K8s OAuth2 Proxy 용례

oauth proxy 활용 사례

이 패턴은 주로 인증체계가 없는 애플리케이션에 OAuth 2.0 인증체계를 부여하는데 유용하다. 여기서는 GitHub 사용자만 Kafka Manager에 접근하는 사례를 보인다.

알아둘 점

  • GitHub에 OAuth 애플리케이션을 등록하려면 Organization의 Owner 권한이 필요하다.
  • Kafka Manager 입장에서 볼 때 oauth2_proxy는 단순한 Nginx reverse proxy일 뿐이다.
  • GitHub 서버의 아이피 주소 범위는 GitHub API를 호출해 받아올 수 있다. Kubernetes CronJob을 이용해 GitHub 서버의 주소를 AWS Security Group에 정기적으로 반영한다.
  • 접속기록은  GitHub audit log 또는 GitHub과 SAML 연결한 G-Suite의 감사기록에 남는다. ELB access log를 추가로 확보해도 좋다.
  • GitHub의 특정 팀만 접속가능하게 설정해도 된다.
  • GitHub보다는 G-Suite으로 SSO 연결하는 편이 나을 수도 있다. 계정 관리를 자동화하기에 더 용이하기 때문이다.
  • OAuth 2.0 proxy 구현체는 여럿이다.

Also published on Medium.

최 재훈

블로그, 페이스북, 트위터 고성능 서버 엔진, 데이터베이스, 지속적인 통합 등 다양한 주제에 관심이 많다.
Close Menu