11.6. 기본 라우터에 대한 사용자 정의 와일드카드 인증서 구성
기본 와일드카드 인증서를 사용하여 OpenShift Container Platform 기본 라우터를 구성할 수 있습니다. 기본 와일드카드 인증서는 사용자 정의 인증서 없이도 기본 암호화를 사용하도록 OpenShift Container Platform에 배포된 애플리케이션에 편리한 방법을 제공합니다.
기본 와일드카드 인증서는 프로덕션 환경 이외의 환경에만 권장됩니다.
기본 와일드카드 인증서를 구성하려면 *.<app_domain>에 유효한 인증서를 프로비저닝합니다. 여기서 <app_domain> 은 Ansible 인벤토리 파일에서 기본적으로 /etc/ansible/hosts 의 openshift_master_default_subdomain 값입니다. 프로비저닝되고 나면 Ansible 호스트에 인증서, 키 및 ca 인증서 파일을 배치하고 Ansible 인벤토리 파일에 다음 행을 추가합니다.
openshift_hosted_router_certificate={"certfile": "/path/to/apps.c1-ocp.myorg.com.crt", "keyfile": "/path/to/apps.c1-ocp.myorg.com.key", "cafile": "/path/to/apps.c1-ocp.myorg.com.ca.crt"}예를 들면 다음과 같습니다.
openshift_hosted_router_certificate={"certfile": "/home/cloud-user/star-apps.148.251.233.173.nip.io.cert.pem", "keyfile": "/home/cloud-user/star-apps.148.251.233.173.nip.io.key.pem", "cafile": "/home/cloud-user/ca-chain.cert.pem"}매개변수 값은 다음과 같습니다.
- cert File은 OpenShift Container Platform 라우터 와일드카드 인증서가 포함된 파일의 경로입니다.
- keyfile 은 OpenShift Container Platform 라우터 와일드카드 인증서 키가 포함된 파일의 경로입니다.
- CAfile 은 이 키 및 인증서의 루트 CA가 포함된 파일의 경로입니다. 중간 CA가 사용 중인 경우 파일에 중간 및 루트 CA가 모두 포함되어야 합니다.
이러한 인증서 파일이 OpenShift Container Platform 클러스터를 처음 사용하는 경우 플레이북 디렉터리로 변경하고 Ansible deploy_router.yml 플레이북을 실행하여 해당 파일을 OpenShift Container Platform 구성 파일에 추가합니다. 플레이북은 인증서 파일을 /etc/origin/master/ 디렉터리에 추가합니다.
# ansible-playbook [-i /path/to/inventory] \
/usr/share/ansible/openshift-ansible/playbooks/openshift-hosted/deploy_router.yml예를 들어 인증서가 새 인증서가 아닌 경우 기존 인증서를 변경하거나 만료된 인증서를 교체하려는 경우 플레이북 디렉터리로 변경하고 다음 플레이북을 실행합니다.
ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/redeploy-certificates.yml
이 플레이북을 실행하려면 인증서 이름을 변경하지 않아야 합니다. 인증서 이름이 변경되면 인증서가 새로운 것처럼 Ansible deploy_cluster.yml 플레이북을 다시 실행합니다.
