14.4. etcd 암호화 비활성화
클러스터에서 etcd 데이터의 암호화를 비활성화할 수 있습니다.
사전 요구 사항
-
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
절차
APIServer
오브젝트를 수정합니다.$ oc edit apiserver
암호화
필드 유형을identity
로 설정합니다.spec: encryption: type: identity 1
- 1
identity
유형이 기본값이며, 이는 암호화가 수행되지 않음을 의미합니다.
파일을 저장하여 변경 사항을 적용합니다.
암호 해독 프로세스가 시작됩니다. 클러스터 크기에 따라 이 프로세스를 완료하는 데 20분 이상 걸릴 수 있습니다.
etcd 암호 해독에 성공했는지 확인합니다.
OpenShift API 서버의
Encrypted
상태 조건을 검토하여 해당 리소스의 암호가 성공적으로 해독되었는지 확인합니다.$ oc get openshiftapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="Encrypted")]}{.reason}{"\n"}{.message}{"\n"}'
암호 해독에 성공하면 출력에
DecryptionCompleted
가 표시됩니다.DecryptionCompleted Encryption mode set to identity and everything is decrypted
출력에
DecryptionInProgress
가 표시되면 암호 해독이 여전히 진행 중임을 나타냅니다. 몇 분 기다린 후 다시 시도합니다.쿠버네티스 API 서버의
Encrypted
상태 조건을 검토하여 해당 리소스의 암호가 성공적으로 해독되었는지 확인합니다.$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="Encrypted")]}{.reason}{"\n"}{.message}{"\n"}'
암호 해독에 성공하면 출력에
DecryptionCompleted
가 표시됩니다.DecryptionCompleted Encryption mode set to identity and everything is decrypted
출력에
DecryptionInProgress
가 표시되면 암호 해독이 여전히 진행 중임을 나타냅니다. 몇 분 기다린 후 다시 시도합니다.OpenShift API 서버의
Encrypted
상태 조건을 검토하여 해당 리소스의 암호가 성공적으로 해독되었는지 확인합니다.$ oc get authentication.operator.openshift.io -o=jsonpath='{range .items[0].status.conditions[?(@.type=="Encrypted")]}{.reason}{"\n"}{.message}{"\n"}'
암호 해독에 성공하면 출력에
DecryptionCompleted
가 표시됩니다.DecryptionCompleted Encryption mode set to identity and everything is decrypted
출력에
DecryptionInProgress
가 표시되면 암호 해독이 여전히 진행 중임을 나타냅니다. 몇 분 기다린 후 다시 시도합니다.