클러스터에 인증하도록 OIDC 제공업체 구성

이 문서는 플랫폼 관리자나 조직의 ID 설정을 관리하는 사용자를 대상으로 합니다. Google Cloud에 없는 Kubernetes 클러스터에 대한 인증을 위해 선택한 OpenID Connect (OIDC) ID 공급업체를 구성하는 방법을 설명합니다.

제공업체에 클라이언트 애플리케이션 등록

사용자 인증 흐름 중에 클러스터는 클라이언트 ID보안 비밀을 사용하여 ID 공급자에 연결합니다. Kubernetes용 클라이언트 애플리케이션을 구성하여 ID 공급업체에서 클라이언트 ID와 보안 비밀을 가져올 수 있습니다. 클라이언트 애플리케이션을 설정하는 절차는 제공업체에 따라 다릅니다. 다음 섹션에서 많이 사용되는 제공업체에 대한 구체적인 등록 세부정보를 확인할 수 있습니다.

리디렉션 URL의 경우 다음 값을 지정합니다.

  • https://console.cloud.google.com/kubernetes/oidc는 Google Cloud 콘솔의 리디렉션 URL입니다.
  • http://localhost:PORT/callback은 gcloud CLI의 리디렉션 URL입니다. 1,024보다 큰 포트 번호를 지정해야 합니다.
  • APISERVER_URL:11001/finish-loginFQDN 액세스를 사용하여 인증을 선택한 경우의 리디렉션 URL입니다. APISERVER_URL을 클러스터의 Kubernetes API 서버 FQDN으로 바꿉니다. 예를 들어 APISERVER_URLhttps://apiserver.company.com이면 redirect_urihttps://apiserver.company.com:11001/finish-login이어야 합니다.

등록 단계에서 가져는 클라이언트 ID 및 보안 비밀을 저장합니다. 클러스터를 설정해야 하는 클러스터 관리자와 이 세부정보를 공유합니다.

ID 공급업체 설정 정보

이 섹션에서는 Microsoft Active Directory Federation Services (AD FS) 또는 Microsoft Entra ID에 클라이언트 애플리케이션을 등록하는 단계를 설명합니다.

Microsoft AD FS

AD FS 관리 마법사를 사용하여 AD FS 서버 및 AD 사용자 데이터베이스를 구성합니다.

  1. AD FS 관리 창을 엽니다.

  2. 애플리케이션 그룹 > 작업 > 애플리케이션 그룹 추가를 선택합니다.

  3. 서버 애플리케이션을 선택합니다. 원하는 이름과 설명을 입력합니다. 다음을 클릭합니다.

  4. 위에 지정된 대로 리디렉션 URL 2개를 입력합니다. 클라이언트 ID가 제공됩니다. AD FS는 이 클라이언트 ID를 사용하여 클러스터를 식별합니다. 나중을 위해 클라이언트 ID를 저장합니다.

  5. 공유 보안 비밀 생성을 선택합니다. Kubernetes 인증 메커니즘은 이 보안 비밀을 사용하여 AD FS 서버에 인증합니다. 나중을 위해 보안 비밀을 저장합니다.

보안 그룹 구성(선택사항)

  1. AD FS 관리에서 신뢰 당사자 트러스트 또는 새 신뢰 당사자 트러스트 추가를 선택합니다.

  2. 클레임 인식을 선택하고 시작을 클릭합니다.

  3. 신뢰 당사자에 대한 수동 데이터 입력을 선택합니다.

  4. 표시 이름을 입력합니다.

  5. 다음 두 단계를 건너뜁니다.

  6. 신뢰 당사자 트러스트 식별자를 입력합니다. 제안사항: token-groups-claim

  7. 액세스 제어 정책모두 허용을 선택합니다. 즉, 모든 사용자가 자신의 보안 그룹 정보를 gcloud CLI 및Google Cloud 콘솔과 공유합니다.

  8. 마침을 클릭합니다.

클레임 이름에 LDAP 속성 매핑

  1. AD FS 관리에서 신뢰 당사자 트러스트 > 클레임 발급 정책 편집을 선택합니다.

  2. LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.

  3. 클레임 규칙 이름groups를 입력합니다.

  4. 속성 저장소Active Directory를 선택합니다.

