Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

kubeconfig 파일 없이 kubectl 옵션만으로 실행하는 방법

지난 "kubectl 수행 시 다른 k8s 클러스터로 접속하는 방법" 글에서 소개한,

Mastering the KUBECONFIG file
; https://ahmet.im/blog/mastering-kubeconfig/

글에는 "Tip 5: Use kubectl without a kubeconfig"에 대한 명령행이 나옵니다.

kubectl get nodes \
    --server https://localhost:6443 \
    --user docker-for-desktop \
    --client-certificate my.cert \
    --client-key my.key \
    --insecure-skip-tls-verify

그런데, 도대체 저 명령행의 my.cert, my.key는 어떻게 구할 수 있는지에 대한 설명이 없습니다. 이번에는 바로 저 내용을 다뤄보려고 하는데요, 대신 인증서와 key 파일을 새로 생성해서 사용하지 않고 기존 kubeconfig 파일의 내용을 기반으로 저 명령어가 동작하게 만들 것입니다.




기본적으로 kubectl은 kubeconfig 파일의,

[WSL 2]
$HOME/.kube/config

[윈도우]
%USERPROFILE\.kube\config

설정에 따라 k8s 클러스터와 연동합니다. 그리고 저 config 파일을 보면 다음과 같은 구성을 갖는데요,

$ cat $HOME/.kube/config
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1C...[생략]...SUZJQ0FURS0tLS0tCg==
    server: https://127.0.0.1:20971
  name: kind-cluster2
contexts:
- context:
    cluster: kind-cluster2
    user: kind-cluster2
  name: kind-cluster2
current-context: kind-cluster2
kind: Config
preferences: {}
users:
- name: kind-cluster2
  user:
    client-certificate-data: LS0tLS1CRUdJT...[생략]...tLQo=
    client-key-data: LS0tLS1CRUdJ...[생략]...U0EgUFJJVkFURSBLRVktLS0tLQo=

사실 이 파일이 없어도 kubectl은 옵션 설정만으로 연동을 할 수 있습니다. 가령 다음과 같은 식으로 명령을 수행할 수 있는데요,

kubectl get nodes --server [master_address] --client-certificate [client_certificate_file_path] --client-key [client_key_file_path] --insecure-skip-tls-verify

이 중에서 master_address는 config 파일의 "cluster.server" 항목의 주소(위의 예제에서는 https://127.0.0.1:20971)를 넣으면 됩니다. 그다음은 client_certificate_file_path 값을 구해야 하는데요, 이것은 config 파일에 있는 "client-certificate-data" 항목에 설정된 base64 인코딩된 텍스트로부터 구할 수 있습니다.

이를 위해 우선 해당 텍스트를 그대로 복사해 (예를 들어 cert-in.txt) 파일로 저장하고,

LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURFekNDQWZ1Z0F3...[생략]...Q0VSVElGSUNBVEUtLS0tLQo=

이 파일을 대상으로 base64 디코딩을 해 인증서 파일(.crt)을 만듭니다. (base64 명령어는 윈도우의 경우 없으므로 별도로 다운로드해야 합니다.)

c:\temp\knd> base64 -d cert-in.txt > cert-in.crt

c:\temp\knd> cat cert-in.crt
-----BEGIN CERTIFICATE-----
MIIDEzCCAfugAwIBAgIIUuKqgS/PRT8wDQYJKoZIhvcNAQELBQAwFTETMBEGA1UE
AxMKa3ViZXJuZXRlczAeFw0yMTAzMjQwMjA0NDZaFw0yMjAzMjQwMjA0NDhaMDQx
FzAVBgNVBAoTDnN5c3RlbTptYXN0ZXJzMRkwFwYDVQQDExBrdWJlcm5ldGVzLWFk
...[생략]...
FS4bA4wsNMBZXYIAjHmvTKPFRl8EDnjSPe31PceV60bkrqhlEwGEYSc8saIXuQd0
fK2inpGIWKfZ6JNnDC4olsAwRHieUaTR/e0xLkP1fX32lxQ9jqp3PmL6lHPq8gWU
d9Bh+vOH+kTqeKhbTEGtVaKGoFnS36s=
-----END CERTIFICATE-----

정상적으로 생성되었는지 openssl을 이용해 crt 파일의 내용을 검증해 볼 수 있습니다.

