Red Hat Summit9장. cert-manager Operator for Red Hat OpenShift
9.1. cert-manager Operator for Red Hat OpenShift 개요
cert-manager Operator for Red Hat OpenShift는 애플리케이션 인증서 라이프사이클 관리를 제공하는 클러스터 전체 서비스입니다. cert-manager Operator for Red Hat OpenShift를 사용하면 외부 인증 기관과 통합하고 인증서 프로비저닝, 갱신 및 폐기를 제공할 수 있습니다.
9.1.1. cert-manager Operator for Red Hat OpenShift 정보
cert-manager 프로젝트는 인증 기관 및 인증서를 Kubernetes API의 리소스 유형으로 도입하므로 클러스터 내에서 작업하는 개발자에게 필요에 따라 인증서를 제공할 수 있습니다. cert-manager Operator for Red Hat OpenShift는 cert-manager를 OpenShift Container Platform 클러스터에 통합하는 데 지원되는 방법을 제공합니다.
cert-manager Operator for Red Hat OpenShift는 다음과 같은 기능을 제공합니다.
- 외부 인증 기관과 통합 지원
- 인증서를 관리하는 툴
- 개발자가 인증서를 자체 예약할 수 있는 기능
- 인증서 갱신 자동
OpenShift Container Platform용 Red Hat OpenShift용 cert-manager Operator와 클러스터에서 동시에 커뮤니티 cert-manager Operator를 모두 사용하지 마십시오.
또한 단일 OpenShift 클러스터 내의 여러 네임스페이스에 OpenShift Container Platform용 cert-manager Operator를 설치하지 않아야 합니다.
9.1.2. cert-manager Operator for Red Hat OpenShift issuer 공급자
cert-manager Operator for Red Hat OpenShift는 다음과 같은 발행자 유형으로 테스트되었습니다.
- ACME(Automated Certificate Management Environment)
- 인증 기관(CA)
- 자체 서명
- Vault
- Venafi
- Nokia NetGuard Certificate Manager (NCM)
- Google 클라우드 인증 기관 서비스 (Google CAS)
9.1.2.1. 발행자 유형 테스트
다음 표에서는 테스트된 각 발행자 유형에 대한 테스트 범위를 간략하게 설명합니다.
| 발행자 유형 | 테스트 상태 | 참고 |
|---|---|---|
| ACME | 완전히 테스트됨 | 표준 ACME 구현으로 검증되었습니다. |
| CA | 완전히 테스트됨 | 기본 CA 기능을 보장합니다. |
| 자체 서명 | 완전히 테스트됨 | 자체 서명된 기본 기능을 보장합니다. |
| Vault | 완전히 테스트됨 | 인프라 액세스 제약 조건으로 인해 표준 Vault 설정으로 제한됩니다. |
| Venafi | 부분적으로 테스트됨 | 공급자별 제한에 따라 다릅니다. |
| NCM | 부분적으로 테스트됨 | 공급자별 제한에 따라 다릅니다. |
| Google CAS | 부분적으로 테스트됨 | 일반적인 CA 구성과 호환됩니다. |
OpenShift Container Platform은 Red Hat OpenShift 공급자 기능용 타사 cert-manager Operator와 관련된 모든 요소를 테스트하지 않습니다. 타사 지원에 대한 자세한 내용은 OpenShift Container Platform 타사 지원 정책을 참조하십시오.
9.1.3. 인증서 요청 방법
cert-manager Operator for Red Hat OpenShift를 사용하여 인증서를 요청하는 방법은 다음 두 가지가 있습니다.
cert-manager.io/CertificateRequest오브젝트 사용-
이 방법을 사용하면 서비스 개발자가 구성된 발행자(서비스 인프라 관리자가 구성)를 가리키는 유효한
issuerRef를 사용하여CertificateRequest오브젝트를 생성합니다. 그러면 서비스 인프라 관리자가 인증서 요청을 수락하거나 거부합니다. 허용되는 인증서 요청만 해당 인증서를 생성합니다. cert-manager.io/Certificate오브젝트 사용-
이 방법을 사용하면 서비스 개발자가 유효한
issuerRef를 사용하여Certificate오브젝트를 생성하고Certificate오브젝트를 가리키는 보안에서 인증서를 가져옵니다.
9.1.4. Red Hat OpenShift 버전에 지원되는 cert-manager Operator
OpenShift Container Platform 4.17은 다음 버전의 cert-manager Operator for Red Hat OpenShift를 지원합니다.
- cert-manager Operator for Red Hat OpenShift 1.13
9.1.5. cert-manager Operator for Red Hat OpenShift에 대한 FIPS 컴플라이언스 정보
버전 1.14.0부터 cert-manager Operator for Red Hat OpenShift는 FIPS 준수를 위해 설계되었습니다. FIPS 모드에서 OpenShift Container Platform을 실행하는 경우 x86_64, ppc64le 및 s390X 아키텍처에서 FIPS 검증을 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다. NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 검증 프로그램을 참조하십시오. 검증을 위해 제출된 개별 RHEL 암호화 라이브러리의 최신 NIST 상태는 규정 준수 활동 및 정부 표준을 참조하십시오.
FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 OpenShift Container Platform 클러스터에 cert-manager Operator for Red Hat OpenShift를 설치해야 합니다. 자세한 내용은 "클러스터에 추가 보안이 필요합니까?"를 참조하십시오.
