[Ep.14] [Argo CD 운영 #9] Argo CD 프로젝트(Project)와 RBAC(Role-Based Access Control) 설정

Kubernetes Tools/ArgoCD

[Ep.14] [Argo CD 운영 #9] Argo CD 프로젝트(Project)와 RBAC(Role-Based Access Control) 설정

ygtoken 2025. 3. 17. 13:07

728x90

🔹 Argo CD에서 프로젝트(Project)란?

Argo CD에서는 여러 개의 애플리케이션을 프로젝트(Project) 단위로 그룹화하여 관리할 수 있습니다.
프로젝트를 활용하면 애플리케이션을 보다 체계적으로 관리하고,
네임스페이스 및 클러스터별 접근을 제한할 수 있는 RBAC(Role-Based Access Control)과 연동하여 보안성을 강화할 수 있습니다.

✅ Argo CD 프로젝트의 주요 기능
✔ 애플리케이션을 논리적으로 그룹화하여 관리
✔ 특정 네임스페이스 또는 클러스터에 대한 배포 제한 가능
✔ RBAC(Role-Based Access Control)를 적용하여 권한 제어 가능
✔ Git 저장소 및 Helm 차트 접근 권한 설정 가능

🔹 Argo CD 프로젝트 생성 및 관리

✅ 1. 프로젝트 생성 (YAML 방식)

다음 YAML을 사용하여 ApplicationSet을 관리할 **새로운 프로젝트(Project)**를 생성할 수 있습니다.

apiVersion: argoproj.io/v1alpha1
kind: AppProject
metadata:
  name: example-project  # 프로젝트 이름
  namespace: argocd  # Argo CD 네임스페이스
spec:
  description: "Example project for managing applications"  # 프로젝트 설명

  sourceRepos:
    - https://github.com/example/repo.git  # 허용된 Git 저장소

  destinations:
    - namespace: example-namespace  # 배포할 수 있는 네임스페이스
      server: https://kubernetes.default.svc  # 배포할 수 있는 클러스터
  
  clusterResourceWhitelist:
    - group: "*"  # 모든 그룹의 리소스 허용
      kind: "*"  # 모든 리소스 유형 허용
  
  namespaceResourceBlacklist:
    - group: "policy"
      kind: "PodSecurityPolicy"  # PodSecurityPolicy 리소스 생성 제한

  roles:
    - name: developer
      description: "Developer role with limited access"
      policies:
        - p, proj:example-project:developer, applications, get, example-project/*, allow
      groups:
        - dev-team

✅ 설명:

sourceRepos → 해당 프로젝트에서 배포 가능한 Git 저장소 목록 지정
destinations → 애플리케이션이 배포될 수 있는 클러스터 및 네임스페이스 제한
clusterResourceWhitelist → 프로젝트 내에서 생성할 수 있는 Kubernetes 리소스 목록 지정
namespaceResourceBlacklist → 특정 네임스페이스에서 제한할 리소스 종류 설정
roles → RBAC(Role-Based Access Control) 규칙을 설정하여 특정 그룹에 권한 부여 가능

✅ 2. CLI를 사용한 프로젝트 생성

YAML 파일 없이 CLI를 사용하여 프로젝트를 생성할 수도 있습니다.

argocd proj create example-project \
  --description "Example project for managing applications"

✅ Git 저장소 허용 추가:

argocd proj add-source example-project https://github.com/example/repo.git

✅ 배포 가능한 네임스페이스 및 클러스터 설정:

argocd proj add-destination example-project https://kubernetes.default.svc example-namespace

✅ RBAC 역할 추가:

argocd proj role create example-project developer
argocd proj role add-policy example-project developer --action get --object example-project/* --permission allow

🔹 Argo CD RBAC (Role-Based Access Control) 설정

Argo CD의 RBAC(Role-Based Access Control)는 사용자 및 그룹의 애플리케이션 및 프로젝트 접근을 제한하는 기능을 제공합니다.
RBAC 설정은 argocd-rbac-cm ConfigMap을 통해 정의됩니다.

✅ 1. Argo CD RBAC 기본 설정 (ConfigMap 방식)

RBAC 설정은 Argo CD가 실행되는 네임스페이스의 ConfigMap을 수정하여 적용할 수 있습니다.

