11장. TLS 보안 프로필 설정
TLS 보안 프로필은 서버가 서버에 연결할 때 클라이언트가 사용할 수 있는 암호를 규제하는 방법을 제공합니다. 이렇게 하면 OpenShift Container Platform 구성 요소에서 알려진 비보안 프로토콜, 암호 또는 알고리즘을 허용하지 않는 암호화 라이브러리를 사용할 수 있습니다.
클러스터 관리자는 다음 구성 요소 각각에 사용할 TLS 보안 프로필을 선택할 수 있습니다.
- Ingress 컨트롤러
컨트롤 플레인
여기에는 Kubernetes API 서버, Kubernetes 컨트롤러 관리자, Kubernetes 스케줄러, OpenShift API 서버, OpenShift OAuth API 서버, OpenShift OAuth 서버 및 etcd가 포함됩니다.
- Kubernetes API 서버의 HTTP 서버 역할을 하는 kubelet
11.1. TLS 보안 프로필 이해
TLS(Transport Layer Security) 보안 프로필을 사용하여 다양한 OpenShift Container Platform 구성 요소에 필요한 TLS 암호를 정의할 수 있습니다. OpenShift Container Platform TLS 보안 프로필은 Mozilla 권장 구성을 기반으로 합니다.
각 구성 요소에 대해 다음 TLS 보안 프로필 중 하나를 지정할 수 있습니다.
Profile | 설명 |
---|---|
| 이 프로필은 레거시 클라이언트 또는 라이브러리와 함께 사용하기 위한 것입니다. 프로필은 이전 버전과의 호환성 권장 구성을 기반으로 합니다.
참고 Ingress 컨트롤러의 경우 최소 TLS 버전이 1.0에서 1.1로 변환됩니다. |
| 이 프로필은 대부분의 클라이언트에서 권장되는 구성입니다. Ingress 컨트롤러, kubelet 및 컨트롤 플레인의 기본 TLS 보안 프로필입니다. 프로필은 중간 호환성 권장 구성을 기반으로 합니다.
|
| 이 프로필은 이전 버전과의 호환성이 필요하지 않은 최신 클라이언트와 사용하기 위한 것입니다. 이 프로필은 최신 호환성 권장 구성을 기반으로 합니다.
|
| 이 프로필을 사용하면 사용할 TLS 버전과 암호를 정의할 수 있습니다. 주의
|
미리 정의된 프로파일 유형 중 하나를 사용하는 경우 유효한 프로파일 구성은 릴리스마다 변경될 수 있습니다. 예를 들어 릴리스 X.Y.Z에 배포된 중간 프로필을 사용하는 사양이 있는 경우 릴리스 X.Y.Z+1로 업그레이드하면 새 프로필 구성이 적용되어 롤아웃이 발생할 수 있습니다.