19.2. Mint 모드 사용
Mint 모드는 AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)에서 지원됩니다.
Mint 모드는 지원되는 플랫폼의 기본 모드입니다. 이 모드에서 CCO(Cloud Credential Operator)는 제공된 관리자 수준 클라우드 인증 정보를 사용하여 필요한 특정 권한만으로 클러스터의 구성 요소에 대한 새 인증 정보를 생성합니다.
mint 모드에서 CCO를 사용하는 클러스터의 경우 관리자 수준 인증 정보는 kube-system
네임스페이스에 저장됩니다. CCO는 admin
인증 정보를 사용하여 클러스터의 CredentialsRequest
오브젝트를 처리하고 제한된 권한으로 구성 요소에 대한 사용자를 생성합니다.
mint 모드를 사용하면 각 클러스터 구성 요소에 필요한 특정 권한만 있습니다. 클라우드 인증 정보 조정은 자동 및 연속이므로 구성 요소가 추가 인증 정보 또는 권한이 필요한 작업을 수행할 수 있습니다.
예를 들어 마이너 버전 클러스터 업데이트(예: OpenShift Container Platform 4.16에서 4.17)로 업데이트하는 경우 클러스터 구성 요소에 대한 업데이트된 CredentialsRequest
리소스가 포함될 수 있습니다. Mint 모드에서 작동하는 CCO는 admin
인증 정보를 사용하여 CredentialsRequest
리소스를 처리하고 업데이트된 인증 요구 사항을 충족하기 위해 제한된 권한이 있는 사용자를 생성합니다.
19.2.1. Mint 모드 권한 요구사항
Mint 모드에서 CCO를 사용하는 경우 제공한 인증 정보가 OpenShift Container Platform을 실행 중이거나 설치하는 클라우드의 요구 사항을 충족하는지 확인하십시오. 제공된 인증 정보가 mint 모드에 충분하지 않으면 CCO에서 IAM 사용자를 생성할 수 없습니다.
19.2.1.1. AWS(Amazon Web Services) 권한
AWS에서 Mint 모드에 제공하는 인증 정보에는 다음과 같은 권한이 있어야 합니다.
-
iam:CreateAccessKey
-
iam:CreateUser
-
iam:DeleteAccessKey
-
iam:DeleteUser
-
iam:DeleteUserPolicy
-
iam:GetUser
-
iam:GetUserPolicy
-
iam:ListAccessKeys
-
iam:PutUserPolicy
-
iam:TagUser
-
iam:SimulatePrincipalPolicy
19.2.1.2. GCP(Google Cloud Platform) 권한
GCP에서 Mint 모드에 제공하는 인증 정보에는 다음과 같은 권한이 있어야 합니다.
-
resourcemanager.projects.get
-
serviceusage.services.list
-
iam.serviceAccountKeys.create
-
iam.serviceAccountKeys.delete
-
iam.serviceAccounts.create
-
iam.serviceAccounts.delete
-
iam.serviceAccounts.get
-
iam.roles.get
-
resourcemanager.projects.getIamPolicy
-
resourcemanager.projects.setIamPolicy
19.2.2. 관리자 인증 정보 루트 시크릿 형식
각 클라우드 공급자는 규칙에 따라 kube-system
네임 스페이스의 인증 정보 루트 시크릿을 사용하며, 이를 통해 모든 인증 정보 요청을 충족하고 해당 암호를 만드는 데 사용됩니다. 이 작업은 mint 모드를 사용하여 새 인증 정보를 생성하거나 패스스루 모드를 사용하여 인증 정보 루트 시크릿을 복사하여 수행됩니다.
시크릿의 형식은 클라우드에 따라 다르며 각 CredentialsRequest
시크릿에도 사용됩니다.
Amazon Web Services (AWS) 시크릿 형식
apiVersion: v1 kind: Secret metadata: namespace: kube-system name: aws-creds stringData: aws_access_key_id: <base64-encoded_access_key_id> aws_secret_access_key: <base64-encoded_secret_access_key>
Google Cloud Platform (GCP) 시크릿 형식
apiVersion: v1 kind: Secret metadata: namespace: kube-system name: gcp-credentials stringData: service_account.json: <base64-encoded_service_account>
19.2.3. 관리자 수준 인증 정보를 제거하거나 교체하는 Mint 모드
현재 이 모드는 AWS 및 GCP에서만 지원됩니다.
이 모드에서 사용자는 일반 Mint 모드와 마찬가지로 관리자 수준 인증 정보를 사용하여 OpenShift Container Platform을 설치합니다. 그러나 이 프로세스에서는 설치 후 클러스터에서 관리자 수준 인증 정보 시크릿을 제거합니다.
관리자는 모든 CredentialsRequest
오브젝트에 필요한 사용 권한이 있고 따라서 내용을 변경해야 하는 경우가 아니면 관리자 수준의 자격 증명이 필요 없음을 확인하기 위해 Cloud Credential Operator가 읽기 전용 자격 증명을 스스로 요청하도록 할 수 있습니다. 연결된 인증 정보를 제거한 후 원하는 경우 기본 클라우드에서 삭제하거나 비활성화할 수 있습니다.
z-stream 외 업그레이드 이전에는 관리자 수준 인증 정보를 사용하여 인증 정보 시크릿을 복원해야 합니다. 인증 정보가 없으면 업그레이드가 차단될 수 있습니다.
관리자 수준 인증 정보는 클러스터에 영구적으로 저장되지 않습니다.
이러한 단계를 따르려면 짧은 기간 동안 클러스터의 관리자 수준 인증 정보가 필요합니다. 또한 각 업그레이드에 대해 관리자 수준 인증 정보로 시크릿을 수동으로 복원해야 합니다.