  5. 표에서 LDAP 속성에 대해 다음을 선택합니다.

    • AD FS 버전 5.0 이상: 도메인 이름으로 정규화된 토큰 그룹
    • 5.0 이전의 AD FS 버전: 토큰 그룹 - 정규화된 이름

  6. 보내는 클레임 유형에서 다음을 선택합니다.

    • AD FS 버전 5.0 및 이후: Group
    • AD FS 버전 5.0 이전: groups

  7. 마침을 클릭하고 적용을 클릭합니다.

AD FS에 Kubernetes 클라이언트 애플리케이션 등록

관리자 모드에서 PowerShell 창을 열고 다음 명령어를 입력합니다.

Grant-AD FSApplicationPermission `
  -ClientRoleIdentifier "[CLIENT_ID]" `
 -ServerRoleIdentifier [SERVER_ROLE_IDENTIFIER] `
  -ScopeName "allatclaims", "openid"

다음을 바꿉니다.

  • [CLIENT_ID]는 이전에 가져온 클라이언트 ID입니다.

  • [SERVER_ROLE_IDENTIFIER]는 이전에 입력한 클레임 식별자입니다. 제안된 식별자는 token-groups-claim이었다는 것을 기억하세요.

Microsoft Entra ID

Microsoft Entra ID에 OAuth 클라이언트를 등록하려면 다음 링크의 단계를 완료합니다.

  1. 아직 수행하지 않았다면 Microsoft Entra 테넌트를 설정합니다.

  2. Microsoft Entra ID에 애플리케이션 등록하기

  3. Microsoft Entra 관리 센터에서 앱 등록 페이지를 열고 애플리케이션을 선택합니다. 애플리케이션 개요 페이지가 열립니다.

  4. 클라이언트 보안 비밀번호를 만듭니다.

    1. 탐색 메뉴에서 인증서 및 보안 비밀을 클릭합니다.
    2. 클라이언트 보안 비밀번호 탭을 클릭합니다.
    3. '새 클라이언트 보안 비밀번호'를 클릭합니다. 보안 비밀 이름을 지정하고 추가를 클릭합니다.
    4. 보안 비밀의 을 안전한 위치에 저장합니다. 페이지를 닫거나 새로고침한 후에는 이를 검색할 수 없습니다.

    자세한 내용은 Microsoft Entra ID에서 애플리케이션 사용자 인증 정보 추가 및 관리하기를 참고하세요.

  5. 리디렉션 URI를 추가합니다.

    1. 탐색 메뉴에서 인증을 클릭합니다.
    2. 플랫폼 구성 섹션에서 플랫폼 추가를 클릭합니다. 플랫폼 구성 창이 열립니다.
    3. 을 클릭합니다.
    4. 리디렉션 URI 필드에 gcloud CLI 로그인 흐름에 http://localhost:PORT/callback을 입력합니다. 1024보다 큰 PORT를 선택합니다.
    5. 구성을 클릭합니다.
    6. URI 추가를 클릭하여 다른 URI를 추가합니다.
    7. Google Cloud 콘솔 로그인 흐름에 https://console.cloud.google.com/kubernetes/oidc를 입력합니다.
    8. 구성을 저장합니다.

    자세한 내용은 애플리케이션에 리디렉션 URI를 추가하는 방법을 참고하세요.

이제 클라이언트 등록이 완료되었습니다. 클러스터 관리자와 공유하려면 다음 정보가 있어야 합니다.

  • 발급기관 URI: https://login.microsoftonline.com/TENANT_ID/v2.0. 테넌트 ID는 Microsoft Entra 관리 센터의 애플리케이션 개요 페이지에 Directory (tenant) ID로 표시됩니다.

  • 클라이언트 ID: 클라이언트 ID는 Microsoft Entra 관리 센터의 애플리케이션 개요 페이지에 Application (client) ID로 표시됩니다.

  • 클라이언트 보안 비밀번호: 클라이언트 애플리케이션을 등록할 때 생성한 클라이언트 보안 비밀번호의 값입니다. 이 값에 액세스할 수 없는 경우 새 보안 비밀을 생성합니다.

Microsoft Entra ID 고급 설정

클러스터 사용자가 200개 넘는 Microsoft Entra ID 그룹에 속하고, Microsoft Entra ID 그룹 기반의 승인 정책으로 클러스터를 설정하려는 경우에만 이 고급 설정을 사용하세요. Microsoft Entra ID 고급 설정은 다음 플랫폼을 지원합니다.