c:\temp\knd> openssl x509 -in cert-in.crt -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 5972523527676314943 (0x52e2aa812fcf453f)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = kubernetes
        Validity
            Not Before: Mar 24 02:04:46 2021 GMT
            Not After : Mar 24 02:04:48 2022 GMT
        Subject: O = system:masters, CN = kubernetes-admin
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00...[생략]...1f:
                    0f:9b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Authority Key Identifier:
                keyid:98:FA:BD:78:A2:31:85:A3:AA:9D:D5:63:69:03:5C:B6:7E:CE:F6:4B
    Signature Algorithm: sha256WithRSAEncryption
         b1:...[생략]...59:d2:df:ab

잘 나오는군요. ^^ 마찬가지의 방법으로 [client_key_file_path]를 구할 수 있는데요, config 파일에 있는 client-key-data 값을 cert-in-key.txt로 저장하고,

LS0tLS1CRU...[생략]...ktLS0tLQo=

base64 디코딩해 key 파일을 구합니다.

c:\temp\knd> base64 -d cert-in-key.txt > cert-in.key

c:\temp\knd> cat cert-in.key
-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEAwCIGezaperQESYswrWaCk/0/EP/Syx/hx8VJIlCwLS1imub7
b1d/oJhi9HbqvTpmq3i1KJFs+uHwT9PSreQqkHIt/M0tWWlXAymPM7bH5H4BTnpK
xkaWqToIBlx6oRMdqy+uGZc2yTz8V5WuMHe8lTzxLEslldPnH/GdifvdfBEUc8+x
...[생략]...
DexfSujsfyWfXUyLcB0C2xeljvUv+jmyhWs8zcnv5Hkf8ikzURY0YLtjs+qZi6rN
csScEQKBgQDxsw0qUZb5gcwt6xZwhTKMiP2dIPIPs85IRu+k1NPJH42ZPNtpAOGy
VL/v2JS4DdDExJXsWMLsWTAciYCqFa9+ReBLBoo6mr2UK3UlS19Wtl6VmTgNEByb
zcvZmeWJ5C3as4+Vo7nYip6QLjB000b6cPs3wBpszl8znbi1mRrpwg==
-----END RSA PRIVATE KEY-----

자, 이걸로 준비가 끝났군요. ^^ 인증서와 키 파일을 구했으니 이제 다음과 같은 명령어로 kubectl을 실행할 수 있습니다.

c:\temp\knd> kubectl get nodes --server https://127.0.0.1:20971 --client-certificate cert-in.crt --client-key cert-in.key
Error in configuration:
* client-cert-data and client-cert are both specified for kind-cluster2. client-cert-data will override.
* client-key-data and client-key are both specified for kind-cluster2; client-key-data will override

(굳이 동작하지 않게 만들 이유가 없었을 것 같은데) 오류의 원인은 %USERPROFILE%\.kube\config 파일이 있기 때문입니다. 임시로, 해당 파일을 삭제(또는 이름 변경)하고 다시 실행해 봅니다.

c:\temp\knd> kubectl get nodes --server https://127.0.0.1:20971 --client-certificate cert-in.crt --client-key cert-in.key
Unable to connect to the server: x509: certificate signed by unknown authority

이 오류는 인증서의 검증을 없애는 옵션을 지정하면 회피할 수 있는데요, 그래서 --insecure-skip-tls-verify 옵션을 주면 다음과 같이 잘 실행이 됩니다.

c:\temp\knd> kubectl get nodes --server https://127.0.0.1:20971 --client-certificate cert-in.crt --client-key cert-in.key --insecure-skip-tls-verify
NAME                     STATUS   ROLES                  AGE     VERSION
cluster2-control-plane   Ready    control-plane,master   3h48m   v1.20.2

또는, --insecure-skip-tls-verify 옵션을 주는 것이 마음에 들지 않는다면 CA 인증서도 함께 명령행에 지정해 주면 됩니다. 이를 위해 config 파일에 있던 "certificate-authority-data" 값을,