19.2.3.1. 클라우드 공급자 인증 정보를 수동으로 교체
어떠한 이유로 클라우드 공급자 인증 정보가 변경되면 CCO(Cloud Credential Operator)에서 클라우드 공급자 인증 정보를 관리하기 위해 사용하는 시크릿을 수동으로 업데이트해야 합니다.
클라우드 인증 정보를 교체하는 프로세스는 CCO가 사용하도록 구성된 모드에 따라 달라집니다. Mint 모드를 사용하는 클러스터의 인증 정보를 교체한 후 삭제된 인증 정보를 통해 생성된 구성 요소 인증 정보를 수동으로 제거해야 합니다.
사전 요구 사항
클러스터는 다음을 사용하는 CCO 모드로 클라우드 인증 정보 교체를 수동으로 지원하는 플랫폼에 설치됩니다.
- Mint 모드의 경우 AWS(Amazon Web Services) 및 GCP(Google Cloud Platform)가 지원됩니다.
- 클라우드 공급자와 인터페이스에 사용되는 인증 정보를 변경했습니다.
- 새 인증 정보에는 클러스터에서 사용할 수 있도록 구성된 모드 CCO에 대한 충분한 권한이 있습니다.
절차
-
웹 콘솔의 관리자 화면에서 워크로드
시크릿 으로 이동합니다. Secrets 페이지의 표에서 클라우드 공급자의 루트 시크릿을 찾습니다.
플랫폼 시크릿 이름 AWS
aws-creds
GCP
gcp-credentials
- 시크릿과 동일한 행에서 옵션 메뉴 를 클릭하고 시크릿 편집을 선택합니다.
- Value 필드의 내용을 기록합니다. 이 정보를 사용하여 인증서를 업데이트한 후 값이 다른지 확인할 수 있습니다.
- 클라우드 공급자에 대한 새로운 인증 정보를 사용하여 Value 필드의 텍스트를 업데이트한 다음 저장을 클릭합니다.
개별
CredentialsRequest
개체에서 참조하는 각 구성 요소 시크릿을 삭제합니다.-
cluster-admin
역할의 사용자로 OpenShift Container Platform CLI에 로그인합니다. 참조되는 모든 구성 요소 시크릿의 이름과 네임스페이스를 가져옵니다.
$ oc -n openshift-cloud-credential-operator get CredentialsRequest \ -o json | jq -r '.items[] | select (.spec.providerSpec.kind=="<provider_spec>") | .spec.secretRef'
여기서
<provider_spec>
은 클라우드 공급자의 해당 값입니다.-
AWS:
AWSProviderSpec
-
GCP:
GCPProviderSpec
AWS의 부분 예제 출력
{ "name": "ebs-cloud-credentials", "namespace": "openshift-cluster-csi-drivers" } { "name": "cloud-credential-operator-iam-ro-creds", "namespace": "openshift-cloud-credential-operator" }
-
AWS:
참조된 각 구성 요소 시크릿을 삭제합니다.
$ oc delete secret <secret_name> \1 -n <secret_namespace> 2
AWS 시크릿 삭제 예
$ oc delete secret ebs-cloud-credentials -n openshift-cluster-csi-drivers
공급자 콘솔에서 인증 정보를 수동으로 삭제할 필요가 없습니다. 참조된 구성 요소 시크릿을 삭제하면 CCO가 플랫폼에서 기존 인증 정보를 삭제하고 새 인증서를 생성합니다.
-
검증
인증 정보가 변경되었는지 확인하려면 다음을 수행하십시오.
-
웹 콘솔의 관리자 화면에서 워크로드
시크릿 으로 이동합니다. - 값 필드의 내용이 변경되었는지 확인합니다.
19.2.3.2. 클라우드 공급자 인증 정보 제거
Mint 모드에서 CCO(Cloud Credential Operator)를 사용하는 클러스터의 경우 관리자 수준 인증 정보는 kube-system
네임스페이스에 저장됩니다. CCO는 admin
인증 정보를 사용하여 클러스터의 CredentialsRequest
오브젝트를 처리하고 제한된 권한으로 구성 요소에 대한 사용자를 생성합니다.
mint 모드에서 CCO를 사용하여 OpenShift Container Platform 클러스터를 설치한 후 클러스터의 kube-system
네임스페이스에서 관리자 수준 인증 정보 시크릿을 제거할 수 있습니다. CCO에는 마이너 클러스터 버전 업데이트와 같은 신규 또는 수정된 CredentialsRequest
사용자 정의 리소스를 조정해야 하는 변경 중에 관리자 수준 인증 정보만 필요합니다.
마이너 버전 클러스터 업데이트(예: OpenShift Container Platform 4.16에서 4.17)로 업데이트하기 전에 관리자 수준 인증 정보를 사용하여 인증 정보 시크릿을 다시 실행해야 합니다. 인증 정보가 없으면 업데이트가 차단될 수 있습니다.
사전 요구 사항
- 클러스터는 CCO에서 클라우드 인증 정보 제거를 지원하는 플랫폼에 설치되어 있습니다. 지원되는 플랫폼은 AWS 및 GCP입니다.
절차
-
웹 콘솔의 관리자 화면에서 워크로드
시크릿 으로 이동합니다. Secrets 페이지의 표에서 클라우드 공급자의 루트 시크릿을 찾습니다.
플랫폼 시크릿 이름 AWS
aws-creds
GCP
gcp-credentials
- 시크릿과 동일한 행에서 옵션 메뉴 를 클릭하고 시크릿 삭제를 선택합니다.