사용자에게 Kubernetes 액세스 권한 부여
- GitLab 16.1에서 소개되었으며
environment_settings_to_graphql,kas_user_access,kas_user_access_project및expose_authorized_cluster_agents라는 플래그로 제공됩니다. 이 기능은 베타 상태입니다.- GitLab 16.2에서
environment_settings_to_graphql제거되었습니다.- GitLab 16.2에서
kas_user_access,kas_user_access_project및expose_authorized_cluster_agents제거되었습니다.- 에이전트 연결 공유 한도가 GitLab 17.0에서 100에서 500으로 상향 조정되었습니다.
조직의 Kubernetes 클러스터 관리자로서, 특정 프로젝트 또는 그룹의 구성원에게 Kubernetes 액세스를 부여할 수 있습니다.
액세스 부여는 프로젝트 또는 그룹에 대한 Kubernetes 대시보드를 활성화합니다.
셀프매니지드 인스턴스의 경우 다음 사항을 확인하십시오.:
- 귀하의 GitLab 인스턴스 및 KAS를 동일한 도메인에 호스팅합니다.
- GitLab을
gitlab.com에, KAS를kas.gitlab.com에 호스팅하십시오.
Kubernetes 액세스 구성
사용자에게 Kubernetes 클러스터 액세스 권한을 부여하려면 액세스를 구성합니다.
전제 조건:
- Kubernetes를 위한 에이전트가 Kubernetes 클러스터에 설치되어 있어야 합니다.
- 개발자 역할 이상의 권한이 있어야 합니다.
액세스를 구성하려면 다음 단계를 수행하십시오.:
-
에이전트 구성 파일에서 다음 매개변수를 사용하여
user_access키워드를 정의하십시오.:-
projects: 액세스를 부여해야 하는 프로젝트 목록입니다. 최대 500개의 프로젝트를 승인할 수 있습니다. -
groups: 액세스를 부여해야 하는 그룹 목록입니다. 최대 500개의 프로젝트를 승인할 수 있습니다. -
access_as: 필수 사항입니다. 일반 액세스의 경우 값은{ agent: {...} }입니다.
-
액세스를 구성한 후, 요청은 에이전트 서비스 계정을 사용하여 API 서버에 전달됩니다. 예를 들어:
# .gitlab/agents/my-agent/config.yaml
user_access:
access_as:
agent: {}
projects:
- id: group-1/project-1
- id: group-2/project-2
groups:
- id: group-2
- id: group-3/subgroup
사용자 위장을 사용한 액세스 구성
귀하는 Kubernetes 클러스터에 대한 액세스를 부여하고 인증된 사용자를 위장하여 요청을 변환할 수 있습니다.
전제 조건:
- Kubernetes를 위한 에이전트가 Kubernetes 클러스터에 설치되어 있어야 합니다.
- 개발자 역할 이상의 권한이 있어야 합니다.
사용자 위장으로 액세스를 구성하려면 다음 단계를 수행하십시오.:
-
에이전트 구성 파일에서 다음 매개변수를 사용하여
user_access키워드를 정의하십시오.:-
projects: 액세스를 부여해야 하는 프로젝트 목록입니다. -
groups: 액세스를 부여해야 하는 그룹 목록입니다. -
access_as: 필수 사항입니다. 사용자 위장의 경우 값은{ user: {...} }입니다.
-
액세스를 구성한 후, 인증된 사용자를 위장하여 요청이 변환됩니다.
사용자 위장 워크플로우
설치된 agentk는 다음과 같이 주어진 사용자를 위장합니다.:
-
UserName은gitlab:user:<username>입니다. -
Groups는 다음과 같습니다.:-
gitlab:user: GitLab 사용자로부터 수신되는 모든 요청에 공통입니다. - 각 승인된 프로젝트의 각 역할에 대해
gitlab:project_role:<project_id>:<role>입니다. - 각 승인된 그룹의 각 역할에 대해
gitlab:group_role:<group_id>:<role>입니다.
-
-
Extra에는 요청에 대한 추가 정보가 포함되어 있습니다.:-
agent.gitlab.com/id: 에이전트 ID입니다. -
agent.gitlab.com/username: GitLab 사용자의 사용자명입니다. -
agent.gitlab.com/config_project_id: 에이전트 구성 프로젝트 ID입니다. -
agent.gitlab.com/access_type:personal_access_token또는session_cookie중 하나입니다. Ultimate 전용입니다.
-
구성 파일의 user_access에 직접 나열된 프로젝트 및 그룹만 위장됩니다. 예를 들어:
# .gitlab/agents/my-agent/config.yaml
user_access:
access_as:
user: {}
projects:
- id: group-1/project-1 # group_id=1, project_id=1
- id: group-2/project-2 # group_id=2, project_id=2
groups:
- id: group-2 # group_id=2
- id: group-3/subgroup # group_id=3, group_id=4
이 구성에서:
- 사용자가
group-1의 구성원인 경우, Kubernetes RBAC 그룹gitlab:project_role:1:<role>만 받습니다. - 사용자가
group-2의 구성원인 경우, Kubernetes RBAC 그룹gitlab:project_role:2:<role>과gitlab:group_role:2:<role>둘 다 받습니다.
RBAC 권한 부여
위장된 요청에는 Kubernetes 내에서 리소스 권한을 식별하기 위해
ClusterRoleBinding 또는 RoleBinding이 필요합니다. 적절한 구성을 위해 RBAC 권한 부여를 참조하십시오.
