[Ep.40] [Argo CD 운영 최적화 #10] Argo CD와 GitOps를 활용한 멀티테넌시 환경 구성 및 RBAC 적용

Kubernetes Tools/ArgoCD

[Ep.40] [Argo CD 운영 최적화 #10] Argo CD와 GitOps를 활용한 멀티테넌시 환경 구성 및 RBAC 적용

ygtoken 2025. 3. 18. 10:25

728x90

🔹 멀티테넌시 환경이 필요한 이유

기업의 Kubernetes 클러스터는 다양한 팀(개발팀, QA팀, 운영팀 등) 및 서비스가 공유하여 사용하는 경우가 많습니다.
이를 효과적으로 관리하려면 멀티테넌시(Multi-Tenancy) 환경을 구성하고, 각 팀별로 권한을 세분화하여 적용해야 합니다.

✅ 멀티테넌시 운영이 필요한 이유

✔ 팀별, 프로젝트별 리소스 격리 필요
✔ 각 팀의 Kubernetes 리소스 접근을 제한하여 보안 강화
✔ GitOps 방식으로 네임스페이스 및 권한을 자동 관리
✔ RBAC을 활용하여 각 팀이 특정 네임스페이스만 관리하도록 제한 가능

🔹 1. Argo CD를 활용한 멀티테넌시 환경 구성

Kubernetes에서 멀티테넌시는 네임스페이스(Namespace) 기반 또는 클러스터 기반으로 운영할 수 있습니다.

✅ 1.1 네임스페이스 기반 멀티테넌시 구성

✅ 각 팀별로 별도의 네임스페이스를 생성하고, Argo CD를 활용하여 자동 관리

apiVersion: v1
kind: Namespace
metadata:
  name: dev-team  # 개발팀 전용 네임스페이스
---
apiVersion: v1
kind: Namespace
metadata:
  name: qa-team  # QA팀 전용 네임스페이스
---
apiVersion: v1
kind: Namespace
metadata:
  name: ops-team  # 운영팀 전용 네임스페이스

✅ Argo CD를 활용하여 네임스페이스 자동 동기화

apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: multi-tenancy-namespaces
  namespace: argocd
spec:
  project: default
  source:
    repoURL: https://github.com/example/repo.git
    targetRevision: main
    path: namespaces  # 네임스페이스 정의가 저장된 Git 경로
  destination:
    server: https://kubernetes.default.svc
    namespace: argocd
  syncPolicy:
    automated:
      prune: true
      selfHeal: true

✅ 설명:
✔ dev-team, qa-team, ops-team → 각 팀별 네임스페이스 생성
✔ syncPolicy.automated → Git 상태를 유지하여 네임스페이스 자동 동기화

✅ 배포된 네임스페이스 확인

kubectl get ns

✅ 출력 예시:

NAME           STATUS    AGE
dev-team       Active    5m
qa-team        Active    5m
ops-team       Active    5m

✅ 1.2 클러스터 기반 멀티테넌시 구성 (멀티 클러스터 운영)

✅ 팀별로 별도의 Kubernetes 클러스터를 운영하는 방식
✅ Argo CD를 활용하여 멀티 클러스터 동기화 가능

argocd cluster add CONTEXT_NAME

✅ 멀티 클러스터 동기화 설정 (ApplicationSet 활용)

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: multi-cluster-apps
  namespace: argocd
spec:
  generators:
    - list:
        elements:
          - cluster: "https://10.0.0.1:6443"
            name: "dev-cluster"
          - cluster: "https://10.0.0.2:6443"
            name: "qa-cluster"
  template:
    metadata:
      name: "{{name}}-example-app"
    spec:
      project: default
      source:
        repoURL: https://github.com/example/repo.git
        targetRevision: main
        path: k8s/manifests
      destination:
        server: "{{cluster}}"
        namespace: example
      syncPolicy:
        automated:
          prune: true
          selfHeal: true

✅ 설명:
✔ ApplicationSet을 활용하여 멀티 클러스터 동기화 자동화
✔ 클러스터별 애플리케이션을 자동으로 배포

🔹 2. Argo CD RBAC(Role-Based Access Control) 설정

✅ 2.1 Argo CD RBAC 설정 (네임스페이스별 접근 제한)

