Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

5.9. enclave 지원의 이점

Enclave 지원은 네트워크의 특정 부분에 대한 내부 액세스를 제한합니다. 방화벽 경계를 통한 인바운드 및 아웃바운드 트래픽 액세스를 허용하는 DMZ(비밀화 영역) 네트워크와 달리 enclaves는 방화벽 경계를 통과하지 않습니다.

중요

Enclave 지원은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

새로운 enclave 지원 기능은 하나 이상의 중간 연결이 끊긴 네트워크 뒤에서 보호되는 여러 enclav에 미러링이 필요한 시나리오에 적합합니다.

Enclave 지원에는 다음과 같은 이점이 있습니다.

  • 여러 개의 enclaves의 콘텐츠를 미러링하고 단일 내부 레지스트리에 중앙 집중화할 수 있습니다. 일부 고객은 미러링된 컨텐츠에서 보안 검사를 실행하려고 하므로 이 설정을 사용하면 이러한 검사를 모두 한 번에 실행할 수 있습니다. 그런 다음 콘텐츠는 다운스트림으로 미러링되기 전에 비정형됩니다.
  • 각 enclave에 대해 인터넷에서 미러링 프로세스를 다시 시작하지 않고 중앙 집중식 내부 레지스트리에서 직접 콘텐츠를 미러링할 수 있습니다.
  • 네트워크 단계 간의 데이터 전송을 최소화하여 Blob 또는 이미지가 한 단계에서 다른 단계로만 전송되도록 할 수 있습니다.

5.9.1. Enclave 미러링 워크플로

Enclave 지원

이전 이미지는 인터넷 연결이 있고 없이 환경을 포함하여 다양한 환경에서 oc-mirror 플러그인을 사용하는 흐름을 간략하게 설명합니다.

인터넷 연결이 있는 환경:

  1. 사용자는 oc-mirror 플러그인 v2를 실행하여 온라인 레지스트리의 콘텐츠를 로컬 디스크 디렉터리로 미러링합니다.
  2. 미러링된 콘텐츠는 오프라인 환경으로 전송하기 위해 디스크에 저장됩니다.

연결이 끊긴 엔터프라이즈 환경(인터넷 없음):

  • 흐름 1:

    • 사용자는 oc-mirror 플러그인 v2를 실행하여 온라인 환경에서 enterprise-registry.in 레지스트리로 전송된 디스크 디렉터리에서 미러링된 콘텐츠를 로드합니다.

  • 흐름 2:

    1. registries.conf 파일을 업데이트한 후 사용자는 oc-mirror 플러그인 v2를 실행하여 enterprise-registry.in 레지스트리의 콘텐츠를 enclave 환경으로 미러링합니다.
    2. 콘텐츠는 enclave로 전송하기 위해 디스크 디렉터리에 저장됩니다.

Enclave 환경 (인터넷 없음):

  • 사용자는 oc-mirror 플러그인 v2를 실행하여 디스크 디렉터리의 콘텐츠를 enclave-registry.in 레지스트리로 로드합니다.

이미지는 이러한 환경에서 데이터 흐름을 시각적으로 나타내며 oc-mirror를 사용하여 인터넷 연결 없이 연결이 끊긴 환경을 처리합니다.

5.9.2. enclave에 미러링

enclave에 미러링할 때는 먼저 필요한 이미지를 하나 이상의 enclav에서 엔터프라이즈 중앙 레지스트리로 전송해야 합니다.

중앙 레지스트리는 보안 네트워크, 특히 연결이 끊긴 환경 내에 있으며 공용 인터넷에 직접 연결되지 않습니다. 그러나 사용자는 공용 인터넷에 액세스할 수 있는 환경에서 oc mirror 를 실행해야 합니다.

프로세스

  1. 연결이 끊긴 환경에서 oc-mirror 플러그인 v2를 실행하기 전에 registries.conf 파일을 생성합니다. 파일의 TOML 형식은 이 사양에 설명되어 있습니다.

    참고

    $HOME/.config/containers/registries.conf 또는 /etc/containers/registries.conf 아래에 파일을 저장하는 것이 좋습니다.

    registries.conf

    [[registry]]
location="registry.redhat.io"
[[registry.mirror]]
location="<enterprise-registry.in>"

[[registry]]
location="quay.io"
[[registry.mirror]]
location="<enterprise-registry.in>"

  2. 미러 아카이브를 생성합니다.

    1. 모든 OpenShift Container Platform 콘텐츠를 < file_path>/enterprise-content 아래의 아카이브로 수집하려면 다음 명령을 실행합니다. 

      $ oc mirror --v2 -c isc.yaml file://<file_path>/enterprise-content

      isc.yaml의 예

      apiVersion: mirror.openshift.io/v2alpha1
kind: ImageSetConfiguration
mirror:
  platform:
    architectures:
      - "amd64"
    channels:
      - name: stable-4.15
        minVersion: 4.15.0
        maxVersion: 4.15.3

      아카이브가 생성되면 연결이 끊긴 환경으로 전송됩니다. 전송 메커니즘은 oc-mirror 플러그인 v2의 일부가 아닙니다. 엔터프라이즈 네트워크 관리자는 전송 전략을 결정합니다.

