11.4. 웹 콘솔 또는 CLI에 대한 사용자 정의 인증서 구성
마스터 구성 파일의 servingInfo 섹션을 통해 웹 콘솔 및 CLI에 대한 사용자 정의 인증서를 지정할 수 있습니다.
-
servingInfo.namedCertificates섹션에서는 웹 콘솔의 사용자 지정 인증서를 제공합니다. -
servingInfo섹션은 CLI 및 기타 API 호출에 대한 사용자 정의 인증서를 제공합니다.
이러한 방식으로 여러 인증서를 구성할 수 있으며 각 인증서를 여러 호스트 이름, 여러 라우터 또는 OpenShift Container Platform 이미지 레지스트리와 연결할 수 있습니다.
기본 인증서는 namedCertificates 외에 servingInfo.certFile 및 servingInfo.keyFile 구성 섹션에서 구성해야 합니다.
namedCertificates 섹션은 /etc/origin/master/master-config .yaml 파일의 masterPublicURL 및 oauthConfig.assetPublicURL 설정과 연결된 호스트 이름에 대해서만 구성해야 합니다. masterURL과 연결된 호스트 이름에 사용자 정의 제공 인증서를 사용하면 인프라 구성 요소가 내부 호스트를 사용하여 마스터 API에 연결하려고 하므로 TLS 오류가 발생합니다.
masterURL
사용자 정의 인증서 구성
servingInfo: logoutURL: "" masterPublicURL: https://openshift.example.com:8443 publicURL: https://openshift.example.com:8443/console/ bindAddress: 0.0.0.0:8443 bindNetwork: tcp4 certFile: master.server.crt 1 clientCA: "" keyFile: master.server.key 2 maxRequestsInFlight: 0 requestTimeoutSeconds: 0 namedCertificates: - certFile: wildcard.example.com.crt 3 keyFile: wildcard.example.com.key 4 names: - "openshift.example.com" metricsPublicURL: "https://metrics.os.example.com/hawkular/metrics"
Ansible 인벤토리 파일의 openshift_master_cluster_public 매개 변수는 기본적으로 _hostname 및 openshift_master_cluster_hostname/etc/ansible/hosts 여야 합니다. 동일한 경우 명명된 인증서가 실패하므로 다시 설치해야 합니다.
# Native HA with External LB VIPs openshift_master_cluster_hostname=internal.paas.example.com openshift_master_cluster_public_hostname=external.paas.example.com
OpenShift Container Platform에서 DNS를 사용하는 방법에 대한 자세한 내용은 DNS 설치 사전 요구 사항을 참조하십시오.
이 방법을 사용하면 OpenShift Container Platform에서 생성한 자체 서명 인증서를 활용하고 필요에 따라 개별 구성 요소에 사용자 정의 신뢰할 수 있는 인증서를 추가할 수 있습니다.
내부 인프라 인증서는 자체 서명된 상태로 유지되며 일부 보안 또는 PKI 팀에서 잘못된 사례로 인식될 수 있습니다. 그러나 이러한 인증서를 신뢰하는 유일한 클라이언트는 클러스터 내의 다른 구성 요소이므로 여기서 위험은 최소화됩니다. 모든 외부 사용자와 시스템은 신뢰할 수 있는 사용자 정의 인증서를 사용합니다.
상대 경로는 마스터 구성 파일의 위치에 따라 확인됩니다. 서버를 다시 시작하여 구성 변경 사항을 가져옵니다.