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-rbac-cm
  namespace: argocd
data:
  policy.default: role:readonly  # 기본 사용자 역할 설정
  policy.csv: |
    p, role:admin, applications, *, */*, allow
    p, role:developer, applications, get, example-project/*, allow
    g, alice, role:admin  # alice 사용자는 admin 역할 부여
    g, bob, role:developer  # bob 사용자는 developer 역할 부여

✅ 설명:

policy.default: role:readonly → 기본적으로 모든 사용자는 읽기 전용 역할 부여
role:admin → 모든 애플리케이션에 대한 전체 권한 부여
role:developer → example-project 내 애플리케이션에 대한 읽기 권한만 허용
g, alice, role:admin → alice 사용자는 관리자 역할 부여
g, bob, role:developer → bob 사용자는 개발자 역할 부여

✅ 2. RBAC 역할 및 권한 확인 (CLI 명령어)

✅ 현재 RBAC 정책 확인:

argocd proj role list example-project

✅ 특정 사용자 또는 그룹의 권한 확인:

argocd proj role get example-project developer

✅ 새로운 역할(Role) 추가:

argocd proj role create example-project qa-engineer
argocd proj role add-policy example-project qa-engineer --action get --object example-project/* --permission allow

✅ 특정 역할(Role)에 사용자 추가:

argocd proj role add-group example-project qa-engineer qa-team

✅ RBAC 정책 적용 후 Argo CD 서버 재시작:

kubectl rollout restart deployment argocd-server -n argocd

🔹 Argo CD RBAC을 활용한 보안 강화 전략

✅ 1. 프로젝트(Project) 기반으로 접근 권한을 제한

개발팀, QA팀, 운영팀 등 팀별 프로젝트를 생성하고, 역할(Role)을 분리

✅ 2. 특정 클러스터 및 네임스페이스에 대한 배포 제한

운영 환경(Production)과 개발 환경(Development)을 분리하고 접근 권한을 제어

✅ 3. Git 저장소 접근 제한을 적용하여 보안 강화

특정 Git 저장소에서만 애플리케이션을 배포할 수 있도록 제한

✅ 4. RBAC 정책을 정기적으로 점검하고 필요 시 업데이트

운영 중 불필요한 권한을 제거하고, 최소 권한 원칙(Principle of Least Privilege)을 준수

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 Argo CD 프로젝트(Project)를 활용하면 애플리케이션을 논리적으로 그룹화하고 관리 가능
🟢 RBAC(Role-Based Access Control)를 활용하면 사용자의 애플리케이션 및 클러스터 접근을 제한 가능
🟢 CLI 및 YAML을 사용하여 프로젝트 생성 및 RBAC 정책을 적용할 수 있으며, 이를 통해 보안성을 강화 가능
🟢 RBAC 설정을 통해 특정 Git 저장소, 네임스페이스, 클러스터에 대한 배포 권한을 세밀하게 조정 가능

728x90

저작자표시 비영리 변경금지

'Kubernetes Tools > ArgoCD' 카테고리의 다른 글

[Ep.16] [Argo CD 배포 & 자동화 #1] Argo CD와 GitOps를 활용한 완전 자동화 배포 구축 (0)	2025.03.17
[Ep.15] [Argo CD 운영 #10] Argo CD를 활용한 다중 클러스터(Multi-Cluster) 배포 전략 (0)	2025.03.17
[Ep.13] [Argo CD 운영 #8] Argo CD에서 애플리케이션 상태 모니터링 및 알림(Notification) 설정 (0)	2025.03.17
[Ep.12] [Argo CD 운영 #7] Argo CD의 롤백(Rollback) 및 배포 이력 관리 (0)	2025.03.17
[Ep.11] [Argo CD 운영 #6] Argo CD에서 동기화(Sync) 및 배포 전략 최적화 (0)	2025.03.17

현재글[Ep.14] [Argo CD 운영 #9] Argo CD 프로젝트(Project)와 RBAC(Role-Based Access Control) 설정

YG Tech Blog

A blog about IT, covering topics from cloud computing and DevOps to Kubernetes and system architecture. Sharing insights, solutions, and best practices for modern IT professionals

kubernetes, Cilium, langchain, Minio, 서비스_운영, 쿠버네티스, Istio, YAML, DaemonSet, Python, argocd, 서비스메시, DevOps, k8s, RAG, 파이썬, gitops, CI/CD, statefulset, Security,

Today :
Yesterday :

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

YG Tech Blog