20.5. 서비스 제공 인증서 보안
서비스 제공 인증서 보안은 즉시 사용 가능한 인증서가 필요한 복잡한 미들웨어 애플리케이션을 지원하기 위한 것입니다. 해당 설정은 관리자 툴에서 노드 및 마스터에 대해 생성하는 서버 인증서와 동일합니다.
| 네임스페이스 | Secret |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
| |
|
| |
|
| |
|
|
|
|
|
|
서비스와의 통신을 보호하려면 클러스터에서 서명된 제공 인증서/키 쌍을 네임스페이스의 보안에 생성하도록 합니다. 이렇게 하려면 보안에 사용할 이름으로 설정된 값을 사용하여 서비스에 service.alpha.openshift.io/serving-cert-secret-name 주석을 설정합니다. 그러면 PodSpec에서 해당 보안을 마운트할 수 있습니다. 사용 가능한 경우 Pod가 실행됩니다. 인증서는 내부 서비스 DNS 이름인 <service.name>.<service.namespace>.svc에 적합합니다.
인증서 및 키는 PEM 형식이며 각각 tls.crt 및 tls.key에 저장됩니다. 인증서/키 쌍은 만료가 1시간 내에 있을 때 자동으로 교체됩니다. 보안의 service.alpha.openshift.io/expiry 주석에서 RFC3339 형식으로 된 만료 날짜를 확인합니다.
기타 Pod는 해당 Pod에 자동으로 마운트되는 /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt 파일의 CA 번들을 사용하여 내부 DNS 이름에만 서명되는 클러스터 생성 인증서를 신뢰할 수 있습니다.
이 기능의 서명 알고리즘은 x509.SHA256WithRSA입니다. 직접 교대하려면 생성된 보안을 삭제합니다. 새 인증서가 생성됩니다.
