オンプレミスKubernetesクラスタに安全かつ簡単に接続する仕組み by 久米拓馬

発表者の会社では、複数のWebサービスをオンプレミスの複数のKubernetesクラスタ上で運用しています。
手元からのkubectlなどKubernetesクラスタへのアクセス権が必要となります。そのため、生産性を損なわずに安全性を担保してアクセス権を得られる仕組みを用意しています。

本セッションでは、以下のお話をします。

• オンプレミスKubernetesクラスタへのアクセス権付与に伴う課題
• HashiCorp Vaultを認証局としたmTLS（相互TLS）とGithub Personal Accessによる2要素認証・認可によりアクセス元ユーザのみに最小限のアクセス権を付与する仕組み
• Vaultからクライアント証明書を発行しkubeconfig（Kubernetesクラスタにアクセスするために必要な情報を格納するファイル）を自動生成する仕組み