Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

4.6. etcd 인증서

4.6.1. 목적
링크 복사

etcd 인증서는 etcd-signer를 통해 서명합니다. 노드 인증서는 부트스트랩 프로세스를 통해 생성된 인증 기관(CA)에서 제공합니다.

4.6.2. 만료
링크 복사

CA 인증서는 10년 동안 유효합니다. 피어, 클라이언트 및 서버 인증서는 3년간 유효합니다.

4.6.3. etcd 인증서 교체
링크 복사

만료되기 전에 etcd 인증서를 순환합니다.

프로세스

  1. 다음 명령을 실행하여 현재 서명자 인증서의 백업 사본을 만듭니다. 

    $ oc get secret -n openshift-etcd etcd-signer -oyaml > signer_backup_secret.yaml

  2. 다음 명령을 실행하여 새 서명자 인증서의 나머지 수명을 확인합니다. 

    $ oc get secret -n openshift-etcd etcd-signer -ojsonpath='{.metadata.annotations.auth\.openshift\.io/certificate-not-after}'

  3. 남은 수명이 현재 날짜에 가까우면 서명자를 삭제하여 서명자를 다시 만들고 정적 pod가 롤아웃될 때까지 기다립니다.

    • 다음 명령을 실행하여 서명자를 삭제합니다. 

      $ oc delete secret -n openshift-etcd etcd-signer

    • 다음 명령을 실행하여 정적 Pod가 롤아웃될 때까지 기다립니다. 

      $ oc wait --for=condition=Progressing=False --timeout=15m clusteroperator/etcd

  4. etcd 를 다시 시작한 후 다음 명령을 실행하여 openshift-etcd 에서 새로 순환된 새 CA를 사용하여 openshift-config 네임스페이스에서 원래 CA를 전환합니다. 

    $ oc get secret etcd-signer -n openshift-etcd -ojson | jq 'del(.metadata["namespace","creationTimestamp","resourceVersion","selfLink","uid"])' | oc apply -n openshift-config -f -

  5. 다음 명령을 실행하여 클러스터 Operator가 롤아웃 및 안정화될 때까지 기다립니다. 

    $ oc adm wait-for-stable-cluster --minimum-stable-period 2m

4.6.4. etcd 인증서 교체 경고 및 메트릭 서명자 인증서
링크 복사

다음 두 가지 경고 유형은 보류 중인 etcd 인증서 만료에 대해 알려줍니다.

etcdSignerCAExpirationWarning
서명자가 만료될 때까지 730일이 걸립니다.
etcdSignerCAExpirationCritical
서명자가 만료될 때까지 365일이 걸립니다.

다음과 같은 이유로 인증서를 순환할 수 있습니다.

  • 만료 경고가 표시됩니다.
  • 개인 키가 유출됩니다.
중요

개인 키가 유출되면 모든 인증서를 교체해야 합니다.

OpenShift Container Platform 메트릭 시스템에는 etcd 서명자가 있습니다. etcd 인증서를 Rotating할 때 다음 지표 매개변수를 대체합니다.

  • etcd-signer대신 etcd-metric-signer
  • etcd-ca-bundle대신 etcd-metrics-ca-bundle

4.6.5. 관리
링크 복사

이러한 인증서는 시스템에서만 관리되며 자동으로 교체됩니다.

4.6.6. 서비스
링크 복사

etcd 인증서는 etcd 멤버 피어와 암호화된 클라이언트 트래픽 간의 암호화된 통신에 사용됩니다. 다음 인증서는 etcd 및 etcd와 통신하는 다른 프로세스를 통해 생성되고 사용됩니다.

  • 피어 인증서: etcd 멤버 간의 통신에 사용됩니다.
  • 클라이언트 인증서: 암호화된 서버-클라이언트 통신에 사용됩니다. 클라이언트 인증서는 현재 API 서버에서만 사용되며 프록시를 제외한 다른 서비스는 etcd에 직접 연결하지 않아야 합니다. 클라이언트 보안(etcd-client,etcd-metric-client,etcd-metric-signer, etcd-signer)이 openshift-config,openshift-etcd,openshift-etcd-operator, openshift-kube-apiserver 네임스페이스에 추가됩니다.
  • 서버 인증서: etcd 서버가 클라이언트 요청을 인증하는 데 사용합니다.
  • 지표 인증서: 모든 지표 소비자는 지표 클라이언트 인증서를 사용하여 프록시에 연결합니다.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동