8.8. 설치 후 사용자 관리 암호화 완료


사용자 관리 암호화 키를 사용하여 OpenShift Container Platform을 설치한 경우 새 스토리지 클래스를 생성하고 Azure 클러스터 리소스 그룹에 쓰기 권한을 부여하여 설치를 완료할 수 있습니다.

프로세스

  1. 설치 프로그램에서 사용하는 클러스터 리소스 그룹의 ID를 가져옵니다.

    1. install-config.yaml 에서 기존 리소스 그룹을 지정한 경우 다음 명령을 실행하여 Azure ID를 가져옵니다.

      $ az identity list --resource-group "<existing_resource_group>"
    2. install-config.yaml 에서 기존 리소스 그룹을 지정하지 않은 경우 설치 프로그램에서 생성한 리소스 그룹을 찾은 다음 다음 명령을 실행하여 Azure ID를 가져옵니다.

      $ az group list
      $ az identity list --resource-group "<installer_created_resource_group>"
  2. 다음 명령을 실행하여 디스크 암호화 세트에 쓸 수 있도록 클러스터 리소스 그룹에 역할 할당을 부여합니다.

    $ az role assignment create --role "<privileged_role>" \1
        --assignee "<resource_group_identity>" 2
    1
    디스크 암호화 세트에 대한 읽기/쓰기 권한이 있는 Azure 역할을 지정합니다. 필요한 권한으로 Owner 역할 또는 사용자 지정 역할을 사용할 수 있습니다.
    2
    클러스터 리소스 그룹의 ID를 지정합니다.
  3. 다음 명령을 실행하여 설치 전에 생성한 디스크 암호화 세트의 ID를 가져옵니다.

    $ az disk-encryption-set show -n <disk_encryption_set_name> \1
         --resource-group <resource_group_name> 2
    1
    디스크 암호화 세트의 이름을 지정합니다.
    2
    디스크 암호화 세트를 포함하는 리소스 그룹을 지정합니다. id"/subscriptions/…​/resourceGroups/…​/providers/Microsoft.Compute/diskEncryptionSets/…​" 형식으로 되어 있습니다.
  4. 다음 명령을 실행하여 클러스터 서비스 주체의 ID를 가져옵니다.

    $ az identity show -g <cluster_resource_group> \1
         -n <cluster_service_principal_name> \2
         --query principalId --out tsv
    1
    설치 프로그램에서 생성한 클러스터 리소스 그룹의 이름을 지정합니다.
    2
    설치 프로그램에서 생성한 클러스터 서비스 주체의 이름을 지정합니다. ID는 12345678-1234-1234-1234-1234-1234567890 형식으로 되어 있습니다.
  5. 다음 명령을 실행하여 디스크 암호화 세트에 필요한 권한을 클러스터 서비스 주체에게 부여하는 역할 할당을 생성합니다.

    $ az role assignment create --assignee <cluster_service_principal_id> \1
         --role <privileged_role> \2
         --scope <disk_encryption_set_id> \3
    1
    이전 단계에서 얻은 클러스터 서비스 주체의 ID를 지정합니다.
    2
    Azure 역할 이름을 지정합니다. 필요한 권한으로 Contributor 역할 또는 사용자 지정 역할을 사용할 수 있습니다.
    3
    디스크 암호화 세트의 ID를 지정합니다.
  6. 사용자 관리 디스크 암호화 세트를 사용하는 스토리지 클래스를 생성합니다.

    1. 다음 스토리지 클래스 정의를 파일에 저장합니다(예: storage-class-definition.yaml ):

      kind: StorageClass
      apiVersion: storage.k8s.io/v1
      metadata:
        name: managed-premium
      provisioner: kubernetes.io/azure-disk
      parameters:
        skuname: Premium_LRS
        kind: Managed
        diskEncryptionSetID: "<disk_encryption_set_ID>" 1
        resourceGroup: "<resource_group_name>" 2
      reclaimPolicy: Delete
      allowVolumeExpansion: true
      volumeBindingMode: WaitForFirstConsumer
      1
      사전 요구 사항 단계에서 생성한 디스크 암호화 세트의 ID를 지정합니다(예: "/subscriptions/xxxxxx-xxxxx-xxxxx/resourceGroups/test-encryption/providers/Microsoft.Compute/diskEncryptionSets/disk-encryption-set-xxxxxx ").
      2
      설치 프로그램에서 사용하는 리소스 그룹의 이름을 지정합니다. 이는 첫 번째 단계에서 동일한 리소스 그룹입니다.
    2. 다음 명령을 실행하여 생성한 파일에서 스토리지 클래스 managed-premium 을 생성합니다.

      $ oc create -f storage-class-definition.yaml
  7. 암호화된 스토리지를 사용할 영구 볼륨을 생성할 때 Managed-premium 스토리지 클래스를 선택합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.