K8s v1.35 신기능, PodCertificateRequest로 인증서 자동 배포 구현

Context

Pod 내부의 인증서 발급 및 배포 과정이 수동적이거나 외부 도구에 의존하는 구조. 인증서 갱신 및 배포 자동화를 위한 표준화된 Kubernetes 네이티브 메커니즘 부재.

Technical Solution

• Kubernetes v1.35의 PodCertificateRequest 및 ClusterTrustBundle 기능을 활용한 인증서 자동 프로비저닝 설계
• Pod 스펙의 projected volumes 설정을 통해 PodCertificate 및 ClusterTrustBundle을 볼륨으로 마운트하는 방식
• Kubelet이 PodCertificateRequest 리소스를 생성하여 인증서 서명을 요청하는 워크플로우 구현
• mesh-controller가 해당 요청을 감지하고 지정된 CA pool Secret을 사용해 인증서에 서명하는 구조
• 서명된 인증서와 키를 Kubelet에 반환하여 Pod 내부에 파일 형태로 자동 주입하는 데이터 흐름
• 외부 CA 연동을 위해 인증서 요청을 외부 인증 서비스로 포워딩하는 확장 가능한 컨트롤러 설계 전략

Key Takeaway

인프라 수준의 인증서 생명주기 관리를 Kubelet과 커스텀 컨트롤러의 협업 구조로 추상화하여 애플리케이션 코드와 인증 로직을 완전히 분리하는 설계 원칙.