이 패턴은 주로 인증체계가 없는 애플리케이션에 OAuth 2.0 인증체계를 부여하는데 유용하다. 여기서는 GitHub 사용자만 Kafka Manager에 접근하는 사례를 보인다.
알아둘 점
- GitHub에 OAuth 애플리케이션을 등록하려면 Organization의 Owner 권한이 필요하다.
- Kafka Manager 입장에서 볼 때 oauth2_proxy는 단순한 Nginx reverse proxy일 뿐이다.
- GitHub 서버의 아이피 주소 범위는 GitHub API를 호출해 받아올 수 있다. Kubernetes CronJob을 이용해 GitHub 서버의 주소를 AWS Security Group에 정기적으로 반영한다.
- 접속기록은 GitHub audit log 또는 GitHub과 SAML 연결한 G-Suite의 감사기록에 남는다. ELB access log를 추가로 확보해도 좋다.
- GitHub의 특정 팀만 접속가능하게 설정해도 된다.
- GitHub보다는 G-Suite으로 SSO 연결하는 편이 나을 수도 있다. 계정 관리를 자동화하기에 더 용이하기 때문이다.
- OAuth 2.0 proxy 구현체는 여럿이다.
Author Details
Kubernetes, DevSecOps, AWS, 클라우드 보안, 클라우드 비용관리, SaaS 의 활용과 내재화 등 소프트웨어 개발 전반에 도움이 필요하다면 도움을 요청하세요. 지인이라면 가볍게 도와드리겠습니다. 전문적인 도움이 필요하다면 저의 현업에 방해가 되지 않는 선에서 협의가능합니다.
[…] K8s OAuth2 Proxy 용례 […]