LS0tLS1CRUdJTi...[생략]...0tCg==

ca-in.txt로 저장하고 base64 디코딩해 파일을 구한 후,

c:\temp\knd> base64 -d ca-in.txt > ca.crt

c:\temp\knd> type ca.crt
-----BEGIN CERTIFICATE-----
MIIC5zCCAc+gAwIBAgIBADANBgkqhkiG9w0BAQsFADAVMRMwEQYDVQQDEwprdWJl
cm5ldGVzMB4XDTIxMDMyNDAyMDQ0NloXDTMxMDMyMjAyMDQ0NlowFTETMBEGA1UE
AxMKa3ViZXJuZXRlczCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALXD
...[생략]...
0q4lLsZ0iQz6OtXkmDVvGvF9ICB/x2weBNPuGcWIu4Qs6zf+KO84IqozYqt6XcIc
y2bAK1Ho8t45ohcBUFITZDCI+8pgvzB4TBcC
-----END CERTIFICATE-----

--certificate-authority 명령행 인자로 전달하면 됩니다.

c:\temp\knd> kubectl get nodes --server https://127.0.0.1:20971 --certificate-authority ca.crt --client-certificate cert-in.crt --client-key cert-in.key
NAME                     STATUS   ROLES                  AGE    VERSION
cluster2-control-plane   Ready    control-plane,master   3d5h   v1.20.2




CA의 인증서는 kubectl의 configmaps 옵션을 통해서도 구할 수 있습니다.

C:\temp\knd> kubectl get configmaps
NAME               DATA   AGE
kube-root-ca.crt   1      11h

"kube-root-ca.crt"는 이름으로써만 의미가 있고 실제 물리적인 파일로 놓여 있지는 않습니다. 그리고 이에 대한 인증서는 다음의 명령어로 구할 수 있습니다.

C:\temp\knd> kubectl describe configmaps kube-root-ca.crt
Name:         kube-root-ca.crt
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
ca.crt:
----
-----BEGIN CERTIFICATE-----
MIIC5zCCAc+gAwIBAgIBADANBgkqhkiG9w0BAQsFADAVMRMwEQYDVQQDEwprdWJl
...[생략]...
0q4lLsZ0iQz6OtXkmDVvGvF9ICB/x2weBNPuGcWIu4Qs6zf+KO84IqozYqt6XcIc
y2bAK1Ho8t45ohcBUFITZDCI+8pgvzB4TBcC
-----END CERTIFICATE-----

Events:  <none>

바로 저 출력에 포함된 "-----BEGIN CERTIFICATE-----", "-----END CERTIFICATE-----" 내용을 ca.crt 파일로 저장하고 확인해 보면 해당 인증서는 config 파일로부터 추출한 certificate-authority 인증서와 완전히 동일하다는 것을 알 수 있습니다.




위의 내용을 이해했으면, 이제 "kubectl 수행 시 다른 k8s 클러스터로 접속하는 방법" 글에서 kubeconfig 파일을 kubectl 명령어를 이용해 직접 생성하는 것이 가능하다고 하면서 인증서 파일을 직접을 --client-certificate, --client-key, --certificate-authority 인자로 설정했던 방법을 실습할 수 있을 것입니다.




참고로, config 파일이 담고 있는 certificate-authority-data CA 인증서 값은 k8s 구성에 사용한 인증서 디렉터리의 ca.crt와 같은 인증서입니다. 따라서 --certificate-authority 옵션에 전달할 인증서 파일을 config으로부터 추출할 필요 없이 k8s의 인증서 디렉터리에서 직접 복사해와도 무방합니다.

여기서 유의할 점이 있다면, 지난 글에서도 설명했지만,

Docker Desktop for Windows에서 DockerDesktopVM 기반의 Kubernetes 구성 (2) - k8s 서비스 위치
; https://www.sysnet.pe.kr/2/0/12576#cert

"Docker Desktop for Windows" 제품을 설치한 경우 k8s 관련 인증서들이 기본적으로 "%LOCALAPPDATA%\Docker\pki" 디렉터리에 있다고 설명했습니다. 그리고 k8s를 DockerDesktopVM에 구성한 경우에는 DockerDesktopVM의 /host/run/config/pki의 내용과 동일하므로 어느 인증서 파일을 사용해도 좋습니다.

