Kubespray 인증/인가 변경
kube-apiserver 인증서에 SAN 추가
OIDC 설정
group_vars/k8s_cluster/k8s-cluster.yml
kube_oidc_auth: true
kube_oidc_url: ""
kube_oidc_client_id: ""
# kube_oidc_ca_file: "{{ kube_cert_dir }}/ca.pem"
kube_oidc_username_claim: email
# kube_oidc_username_prefix: 'oidc:'
kube_oidc_groups_claim: groups
# kube_oidc_groups_prefix: 'oidc:'
ansible-playbook -i <inventory> -b upgrade-cluster.yml --tags master
클라이언트 설정은 Kubernetes 인증(Authn)을 참고하세요.
정보
/etc/kubernetes/kubeadm-config.yaml에 OIDC 설정이 반영되었지만 kube-apiserver에 옵션이 추가되지 않은 경우 kube_control_plane 노드에 접속하여 아래 명령어를 실행합니다.
kubeadm init phase control-plane apiserver --config=/etc/kubernetes/kubeadm-config.yaml