Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

9.10. Red Hat OpenShift용 cert-manager Operator와 Istio-CSR 통합

cert-manager Operator for Red Hat OpenShift는 Red Hat OpenShift Service Mesh 또는 Istio에서 워크로드 및 컨트롤 플레인 구성 요소를 보호하기 위한 향상된 지원을 제공합니다. 여기에는 cert-manager 발행자를 사용하여 서명, 전달 및 갱신되는 상호 TLS(mTLS)를 활성화하는 인증서 지원이 포함됩니다. cert-manager Operator for Red Hat OpenShift 관리 Istio-CSR 에이전트를 사용하여 Istio 워크로드 및 컨트롤 플레인 구성 요소를 보호할 수 있습니다.

이 Istio-CSR 통합을 통해 Istio는 이제 Red Hat OpenShift용 cert-manager Operator에서 인증서를 가져와 보안 및 인증서 관리를 단순화할 수 있습니다.

9.10.1. cert-manager Operator for Red Hat OpenShift를 통해 Istio-CSR 에이전트 설치
링크 복사

9.10.1.1. Istio-CSR 에이전트에 대한 루트 CA 발행자 생성
링크 복사

이 절차를 사용하여 Istio-CSR 에이전트에 대한 루트 CA 발행자를 생성합니다.

참고

지원되지 않는 ACME 발행자를 제외하고 지원되는 다른 발급자를 사용할 수 있습니다. 자세한 내용은 "cert-manager Operator for Red Hat OpenShift issuer providers"를 참조하십시오.

프로세스

  1. IssuerCertificate 오브젝트를 정의하는 YAML 파일을 생성합니다.

    issuer.yaml 파일 예

    apiVersion: cert-manager.io/v1
kind: Issuer
    1 
    
metadata:
  name: selfsigned
  namespace: <istio_project_name>
    2 
    
spec:
  selfSigned: {}
---
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: istio-ca
  namespace: <istio_project_name>
spec:
  isCA: true
  duration: 87600h # 10 years
  secretName: istio-ca
  commonName: istio-ca
  privateKey:
    algorithm: ECDSA
    size: 256
  subject:
    organizations:
      - cluster.local
      - cert-manager
  issuerRef:
    name: selfsigned
    kind: Issuer
    3 
    
    group: cert-manager.io
---
apiVersion: cert-manager.io/v1
kind: Issuer
    4 
    
metadata:
  name: istio-ca
  namespace: <istio_project_name>
    5 
    
spec:
  ca:
    secretName: istio-ca
    Copy to Clipboard Toggle word wrap

    1 3 4
    발급자 또는 Cluster Issuer 를 지정합니다.
    2 5
    Istio 프로젝트의 이름을 지정합니다.

검증

  • 다음 명령을 실행하여 Issuer가 생성되고 사용할 준비가 되었는지 확인합니다. 

    $ oc get issuer istio-ca -n <istio_project_name>
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME       READY   AGE
istio-ca   True    3m
    Copy to Clipboard Toggle word wrap

9.10.1.2. IstioCSR 사용자 정의 리소스 생성
링크 복사

cert-manager Operator for Red Hat OpenShift를 통해 Istio-CSR 에이전트를 설치하려면 다음 절차를 사용하십시오.

사전 요구 사항

  • cluster-admin 권한이 있는 클러스터에 액세스할 수 있습니다.
  • Istio-CSR 기능을 활성화했습니다.

  • Istio-CSR 에이전트의 인증서를 생성하는 데 필요한 발급자 또는 Cluster Issuer 리소스를 생성했습니다.

    참고

    Issuer 리소스를 사용하는 경우 Red Hat OpenShift Service Mesh 또는 Istiod 네임스페이스에서 발급자 및 인증서 리소스를 생성합니다. 인증서 요청은 동일한 네임스페이스에 생성되고 이에 따라 RBAC(역할 기반 액세스 제어)가 구성됩니다.

프로세스

  1. 다음 명령을 실행하여 Istio-CSR을 설치하기 위한 새 프로젝트를 생성합니다. Istio-CSR을 설치하기 위한 기존 프로젝트가 있는 경우 이 단계를 건너뜁니다. 

    $ oc new-project <istio_csr_project_name>
    Copy to Clipboard Toggle word wrap

  2. IstioCSR 사용자 정의 리소스를 생성하여 Istio 워크로드 및 컨트롤 플레인 인증서 서명 요청을 처리하기 위해 cert-manager Operator for Red Hat OpenShift에서 관리하는 Istio-CSR 에이전트를 활성화합니다.

    참고

    한 번에 하나의 IstioCSR CR(사용자 정의 리소스)만 지원됩니다. 여러 IstioCSR CR이 생성되면 하나만 활성화됩니다. IstioCSRstatus 하위 리소스를 사용하여 리소스가 처리되지 않았는지 확인합니다.

    • 여러 IstioCSR CR이 동시에 생성되는 경우 처리되지 않습니다.
    • 여러 IstioCSR CR이 순차적으로 생성되는 경우 첫 번째 CSR CR만 처리됩니다.
    • 새 요청이 거부되지 않도록 하려면 처리되지 않은 IstioCSR CR을 삭제합니다.
    • Operator는 IstioCSR 용으로 생성된 오브젝트를 자동으로 제거하지 않습니다. 활성 IstioCSR 리소스가 삭제되고 이전 배포를 제거하지 않고 다른 네임스페이스에서 새 리소스가 생성되면 여러 istio-csr 배포가 활성 상태로 유지될 수 있습니다. 이 동작은 권장되지 않으며 지원되지 않습니다.

