6장. 수동으로 유지 관리되는 인증 정보로 클러스터 업데이트 준비

절차

1. cluster-admin 역할의 사용자로 OpenShift Container Platform 웹 콘솔에 로그인합니다.
2. Administration Cluster Settings으로 이동합니다.
3. 클러스터 설정 페이지에서 구성 탭을 선택합니다.
4. Configuration 리소스 에서 CloudCredential 를 선택합니다.
5. CloudCredential 세부 정보 페이지에서 YAML 탭을 선택합니다.

6. YAML 블록에서 spec.credentialsMode 의 값을 확인합니다. 다음 값이 모든 플랫폼에서 지원되지는 않지만 모두 지원되는 것은 아닙니다.

   • '': CCO가 기본 모드에서 작동합니다. 이 구성에서 CCO는 설치 중에 제공된 인증 정보에 따라 Mint 또는 passthrough 모드에서 작동합니다.
   • Mint: CCO가 Mint 모드에서 작동합니다.
   • passthrough: CCO가 passthrough 모드에서 작동합니다.
   • Manual: CCO가 수동 모드에서 작동합니다.
   중요

   '', Mint 또는 Manual 의 spec.credentialsMode 가 있는 AWS 또는 GCP 클러스터의 특정 구성을 확인하려면 추가 조사를 수행해야 합니다.

   AWS 및 GCP 클러스터는 루트 시크릿이 삭제된 상태에서 Mint 모드 사용을 지원합니다. 클러스터가 특별히 Mint 모드를 사용하도록 구성된 경우 또는 기본적으로 Mint 모드를 사용하는 경우 업데이트하기 전에 root 시크릿이 클러스터에 있는지 확인해야 합니다.

   수동 모드를 사용하는 AWS 또는 GCP 클러스터는 AWS STS(Security Token Service) 또는 GCP 워크로드 ID를 사용하여 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하도록 구성할 수 있습니다. cluster Authentication 오브젝트를 검사하여 클러스터에서 이 전략을 사용하는지 확인할 수 있습니다.

7. AWS 또는 GCP 클러스터만 Mint 모드를 사용하는: 클러스터가 루트 시크릿없이 작동하는지 확인하려면 워크로드 시크릿으로 이동하여 클라우드 공급자의 루트 시크릿을 찾습니다.

   참고

   프로젝트 드롭다운이 All Projects 로 설정되어 있는지 확인합니다.

   플랫폼	시크릿 이름
   AWS	aws-creds
   GCP	gcp-credentials

   • 이러한 값 중 하나가 표시되면 클러스터에서 root 시크릿이 있는 mint 또는 passthrough 모드를 사용하는 것입니다.
   • 이러한 값이 표시되지 않으면 클러스터는 루트 시크릿이 제거된 Mint 모드에서 CCO를 사용하는 것입니다.

8. AWS 또는 GCP 클러스터만 사용하는: 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하도록 클러스터가 구성되었는지 확인하려면 클러스터 인증 오브젝트 YAML 값을 확인해야 합니다.

   1. Administration Cluster Settings으로 이동합니다.
   2. 클러스터 설정 페이지에서 구성 탭을 선택합니다.
   3. Configuration 리소스 에서 인증을 선택합니다.
   4. 인증 세부 정보 페이지에서 YAML 탭을 선택합니다.

   5. YAML 블록에서 .spec.serviceAccountIssuer 매개변수 값을 확인합니다.

      • 클라우드 공급자와 연결된 URL이 포함된 값은 CCO가 AWS STS 또는 GCP 워크로드 ID와 함께 수동 모드를 사용하여 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하는 것을 나타냅니다. 이러한 클러스터는 ccoctl 유틸리티를 사용하여 구성됩니다.
      • 빈 값('')은 클러스터가 수동 모드에서 CCO를 사용하고 있지만 ccoctl 유틸리티를 사용하여 구성되지 않았음을 나타냅니다.

프로세스

1. cluster-admin 역할의 사용자로 클러스터에서 oc 에 로그인합니다.

2. CCO가 사용하도록 구성된 모드를 결정하려면 다음 명령을 입력합니다.

   $ oc get cloudcredentials cluster \
     -o=jsonpath={.spec.credentialsMode}

   다음 출력 값을 사용할 수 있지만 모든 플랫폼에서 모두 지원되는 것은 아닙니다.

   • '': CCO가 기본 모드에서 작동합니다. 이 구성에서 CCO는 설치 중에 제공된 인증 정보에 따라 Mint 또는 passthrough 모드에서 작동합니다.
   • Mint: CCO가 Mint 모드에서 작동합니다.
   • passthrough: CCO가 passthrough 모드에서 작동합니다.
   • Manual: CCO가 수동 모드에서 작동합니다.
   중요

   '', Mint 또는 Manual 의 spec.credentialsMode 가 있는 AWS 또는 GCP 클러스터의 특정 구성을 확인하려면 추가 조사를 수행해야 합니다.

   AWS 및 GCP 클러스터는 루트 시크릿이 삭제된 상태에서 Mint 모드 사용을 지원합니다. 클러스터가 특별히 Mint 모드를 사용하도록 구성된 경우 또는 기본적으로 Mint 모드를 사용하는 경우 업데이트하기 전에 root 시크릿이 클러스터에 있는지 확인해야 합니다.

   수동 모드를 사용하는 AWS 또는 GCP 클러스터는 AWS STS(Security Token Service) 또는 GCP 워크로드 ID를 사용하여 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하도록 구성할 수 있습니다. cluster Authentication 오브젝트를 검사하여 클러스터에서 이 전략을 사용하는지 확인할 수 있습니다.

3. AWS 또는 GCP 클러스터만 Mint 모드를 사용하는: 클러스터가 루트 시크릿없이 작동하는지 확인하려면 다음 명령을 실행합니다.

   $ oc get secret <secret_name> \
     -n=kube-system

   여기서 & lt;secret_name >은 AWS의 aws-creds 이거나 GCP의 gcp-credentials 입니다.

   루트 시크릿이 있으면 이 명령의 출력에서 보안에 대한 정보를 반환합니다. root 보안이 클러스터에 존재하지 않음을 나타내는 오류가 있습니다.

4. 수동 모드를 사용하는 AWS 또는 GCP 클러스터: 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하도록 클러스터가 구성되었는지 확인하려면 다음 명령을 실행합니다.

   $ oc get authentication cluster \
     -o jsonpath \
     --template='{ .spec.serviceAccountIssuer }'

   이 명령은 클러스터 인증 오브젝트에서 .spec.serviceAccountIssuer 매개변수 값을 표시합니다.

   • 클라우드 공급자와 연결된 URL의 출력은 CCO가 AWS STS 또는 GCP 워크로드 ID와 함께 수동 모드를 사용하여 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하는 것을 나타냅니다. 이러한 클러스터는 ccoctl 유틸리티를 사용하여 구성됩니다.
   • 빈 출력은 클러스터가 수동 모드에서 CCO를 사용하고 있지만 ccoctl 유틸리티를 사용하여 구성되지 않았음을 나타냅니다.