Kubernetes Custom AuthN + AuthZ

이 글은 Hyperconnect에서 자체적으로 구축한 Kubernetes 인증 및 인가 시스템에 대해 설명합니다. 기존 AWS IAM Authenticator 대신 Google 계정 인증과 사용자 그룹 관리를 위해 Pomerium과 kubehook을 활용하는 방식을 소개합니다.

사용자는 Pomerium을 통해 Google 계정으로 인증받고 토큰을 발급받으며, 이 토큰을 사용하여 Kubernetes API 서버에 요청을 보냅니다. API 서버는 kubehook을 통해 토큰의 유효성을 검증하고, 이를 통해 인증 및 인가 과정을 처리합니다.

특히 kubehook은 마스터 노드에 DaemonSet으로 배포되어 보안을 강화하며, 클라이언트 인증서 없이는 접근할 수 없도록 설계되어 외부 공격으로부터 시스템을 보호합니다. 이 시스템은 Kubernetes 인증에 대한 이해를 돕고, 자체 인증 시스템 구축에 대한 인사이트를 제공합니다.