12.3.2. 새 또는 사용자 지정 OpenShift Container Platform CA 재배포
openshift-master/redeploy-openshift-ca.yml 플레이북은 새 CA 인증서를 생성하고 client kubeconfig 파일 및 신뢰할 수 있는 CA의 노드 데이터베이스(CA-trust)를 포함한 모든 구성 요소에 업데이트된 번들을 배포하여 OpenShift Container Platform CA 인증서를 재배포합니다.
여기에는 다음의 직렬 재시작도 포함됩니다.
- 마스터 서비스
- 노드 서비스
- docker
또한 OpenShift Container Platform에서 생성한 CA를 사용하는 대신 인증서를 재배포할 때 사용자 정의 CA 인증서를 지정할 수 있습니다.
마스터 서비스가 다시 시작되면 마스터의 제공 인증서가 동일하고 레지스트리 및 라우터가 여전히 유효한 CA이기 때문에 레지스트리 및 라우터가 마스터와 계속 통신할 수 있습니다.
새로 생성된 또는 사용자 정의 CA를 재배포하려면 다음을 수행합니다.
사용자 지정 CA를 사용하려면 인벤토리 파일에 다음 변수를 설정합니다. 현재 CA를 사용하려면 이 단계를 건너뜁니다.
# Configure custom ca certificate # NOTE: CA certificate will not be replaced with existing clusters. # This option may only be specified when creating a new cluster or # when redeploying cluster certificates with the redeploy-certificates # playbook. openshift_master_ca_certificate={'certfile': '</path/to/ca.crt>', 'keyfile': '</path/to/ca.key>'}중간 CA에서 CA 인증서를 발급하는 경우 하위 인증서의 유효성을 검사하기 위해 번들된 인증서에 CA에 대한 전체 체인(중간 및 루트 인증서)이 포함되어야 합니다.
예를 들면 다음과 같습니다.
$ cat intermediate/certs/intermediate.cert.pem \ certs/ca.cert.pem >> intermediate/certs/ca-chain.cert.pem플레이북 디렉터리로 변경하고 인벤토리 파일을 지정하여 openshift-master/redeploy-openshift-ca.yml 플레이북을 실행합니다.
$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook -i <inventory_file> \ playbooks/openshift-master/redeploy-openshift-ca.yml새 OpenShift Container Platform CA가 구현된 상태에서 모든 구성 요소의 새 CA에서 서명한 인증서를 재배포할 때마다 redeploy-certificates.yml 플레이북 을 사용합니다.
중요새 OpenShift Container Platform CA가 있는 후 redeploy-certificates.yml 플레이북을 사용하는 경우
-e openshift_redeploy_openshift_ca=true를 플레이북 명령에 추가해야 합니다.
