このチャレンジでは、Kubernetes ダッシュボード用の読み取り専用サービスアカウントを作成することで、Kubernetes クラスターのセキュリティを強化します。このプロセスを通じて、ロールベースアクセス制御(RBAC)への理解を深めることができます。具体的には、新しいサービスアカウントの作成、読み取り専用権限を持つクラスターロール(ClusterRole)の定義、およびそのロールのサービスアカウントへの紐付け(Binding)を行います。最後に、ダッシュボードへのログインに使用するサービスアカウント用のトークンを生成します。
ジュニア DevOps エンジニアとして、Kubernetes ダッシュボード用の読み取り専用サービスアカウントを作成し、クラスターのセキュリティを向上させてください。このタスクでは、RBAC(ロールベースアクセス制御)の実践的なスキルが求められます。
kubernetes-dashboard 名前空間に read-only-user という名前の新しいサービスアカウントを作成するClusterRole を作成する。これには、pods、services、nodes、namespaces、deployments に対する get、list、watch 操作を許可するClusterRole を、新しいサービスアカウント read-only-user に紐付ける~/project ディレクトリで作業することkubernetes-dashboard 名前空間を使用することread-only-dashboard-access.yaml という名前の YAML ファイルを作成することdefault 名前空間に制限すること以下の YAML ファイルの内容を使用してください:
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: read-only-user
namespace: kubernetes-dashboard
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: read-only-dashboard-role
rules:
- apiGroups: [""]
resources: ["pods", "services", "nodes", "namespaces", "deployments"]
verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: read-only-dashboard-access
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: read-only-dashboard-role
subjects:
- kind: ServiceAccount
name: read-only-user
namespace: kubernetes-dashboardサービスアカウントのトークン出力例:
eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9...ログイン後のダッシュボード表示例:
recommended.yaml ファイルを適用してダッシュボードをデプロイしますkubectl create および kubectl apply コマンドを使用しますClusterRole と ClusterRoleBinding の設定を確認してくださいkubectl -n kubernetes-dashboard create token read-only-user を使用しますまとめると、このチャレンジでは Kubernetes ダッシュボード用の読み取り専用サービスアカウントを作成し、クラスターのセキュリティを強化しました。新しいサービスアカウントの作成、読み取り専用権限を持つクラスターロールの定義、およびそれらの紐付けを行い、最後にログイン用のトークンを生成しました。