📌 Argo CD RBAC 설정 예제 (argocd-rbac-cm.yaml)

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-rbac-cm
  namespace: argocd
data:
  policy.default: role:readonly  # 기본적으로 모든 사용자는 Read-Only 권한만 가짐
  policy.csv: |
    p, admin, applications, *, */*, allow  # 관리자(Admin) 모든 애플리케이션 관리 가능
    p, dev, applications, sync, dev-team/*, allow  # 개발팀은 dev-team 네임스페이스 내 동기화 가능
    p, qa, applications, sync, qa-team/*, allow  # QA팀은 qa-team 네임스페이스 내 동기화 가능

✅ 설명:
✔ policy.default: role:readonly → 기본적으로 모든 사용자는 읽기 전용(Read-Only) 권한
✔ p, dev, applications, sync, dev-team/*, allow → Dev 팀은 dev-team 네임스페이스에만 동기화 가능

✅ RBAC 정책 적용

kubectl apply -f argocd-rbac-cm.yaml -n argocd
kubectl rollout restart deployment argocd-server -n argocd

✅ 2.2 SSO(Single Sign-On) 연동

Argo CD는 GitHub, LDAP, Keycloak 등의 SSO(싱글 사인온) 인증을 지원합니다.
DEX를 활용하여 OIDC 인증을 적용할 수 있습니다.

📌 OIDC 기반 SSO 설정 예제

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-cm
  namespace: argocd
data:
  url: https://argocd.example.com
  oidc.config: |
    name: Keycloak
    issuer: https://keycloak.example.com/auth/realms/master
    clientID: argocd
    clientSecret: $oidc.keycloak.clientSecret
    requestedScopes:
      - openid
      - profile
      - email

✅ 설명:
✔ issuer: https://keycloak.example.com/auth/realms/master → Keycloak OIDC 제공자 사용
✔ clientID: argocd → Argo CD의 OIDC 클라이언트 ID 설정
✔ clientSecret: $oidc.keycloak.clientSecret → 클라이언트 시크릿을 환경 변수로 관리

✅ SSO 적용 후 로그인 테스트

argocd login argocd.example.com --sso

✅ SSO 로그인을 통해 인증 성공 후 Argo CD 접근 가능

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 네임스페이스 기반 또는 클러스터 기반으로 멀티테넌시 환경을 구성 가능
🟢 Argo CD RBAC을 적용하여 팀별 접근 권한을 세분화할 수 있음
🟢 ApplicationSet을 활용하여 멀티 클러스터 애플리케이션을 동기화 가능
🟢 SSO(Single Sign-On) 인증을 연동하여 보안 강화 가능

728x90

저작자표시 비영리 변경금지

'Kubernetes Tools > ArgoCD' 카테고리의 다른 글

[Ep.42] [Argo CD 확장 #2] Argo CD API 및 CLI를 활용한 자동화 배포 파이프라인 구축 (0)	2025.03.18
[Ep.41] [Argo CD 확장 #1] Argo CD와 서비스 메쉬(Istio)를 활용한 트래픽 제어 및 배포 최적화 (0)	2025.03.18
[Ep.39] [Argo CD 운영 최적화 #9] Argo CD 보안 강화 및 GitOps 운영 베스트 프랙티스 (0)	2025.03.18
[Ep.38] [Argo CD 운영 최적화 #10] Argo CD 운영 시 성능 최적화 및 모니터링 전략 (0)	2025.03.18
[Ep.37] [Argo CD 운영 최적화 #7] Argo CD의 네트워크 및 서비스 디스커버리 최적화 (0)	2025.03.17

현재글[Ep.40] [Argo CD 운영 최적화 #10] Argo CD와 GitOps를 활용한 멀티테넌시 환경 구성 및 RBAC 적용

YG Tech Blog

A blog about IT, covering topics from cloud computing and DevOps to Kubernetes and system architecture. Sharing insights, solutions, and best practices for modern IT professionals

쿠버네티스, 파이썬, 서비스메시, RAG, DevOps, k8s, 서비스_운영, langchain, YAML, Security, Minio, DaemonSet, gitops, CI/CD, Python, Istio, Cilium, statefulset, argocd, kubernetes,

Today :
Yesterday :

일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

YG Tech Blog