Kubernetes 연산자에 대한 자격 증명 생성
Kubernetes Operator가 객체 를 생성하거나 업데이트 하는 경우 Cloud Manager 또는 Ops Manager 프로젝트에서는 프로 그래매틱 API 키 를 시크릿 저장 도구 에 저장 해야 합니다.
동일한 네임스페이스에 여러 시크릿이 존재할 수 있습니다. 각 사용자에게는 고유한 비밀이 있어야 합니다.
아래 절차 에 따라 프로그래밍 방식 API 키 를 Kubernetes 시크릿 으로 수동으로 저장할 수 있습니다. . 또는 다음을 수행할 수도 있습니다.
MongoDB Cloud Manager UI 또는 MongoDB Ops Manager UI 를 사용하여 Kubernetes 시크릿 YAML 파일을 자동으로 생성한 다음 Kubernetes 환경에 적용할 수 있습니다.
볼트 시크릿 생성 절차에 따라 프로그래밍 방식 API 키 를 볼트 시크릿으로 저장합니다. Vault를 사용하려면 시크릿 스토리지도 구성해야 합니다.
전제 조건
Kubernetes Operator에 대한 자격 증명을 생성하려면 다음을 수행해야 합니다.
MongoDB Ops Manager 조직을 보유하거나 생성합니다.
이 새 프로그래밍 방식 API 키를 부여합니다.
조직 소유자 또는
Global Owner역할: Kubernetes 연산자가 프로젝트를 생성하고 관리하도록 하려는 경우.프로젝트 소유자 역할: Kubernetes Operator가 프로젝트만 관리하도록 하려는 경우.
참고
프로그래매틱 API 키에 조직 소유자 또는
Global Owner역할을 부여해야 합니다. 프로그래매틱 API 키에 프로젝트 소유자 역할만 부여하려면 먼저 프로젝트를 만든 다음 프로젝트 소유자 역할이 있는 프로젝트에 대한 프로그래매틱 API 키를 만들어야 합니다. 프로그래매틱 API 키에 프로젝트 소유자 역할만 있는 경우 Kubernetes Operator는 프로젝트를 만들 수 없습니다.Kubernetes Operator를 제공하는 모든 호스트의 IP 또는 CIDR 블록을 API 액세스 목록에 추가합니다.
절차
Kubernetes 시크릿을 생성하려면 다음을 수행합니다.
새 Kubernetes 시크릿 만들기
원하는 Ops Manager 프로그래밍 방식 API 키에 대한 공개 키와 비공개 키가 있는지 확인합니다.
다음 Kubernetes 명령을 호출하여 시크릿을 생성합니다.
kubectl -n <metadata.namespace> \ create secret generic <mycredentials> \ --from-literal="publicKey=<publicKey>" \ --from-literal="privateKey=<privateKey>" 플래그는 네임스페이스 를 제한합니다. 이
-n시크릿이 적용됩니다. 모든 MongoDB Kubernetes 리소스는 시크릿 과 동일한 네임스페이스에 존재해야 합니다. 및 ConfigMaps . Kubernetes Operator는 시크릿이나 ConfigMap을 사용하지 않습니다.참고
이 명령의 더 이상 사용되지 않는 버전은
publicKey및privateKey대신user및publicApiKey를 지정합니다. Kubernetes 연산자는 인증을 위해 두 버전을 모두 허용합니다.