면 true를 출력합니다.
kubectl get clusterroles > /dev/null 2>&1 && echo true || echo false
서비스 계정
GitLab 차트는 특정 작업을 수행하기 위해 서비스 계정을 사용합니다. 이러한 계정 및 해당 역할은 차트에서 생성하고 관리됩니다.
서비스 계정은 다음 표에 설명되어 있습니다. 각 서비스 계정에 대해 표에는 다음이 표시됩니다:
- 이름 접미사(접두어는 릴리스 이름입니다).
- 간단한 설명. 예를 들어, 어디에 사용되는지 또는 어떤 용도로 사용되는지 등.
- 연결된 역할 및 어떤 리소스에 대해 어떤 수준의 액세스 권한이 있는지. 액세스 수준은 읽기 전용 (R), 쓰기 전용 (W), 또는 읽기-쓰기 (RW) 중 하나입니다. 리소스의 그룹 이름은 생략됩니다.
- 역할의 범위는 클러스터(C) 또는 네임스페이스(NS) 중 하나입니다. 경우에 따라 역할의 범위는 NS/C로 구성할 수도 있습니다.
| 이름 접미사 | 설명 | 역할 | 범위 |
|---|---|---|---|
gitlab-runner
| GitLab 러너가이 계정으로 실행됩니다. | 어떤 리소스 (RW) | NS/C |
ingress-nginx
| NGINX Ingress에서 서비스 액세스 지점을 제어하는 데 사용됩니다. | Secret, Pod, Endpoint, Ingress (R); Event (W); ConfigMap, Service (RW) | NS/C |
shared-secrets
| 공유 비밀을 생성하는 작업이이 계정으로 실행됩니다. (설치/업그레이드 후 훅에서) | Secret (RW) | NS |
cert-manager
| 인증서 관리자를 제어하는 작업이 이 계정으로 실행됩니다. | Issuer, Certificate, CertificateRequest, Order (RW) | NS/C |
GitLab 차트는 다른 차트에 의존하며, 이러한 차트도 RBAC를 사용하고 자체적인 서비스 계정 및 역할 바인딩을 생성합니다. 여기에는 다음이 포함됩니다:
- 프로메테우스 모니터링은 기본적으로 여러 자체 서비스 계정을 생성합니다. 이들은 모두 클러스터 레벨 역할에 연결됩니다. 자세한 내용은 프로메테우스 차트 문서를 참조하십시오.
- 인증서 관리자는 클러스터 레벨에서 사용자 정의 리소스 및 네이티브 리소스를 관리하기 위해 기본적으로 서비스 계정을 생성합니다. 자세한 내용은 cert-manager 차트 RBAC 템플릿을 참조하십시오.
- 클러스터 내 PostgreSQL 데이터베이스를 사용하는 경우(기본값), 서비스 계정이 활성화되지 않습니다. 활성화할 수 있지만 특정 역할과 연결되지 않습니다. 자세한 내용은 PostgreSQL 차트를 참조하십시오.
도움말