  • 온프레미스 Google Distributed Cloud (VMware 및 베어메탈 모두): 버전 1.14부터
  • AWS용 GKE: 버전 1.14부터 (Kubernetes 버전 1.25 이상)
  • Azure용 GKE: 버전 1.14부터 (Kubernetes 버전 1.25 이상)

시작하기 전에 각 사용자에게 Microsoft Entra ID에서 해당 식별자로 구성된 연관된 이메일 주소가 있는지 확인합니다. 이 이메일 주소는 사용자의 ID를 어설션하고 요청을 인증하는 데 사용됩니다.

이전 섹션에서 등록한 클라이언트에 Microsoft Graph API에서 사용자 및 그룹 정보를 가져올 수 있는 권한을 위임했는지 확인해야 합니다. 이러한 권한을 사용하면 Kubernetes 인증 메커니즘이 그룹 정보를 가져오는 Microsoft Graph API 엔드포인트에 액세스할 수 있습니다. 이 단계를 수행하지 않으면 클러스터에서 사용자의 그룹 정보를 가져올 수 없으므로 그룹 기반 RBAC 승인 정책이 예상대로 작동하지 않습니다.

이 설정 단계를 수행하려면 전역 관리자나 조직 관리자 권한이 있어야 합니다.

  1. Microsoft Entra 관리 센터에 로그인합니다.
  2. 클라이언트 애플리케이션이 있는 Microsoft Entra 테넌트를 선택합니다.
  3. 앱 등록을 선택한 다음 클라이언트 애플리케이션을 선택합니다.
  4. API 권한 - 권한 추가 - Microsoft Graph - 위임된 권한을 선택합니다.
  5. 그룹 탭에서 Group.Read.All을 선택합니다. 사용자 탭에서 User.Read.All을 선택합니다.
  6. 권한 추가를 클릭하여 프로세스를 완료합니다.
  7. 관리자 동의 부여...를 클릭하여 모든 사용자를 대신하여 동의를 부여합니다. 자세한 내용은 API 권한 및 관리자 동의에 대한 자세한 내용을 참고하세요.

ID 공급업체 세부정보 공유

클러스터 설정을 위해 클러스터 관리자와 다음과 같은 공급업체 정보를 공유합니다.

  • 제공업체의 발급기관 URI
  • 클라이언트 보안 비밀번호
  • 클라이언트 ID
  • gcloud CLI에 지정한 리디렉션 URI 및 포트
  • 제공업체가 토큰에서 사용자를 식별하는 데 사용하는 사용자 이름 필드(클레임)(클러스터를 구성할 때 가정된 기본값은 sub)
  • 제공업체가 보안 그룹을 반환하기 위해 사용하는 그룹 이름 필드(클레임)(있는 경우)
  • 이전 섹션의 설명대로 제공업체와 관련된 모든 추가 범위 또는 매개변수 예를 들어 승인 서버에서 Microsoft Entra ID 및 Okta의 인증 동의를 요청하면 클러스터 관리자는 prompt=consent를 매개변수로 지정해야 합니다. AD FS에서 보안 그룹 정보를 제공하도록 구성한 경우 관련 추가 매개변수는 resource=token-groups-claim (또는 신뢰 당사자 트러스트 식별자로 선택한 매개변수)입니다.
  • (선택사항) 제공업체가 공개 인증 기관에서 서명한 인증서를 사용하지 않는 경우(예: 자체 서명 인증서를 사용하는 경우) ID 공급업체의 인증서(또는 인증서 체인)가 필요합니다. 인증서(또는 인증서 체인)에는 최소한 루트 인증서가 포함되어야 합니다(체인이 루트 인증서까지 연속적으로 유지되는 한 부분 체인도 허용됨). ClientConfig에 이 값을 제공할 때는 base64 인코딩 문자열로 형식을 지정해야 합니다. 문자열을 만들려면 전체 PEM 인코딩 인증서를 단일 문자열로 연결한 후 이를 base64로 인코딩합니다.

클러스터의 구성 매개변수에 대한 자세한 내용은 클러스터 구성을 참고하세요.

다음 단계