3.4. CA 번들 업데이트
CA(인증 기관)를 업데이트하면 클러스터 노드가 재부팅됩니다.
3.4.1. CA Bundle 인증서 이해
프록시 인증서를 사용하면 사용자가 송신 연결을 할 때 플랫폼 구성 요소에서 사용하는 하나 이상의 사용자 정의 CA(인증 기관)를 지정할 수 있습니다.
Proxy 오브젝트의 trustedCA
필드는 사용자 제공 신뢰할 수 있는 인증 기관(CA) 번들을 포함하는 구성 맵에 대한 참조입니다. 이 번들은 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합되어 송신 HTTPS 호출을 수행하는 플랫폼 구성요소의 신뢰 저장소에 삽입됩니다. 예를 들어 image-registry-operator
에서 이미지를 다운로드하도록 외부 이미지 레지스트리를 호출합니다. trustedCA
를 지정하지 않으면 프록시 HTTPS 연결에 RHCOS 신뢰 번들만 사용됩니다. 자체 인증서 인프라를 사용하려면 RHCOS 신뢰 번들에 사용자 정의 CA 인증서를 제공합니다.
trustedCA
필드는 프록시 유효성 검증기만 사용해야 합니다. 유효성 검증기를 통해서는 필수 키 ca-bundle.crt
에서 인증서 번들을 읽고 openshift-config-managed
네임스페이스의 trusted-ca-bundle
이라는 구성 맵에 복사해야 합니다. trustedCA
에서 참조하는 구성 맵의 네임스페이스는 openshift-config
입니다.
apiVersion: v1 kind: ConfigMap metadata: name: user-ca-bundle namespace: openshift-config data: ca-bundle.crt: | -----BEGIN CERTIFICATE----- Custom CA certificate bundle. -----END CERTIFICATE-----
3.4.2. CA Bundle 인증서 교체
프로세스
와일드카드 인증서에 서명하는 데 사용되는 루트 CA 인증서가 포함된 구성 맵을 생성합니다.
$ oc create configmap custom-ca \ --from-file=ca-bundle.crt=</path/to/example-ca.crt> \1 -n openshift-config
- 1
</path/to/example-ca.crt
>는 로컬 파일 시스템의 CA 인증서 번들 경로입니다.
새로 생성된 구성 맵으로 클러스터 전체 프록시 구성을 업데이트합니다.
$ oc patch proxy/cluster \ --type=merge \ --patch='{"spec":{"trustedCA":{"name":"custom-ca"}}}'