1. ControlPlane vs Kubelet Identity 분리 이해
1) Control Plane Identity
- 역할: AKS 클러스터 자체를 관리하는 주체
- 관리 대상:
- Azure 리소스 생성/관리 (Load Balancer, Public IP, Disk 등)
- Virtual Network 연동
- Azure DNS Zone 관리 (Private Cluster의 경우)
- Managed Identity 할당/관리
2) Kubelet Identity
- 역할: 각 노드의 kubelet 에이전트가 사용하는 Identity
- 관리 대상:
- ACR에서 이미지 Pull
- Azure Disk/File 마운트
- Key Vault 접근 (CSI Driver 사용 시)
- 노드 레벨의 Azure 리소스 접근
2. SystemAssigned 사용 시 동작 방식
aks_identity_type = "SystemAssigned" # HCL 코드이 경우:
- Control Plane: SystemAssigned Managed Identity 생성 (AKS 리소스에 자동 연결)
- Kubelet: MC_ 리소스 그룹에 별도의 Managed Identity 자동 생성 (<cluster-name>-agentpool)
3. UserAssigned로 통합 관리하는 방법
필요한 권한 정리
1) Control Plane에 필요한 권한:
- Network Contributor (VNet/Subnet에 대해)
- 목적: LB, Public IP 등 네트워크 리소스 관리
- Managed Identity Operator (Kubelet Identity에 대해)
- 목적: Kubelet Identity를 노드에 할당
- Private DNS Zone Contributor (Private DNS Zone에 대해)
- 목적: Private Cluster API 엔드포인트 DNS 관리
2) Kubelet에 필요한 권한:
- AcrPull (ACR에 대해)
- 목적: 컨테이너 이미지 Pull
- Managed Identity Operator (자기 자신에 대해 - optional)
- 목적: Pod Identity 사용 시
- Storage Blob Data Contributor (Storage Account에 대해 - 필요 시)
- 목적: Blob Driver 사용 시
'Azure' 카테고리의 다른 글
| [Azure] AKS & API Server VNet Integration (1) | 2025.07.24 |
|---|---|
| [Azure] GPU Node (NVIDIA Operator) 구성 (1) | 2025.07.24 |
| [Azure] AKS & Managed Lustre CSI Driver (0) | 2025.07.24 |
| [Azure] Infiniband on AKS (0) | 2025.07.24 |
| [Azure] Express Route (BFD) (1) | 2025.07.24 |
