포스팅은 CloudNet@팀 서종호(Gasida)님이 진행하시는AWS EKS Workshop Study 내용을 참고하여 작성합니다. 안녕하세요!오늘은 EKS Pod가 IAM Role을 사용할 때주요 동작 방식에 대해 설명드려보고자 합니다. 이 챕터에서는 Pod Identity에 대해서 다뤄보도록 하겠습니다.(전 챕터에서 다룬 IRSA편과 이어지는 내용이오니 참고바랍니다) 📌 등장 배경 : IRSA의 한계IRSA는 클러스터마다 OIDC Provider를 생성하고, IAM Role의 Trust Policy에 해당OIDC endpoint를 명시해야 합니다. 이 구조에서 발생하는 문제들이 있습니다.클러스터 수만큼 Trust Policy 수정 필요blue/green 업그레이드로 신규 클러스터를 만들 때마다 ..

포스팅은 CloudNet@팀 서종호(Gasida)님이 진행하시는AWS EKS Workshop Study 내용을 참고하여 작성합니다. 안녕하세요!오늘은 EKS Pod가 IAM Role을 사용할 때주요 동작 방식에 대해 설명드려보고자 합니다. 이 챕터에서는 IRSA에 대해서 다루고,다음 챕터에서는 Pod Identity를 다룰 예정입니다~! 먼저 EKS Pods가 IAM Role을 가지고 AWS 리소스를 사용하는 방식이 2가지가 있는데요,기존에는 IRSA 방식으로 사용하였는데, 최근에 EKS Pod Identity 방식이 생겼습니다 !항목IRSA (기존)EKS Pod Identity (신규)인증 메커니즘OIDC 기반 (ID 공급자 필요)EKS 인증 웹훅 by Pod Identity Agent (직접 연동..

포스팅은 CloudNet@팀 서종호(Gasida)님이 진행하시는AWS EKS Workshop Study 내용을 참고하여 작성합니다. 안녕하세요!오늘은 신입 DevOps 엔지니어를 위하여eks 자격 증명 설정에 대한 실습을 진행할 예정입니다. 전에 작성하였던 "EKS Identity and Access Management" 글 내용이이어서 진행되므로, 참고 바랍니다. 01. 사전 준비 내용📌 testuser 사용자 생성# 1. testuser 생성aws iam create-user --user-name testuser{ "User": { "Path": "/", "UserName": "testuser", "UserId": "AIDARLPFODNRYW7DMK3D..

포스팅은 CloudNet@팀 서종호(Gasida)님이 진행하시는AWS EKS Workshop Study 내용을 참고하여 작성합니다. 안녕하세요!EKS 운영 시에 AWS API를 호출하거나,AWS에서 kubernetes api server를 호출하는 일이 발생하는데요,인증 / 인가에 대한 동작 방식에 대해서학습하는 시간을 갖도록 하겠습니다. K8S API 접근 통제 흐름인증/인가를 살펴보기 이전에, API Server 앞단의 3단계 접근 통제 흐름의 다이어그램은 아래와 같습니다.Client → Authentication → Authorization → Admission Control → etcdkubectl, 서비스 어카운트, 외부 시스템 등 모든 API 요청은 이 파이프라인을 통과해야 합니다.하나라도..