1. AKS에 Managed Identity 또는 Service Principal이 필요한 이유
- Azure API와 상호 작용하기 위해서 AKS 클러스터에 Managed Identity 또는 Service Principal이 필요하다.
- AKS → Azure 리소스(LB, Managed Disk, ACR 등)에 액세스 할 때 해당 ID를 통해 액세스한다.
- Managed Identity
- AKS 클러스터의 기본 인증 방법으로 AKS 클러스터를 배포하면 시스템이 할당한 관리 ID가 자동으로 만들어지고 Azure 플랫폼에서 관리한다.
- 관리 ID 자격 증명은 90일 후에 만료되며 45일 후에 자동으로 롤업된다.
- Service Principal
- CLI를 통해서 AKS를 배포할 때 사용 가능하다.
- AKS 클러스터를 기존 Azure 가상 네트워크 서브넷에 배포하거나 ACR에 연결하려면 해당 리소스에 대한 액세스를 서비스 주체에 위임해야 한다.
- 서비스 주체를 사용하는 클러스터는 결국 만료되며, ID를 사용한 클러스터 인증에 영향을 주지 않도록 서비스 주체를 갱신해야 한다.
- Managed Identity
2. Managed Identity 및 Service Principal의 차이점
2-1. Managed Identity
- Azure의 리소스나 사용자, App 등에 ID 를 부여하는 방법이다.
- Azure 리소스에만 적용 가능하다.
- 종류
- System-assigned managed identity
- user-assigned managed identity
- Service Principal
2-2. Service Principal
- Azure의 리소스나 사용자, App 등에 ID 를 부여하는 방법이다.
- Microsoft Entra 서비스 주체를 만들려면 Microsoft Entra 테넌트에 애플리케이션을 등록하고 애플리케이션을 구독의 역할에 할당할 수 있는 권한이 필요하다.
- Application에 적용 가능하며 이 App 은 반드시 Azure 의 리소스에서 실행되지 않아도 된다.
참고
AKS(Azure Kubernetes Services)에서 서비스 주체 사용 - Azure Kubernetes Service
AKS(Azure Kubernetes Service)에서 클러스터를 사용하여 Microsoft Entra 서비스 주체를 만들고 관리하는 방법을 알아봅니다.
learn.microsoft.com
AKS(Azure Kubernetes Service)에서 관리 ID 사용 - Azure Kubernetes Service
AKS(Azure Kubernetes Service)에서 시스템이 할당하거나 사용자가 할당한 관리 ID를 사용하는 방법을 알아봅니다.
learn.microsoft.com
'Cloud > Azure' 카테고리의 다른 글
| [Azure] Landing Zone 및 Azure Landing Zone 개념 (0) | 2024.07.02 |
|---|---|
| [Azure] Azure Virtual WAN 개념 및 테스트 (32) | 2024.05.16 |
| [Azure] Azure Private Endpoint 개념 및 쿼리 프로세스 (1) | 2024.02.13 |
| [Network] AWS 및 Azure 간의 Active-Active VPN 구성 (0) | 2024.02.08 |
| [Network] SSL 인증서 구입 및 Azure Application Gateway에 SSL 인증서 등록 (0) | 2024.01.03 |
