K8s OAuth2 Proxy 용례

Jaehoon Choi
Draft · 1 min read
oauth proxy 활용 사례

이 패턴은 주로 인증체계가 없는 애플리케이션에 OAuth 2.0 인증체계를 부여하는데 유용하다. 여기서는 GitHub 사용자만 Kafka Manager에 접근하는 사례를 보인다.

알아둘 점

  • GitHub에 OAuth 애플리케이션을 등록하려면 Organization의 Owner 권한이 필요하다.
  • Kafka Manager 입장에서 볼 때 oauth2_proxy는 단순한 Nginx reverse proxy일 뿐이다.
  • GitHub 서버의 아이피 주소 범위는 GitHub API를 호출해 받아올 수 있다. Kubernetes CronJob을 이용해 GitHub 서버의 주소를 AWS Security Group에 정기적으로 반영한다.
  • 접속기록은 GitHub audit log 또는 GitHub과 SAML 연결한 G-Suite의 감사기록에 남는다. ELB access log를 추가로 확보해도 좋다.
  • GitHub의 특정 팀만 접속가능하게 설정해도 된다.
  • GitHub보다는 G-Suite으로 SSO 연결하는 편이 나을 수도 있다. 계정 관리를 자동화하기에 더 용이하기 때문이다.
  • OAuth 2.0 proxy 구현체는 여럿이다.

Originally published at 안드로메다 토끼.