하지만, kind로 구성한 k8s의 경우에는 개별 클러스터를 호스팅하는 컨테이너 내의 /etc/kubernetes/pki의 파일들은 "Docker Desktop for Windows"의 "%LOCALAPPDATA%\Docker\pki" 내용과 무관하므로 반드시 해당 클러스트를 호스팅하는 컨테이너 내의 파일들을 사용해야 합니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 4/12/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 




1  2  3  4  5  6  7  [8]  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12675정성태6/16/2021371Java: 20. maven package 명령어 결과물로 (war가 아닌) jar 생성 방법
12674정성태6/15/2021396VC++: 142. DEFINE_GUID 사용법
12673정성태6/15/2021544Java: 19. IntelliJ - 자바(Java)로 만드는 Web App을 Tomcat에서 실행하는 방법
12672정성태6/15/2021510오류 유형: 725. IntelliJ에서 Java webapp 실행 시 "Address localhost:1099 is already in use" 오류
12671정성태6/15/2021803오류 유형: 724. Tomcat 실행 시 Failed to initialize connector [Connector[HTTP/1.1-8080]] 오류
12670정성태6/13/2021399.NET Framework: 1071. DLL Surrogate를 이용한 Out-of-process COM 개체에서의 CoInitializeSecurity 문제파일 다운로드1
12669정성태6/11/2021564.NET Framework: 1070. 사용자 정의 GetHashCode 메서드 구현은 C# 9.0의 record 또는 리팩터링에 맡기세요.
12668정성태6/11/2021722.NET Framework: 1069. C# - DLL Surrogate를 이용한 Out-of-process COM 개체 제작파일 다운로드2
12667정성태6/10/2021535.NET Framework: 1068. COM+ 서버 응용 프로그램을 이용해 CoInitializeSecurity 제약 해결파일 다운로드1
12666정성태6/10/2021503.NET Framework: 1067. 별도 DLL에 포함된 타입을 STAThread Main 메서드에서 사용하는 경우 CoInitializeSecurity 자동 호출파일 다운로드1
12665정성태6/9/2021517.NET Framework: 1066. Wslhub.Sdk 사용으로 알아보는 CoInitializeSecurity 사용 제약파일 다운로드1
12664정성태6/9/2021439오류 유형: 723. COM+ PIA 참조 시 "This operation failed because the QueryInterface call on the COM component" 오류
12663정성태6/9/2021514.NET Framework: 1065. Windows Forms - 속성 창의 디자인 설정 지원: 문자열 목록 내에서 항목을 선택하는 TypeConverter 제작파일 다운로드1
12662정성태6/8/2021555.NET Framework: 1064. C# COM 개체를 PIA(Primary Interop Assembly)로써 "Embed Interop Types" 참조하는 방법파일 다운로드1
12661정성태6/4/20211731.NET Framework: 1063. C# - MQTT를 이용한 클라이언트/서버(Broker) 통신 예제 [3]파일 다운로드1
12660정성태6/3/2021656.NET Framework: 1062. Windows Forms - 폼 내에서 발생하는 마우스 이벤트를 자식 컨트롤 영역에 상관없이 수신하는 방법 [1]파일 다운로드1
12659정성태6/2/2021634Linux: 40. 우분투 설치 후 MBR 디스크 드라이브 여유 공간이 인식되지 않은 경우 - Logical Volume Management
12658정성태6/2/2021680Windows: 194. Microsoft Store에 있는 구글의 공식 Youtube App
12657정성태6/2/2021913Windows: 193. 윈도우 패키지 관리자 - winget 설치
12656정성태6/1/2021448.NET Framework: 1061. 서버 유형의 COM+에 적용할 수 없는 Server GC
12655정성태6/1/2021495오류 유형: 722. windbg/sos - savemodule - Fail to read memory
12654정성태5/31/2021469오류 유형: 721. Hyper-V - Saved 상태의 VM을 시작 시 오류 발생
12653정성태5/31/2021737.NET Framework: 1060. 닷넷 GC에 새롭게 구현되는 DPAD(Dynamic Promotion And Demotion for GC)
12652정성태5/31/2021437VS.NET IDE: 164. Visual Studio - Web Deploy로 Publish 시 암호창이 매번 뜨는 문제
12651정성태5/31/2021617오류 유형: 720. PostgreSQL - ERROR: 22P02: malformed array literal: "..."
12650정성태5/17/2021489기타: 82. OpenTabletDriver의 버튼에 더블 클릭을 매핑 및 게임에서의 지원 방법
1  2  3  4  5  6  7  [8]  9  10  11  12  13  14  15  ...