      경우에 따라 디스크가 물리적으로 한 위치에서 연결 해제되고 연결이 끊긴 환경의 다른 컴퓨터에 연결되어 있음을 전송이 수동으로 수행됩니다. 다른 경우에는 FTP(Secure File Transfer Protocol) 또는 기타 프로토콜이 사용됩니다.

  3. 아카이브 전송이 완료되면 다음 예에 설명된 대로 관련 아카이브 콘텐츠를 레지스트리(예의entrerpise_registry.in )에 미러링하기 위해 oc-mirror 플러그인 v2를 다시 실행할 수 있습니다. 

    $ oc mirror --v2 -c isc.yaml --from file://<disconnected_environment_file_path>/enterprise-content docker://<enterprise_registry.in>/

    다음과 같습니다.

    • --from 은 아카이브가 포함된 폴더를 가리킵니다. file:// 로 시작합니다.
    • docker:// 는 미러링의 대상이 최종 인수입니다. 이는 docker 레지스트리이기 때문입니다.
    • -c (--config)는 필수 인수입니다. oc-mirror 플러그인 v2가 결국 아카이브의 하위 부분만 레지스트리에 미러링할 수 있습니다. 하나의 아카이브에는 여러 OpenShift Container Platform 릴리스가 포함될 수 있지만 연결이 끊긴 환경 또는 enclave는 몇 개만 미러링할 수 있습니다.

  4. enclave에 미러링할 콘텐츠를 설명하는 imageSetConfig YAML 파일을 준비합니다.

    isc-enclave.yaml의 예

    apiVersion: mirror.openshift.io/v2alpha1
kind: ImageSetConfiguration
mirror:
  platform:
    architectures:
      - "amd64"
    channels:
      - name: stable-4.15
        minVersion: 4.15.2
        maxVersion: 4.15.2

    연결이 끊긴 레지스트리에 액세스할 수 있는 머신에서 oc-mirror 플러그인 v2를 실행해야 합니다. 이전 예에서 연결이 끊긴 환경 enterprise-registry.in 에 액세스할 수 있습니다.

  5. 그래프 URL 업데이트

    graph:true 를 사용하는 경우 oc-mirror 플러그인 v2는 cincinnati API 끝점에 도달하려고 시도합니다. 이 환경의 연결이 끊어지면 UPDATE_URL_OVERRIDE 환경 변수 OSUS(OpenShift Update Service)의 URL을 참조하도록 환경 변수 UPDATE_URL_OVERRIDE를 내보내야 합니다. 

    $ export UPDATE_URL_OVERRIDE=https://<osus.enterprise.in>/graph

    OpenShift 클러스터에서 OSUS를 설정하는 방법에 대한 자세한 내용은 "OpenShift Update Service를 사용하여 연결이 끊긴 환경에서 클러스터 업그레이드"를 참조하십시오.

참고

OpenShift Container Platform EUS (Extended Update Support) 버전을 업그레이드할 때 현재 버전과 대상 버전 간에 중간 버전이 필요할 수 있습니다. 예를 들어 현재 버전이 4.14 이고 대상 버전이 4.16 인 경우 oc-mirror 플러그인 v2를 사용할 때 ImageSetConfiguration4.15.8 과 같은 버전을 포함해야 할 수 있습니다.

oc-mirror 플러그인 v2가 항상 자동으로 감지되지 않을 수 있으므로 필요한 중간 버전을 확인하고 구성에 수동으로 추가하려면 Cincinnati 그래프 웹 페이지를 확인하십시오.

  1. enclave의 엔터프라이즈 레지스트리에서 미러 아카이브를 생성합니다.

    enclave1 용 아카이브를 준비하기 위해 사용자는 해당 enclave에 특정한 imageSetConfiguration 을 사용하여 엔터프라이즈 연결이 끊긴 환경에서 oc-mirror 플러그인 v2를 실행합니다. 이렇게 하면 enclave에 필요한 이미지만 미러링됩니다. 

    $ oc mirror --v2 -c isc-enclave.yaml
file:///disk-enc1/

    이 작업은 모든 OpenShift Container Platform 콘텐츠를 아카이브로 수집하고 디스크에 아카이브를 생성합니다.

  2. 아카이브가 생성되면 enclave1 네트워크로 전송됩니다. 전송 메커니즘은 oc-mirror 플러그인 v2의 책임이 아닙니다.

  3. enclave 레지스트리에 콘텐츠를 미러링

    아카이브 전송이 완료되면 사용자는 관련 아카이브 콘텐츠를 레지스트리에 미러링하기 위해 oc-mirror 플러그인 v2를 다시 실행할 수 있습니다. 

    $ oc mirror --v2 -c isc-enclave.yaml --from file://local-disk docker://registry.enc1.in

    enclave1 의 OpenShift Container Platform 클러스터 관리자는 이제 해당 클러스터를 설치하거나 업그레이드할 준비가 되었습니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.