예를 들어, awesome-org/deployment 프로젝트(ID: 123)의 유지자에게 Kubernetes 워크로드 읽기 권한을 허용하려면 Kubernetes 구성에 ClusterRoleBinding 리소스를 추가해야 합니다.:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: my-cluster-role-binding
roleRef:
name: view
kind: ClusterRole
apiGroup: rbac.authorization.k8s.io
subjects:
- name: gitlab:project_role:123:maintainer
kind: Group
Kubernetes API를 사용하여 클러스터에 액세스하기
- GitLab 16.4에서 도입되었습니다.
GitLab 사용자가 Kubernetes API를 통해 클러스터에 액세스할 수 있도록 에이전트를 구성할 수 있습니다.
전제 조건:
-
user_access항목이 구성된 에이전트가 있어야 합니다.
GitLab CLI를 사용하여 로컬 액세스 구성 (권장됨)
GitLab CLI glab를 사용하여 Kubernetes 구성 파일을 만들거나 업데이트하여 에이전트 Kubernetes API에 액세스할 수 있습니다.
glab cluster agent 명령을 사용하여 클러스터 연결을 관리하세요:
- 프로젝트와 연결된 모든 에이전트 목록을 확인합니다:
glab cluster agent list --repo '<group>/<project>'
# 현재 작업 디렉토리가 에이전트가 등록된 프로젝트의 Git 저장소인 경우 --repo 옵션을 생략할 수 있습니다:
glab cluster agent list
- 출력의 첫 번째 열에 제시된 숫자 에이전트 ID를 사용하여
kubeconfig를 업데이트합니다:
glab cluster agent update-kubeconfig --repo '<group>/<project>' --agent '<agent-id>' --use-context
-
kubectl또는 선호하는 Kubernetes 도구로 업데이트를 확인합니다:
kubectl get nodes
update-kubeconfig 명령은 Kubernetes 도구가 토큰을 검색하기 위해 glab cluster agent get-token을 자격 증명 플러그인으로 설정합니다.
get-token 명령은 현재 날짜의 끝까지 유효한 개인 액세스 토큰을 생성하고 반환합니다.
Kubernetes 도구는 토큰을 만료될 때까지 캐시하며, API가 권한 오류를 반환하거나 프로세스가 종료될 때까지 유지합니다.
Kubernetes 도구를 사용하여 이후의 모든 호출에서 새 토큰을 생성할 것으로 예상하세요.
glab cluster agent update-kubeconfig 명령은 여러 명령행 플래그를 지원합니다. 지원되는 모든 플래그는 glab cluster agent update-kubeconfig --help로 확인할 수 있습니다.
일부 예제:
# 현재 작업 디렉토리가 에이전트가 등록된 Git 저장소인 경우 --repo / -R 플래그를 생략할 수 있습니다
glab cluster agent update-kubeconfig --agent '<agent-id>'
# --use-context 옵션을 지정하면 kubeconfig 파일의 `current-context`가 에이전트 컨텍스트로 변경됩니다
glab cluster agent update-kubeconfig --agent '<agent-id>' --use-context
# --kubeconfig 플래그를 사용하여 대체 kubeconfig 경로를 지정할 수 있습니다
glab cluster agent update-kubeconfig --agent '<agent-id>' --kubeconfig ~/gitlab.kubeconfig
개인 액세스 토큰을 사용하여 수동으로 로컬 액세스 구성
장기간 유효한 개인 액세스 토큰을 사용하여 Kubernetes 클러스터에 액세스를 구성할 수 있습니다:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
- 운영 > Kubernetes 클러스터를 선택하고 액세스하려는 에이전트의 숫자 ID를 검색합니다. 전체 API 토큰을 구성하기 위해 이 ID가 필요합니다.
-
k8s_proxy범위로 개인 액세스 토큰을 생성합니다. 전체 API 토큰을 구성하기 위해 액세스 토큰이 필요합니다. - 클러스터에 액세스하기 위한
kubeconfig항목을 생성합니다:- 적절한
kubeconfig가 선택되었는지 확인합니다. 예를 들어,KUBECONFIG환경 변수를 설정할 수 있습니다. -
GitLab KAS 프록시 클러스터를
kubeconfig에 추가합니다:kubectl config set-cluster <cluster_name> --server "https://kas.gitlab.com/k8s-proxy"server인수는 GitLab 인스턴스의 KAS 주소를 가리킵니다. GitLab.com의 경우,https://kas.gitlab.com/k8s-proxy입니다. 에이전트를 등록할 때 인스턴스의 KAS 주소를 확인할 수 있습니다. -
숫자 에이전트 ID와 개인 액세스 토큰을 사용하여 API 토큰을 생성합니다:
kubectl config set-credentials <gitlab_user> --token "pat:<agent-id>:<token>" -
클러스터와 사용자를 결합하기 위한 컨텍스트를 추가합니다:
kubectl config set-context <gitlab_agent> --cluster <cluster_name> --user <gitlab_user> -
새로운 컨텍스트를 활성화합니다:
kubectl config use-context <gitlab_agent>
- 적절한
-
구성이 작동하는지 확인합니다:
kubectl get nodes
구성된 사용자는 Kubernetes API를 사용하여 클러스터에 액세스할 수 있습니다.
도움말