    1. IstioCSR 오브젝트를 정의하는 YAML 파일을 생성합니다.

      IstioCSR CR의 예

      apiVersion: operator.openshift.io/v1alpha1
kind: IstioCSR
metadata:
  name: default
  namespace: <istio_csr_project_name>
spec:
  istioCSRConfig:
    certManager:
      issuerRef:
        name: istio-ca
      1 
      
        kind: Issuer
      2 
      
        group: cert-manager.io
    istiodTLSConfig:
      trustDomain: cluster.local
    istio:
      namespace: <istio_project_name>
      Copy to Clipboard Toggle word wrap

      1
      발급자 또는 Cluster Issuer 이름을 지정합니다. issuer.yaml 파일에 정의된 CA 발행자와 동일해야 합니다.
      2
      발급자 또는 Cluster Issuer 유형을 지정합니다. issuer.yaml 파일에 정의된 CA 발행자와 동일해야 합니다.

    2. 다음 명령을 실행하여 IstioCSR 사용자 지정 리소스를 생성합니다. 

      $ oc create -f IstioCSR.yaml
      Copy to Clipboard Toggle word wrap

검증

  1. 다음 명령을 실행하여 Istio-CSR 배포가 준비되었는지 확인합니다. 

    $ oc get deployment -n <istio_csr_project_name>
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                     READY   UP-TO-DATE   AVAILABLE   AGE
cert-manager-istio-csr   1/1     1            1           24s
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 Istio-CSR 포드가 실행 중인지 확인합니다. 

    $ oc get pod -n <istio_csr_project_name>
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                  	 READY   STATUS	  RESTARTS    AGE
cert-manager-istio-csr-5c979f9b7c-bv57w  1/1     Running  0           45s
    Copy to Clipboard Toggle word wrap

    • 다음 명령을 실행하여 Istio-CSR Pod에서 로그에 오류를 보고하지 않는지 확인합니다. 

      $ oc -n <istio_csr_project_name> logs <istio_csr_pod_name>
      Copy to Clipboard Toggle word wrap

    • 다음 명령을 실행하여 cert-manager Operator for Red Hat OpenShift Pod가 오류를 보고하지 않는지 확인합니다. 

      $ oc -n cert-manager-operator logs <cert_manager_operator_pod_name>
      Copy to Clipboard Toggle word wrap

9.10.2. IstioCSR 사용자 정의 리소스 사용자 정의
링크 복사

IstioCSR CR(사용자 정의 리소스)을 수정하여 Istio 워크로드가 cert-manager Operator와 상호 작용하는 방식을 정의할 수 있습니다.

9.10.2.1. istio-csr 구성 요소의 로그 수준 설정
링크 복사

istio-csr 구성 요소의 로그 수준을 설정하여 로그 메시지의 상세 정보 표시 및 형식을 제어할 수 있습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 클러스터에 액세스할 수 있습니다.
  • IstioCSR CR(사용자 정의 리소스)을 생성했습니다.

프로세스

  1. 다음 명령을 실행하여 IstioCSR CR을 편집합니다. 

    oc edit istiocsrs.operator.openshift.io default -n <istio_csr_project_name>
    1
    Copy to Clipboard Toggle word wrap
    1
    & lt;istio_csr_project_name >을 IstioCSR CR을 생성한 네임스페이스로 바꿉니다.

  2. spec.istioCSRConfig 섹션에서 로그 수준 및 형식을 구성합니다.

    로그 수준을 설정하기 위한 샘플 IstioCSR CR 구성

    apiVersion: operator.openshift.io/v1alpha1
kind: IstioCSR
...
spec:
  istioCSRConfig:
    logFormat: text
    1 
    
    logLevel: 2
    2 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    로그 출력 형식을 지정합니다. 이 필드를 text 또는 json 으로 설정할 수 있습니다.
    2
    로그 수준을 설정합니다. 지원되는 값은 Kubernetes 로깅 지침에 정의된 대로 1~5 범위에 있습니다. 기본값은 1 입니다.
  3. 편집기를 저장하고 종료하여 변경 사항을 적용합니다. 변경 사항이 적용되면 cert-manager Operator에서 istio-csr 피연산자의 로그 구성을 업데이트합니다.

9.10.2.2. CA 번들 배포를 위한 네임스페이스 선택기 구성
링크 복사

Istio-CSR 에이전트는 CA 번들이 포함된 istio-ca-root-cert ConfigMap 을 생성하고 업데이트합니다. 서비스 메시의 워크로드는 이 CA 번들을 사용하여 Istio 컨트롤 플레인에 대한 연결을 검증합니다. Istio-CSR 에이전트가 이 ConfigMap 을 생성하는 네임스페이스를 지정하도록 네임스페이스 선택기를 구성할 수 있습니다. 선택기를 구성하지 않으면 Istio-CSR 에이전트가 모든 네임스페이스에 ConfigMap 을 생성합니다.

사전 요구 사항

  • cluster-admin 권한이 있는 클러스터에 액세스할 수 있습니다.
  • IstioCSR CR(사용자 정의 리소스)을 생성했습니다.

프로세스

  1. 다음 명령을 실행하여 IstioCSR CR을 편집합니다. 

    oc edit istiocsrs.operator.openshift.io default -n <istio_csr_project_name>
    1
    Copy to Clipboard Toggle word wrap
    1
    & lt;istio_csr_project_name >을 IstioCSR CR을 생성한 네임스페이스로 바꿉니다.

  2. spec.istioCSRConfig.istioDataPlaneNamespaceSelector 섹션을 구성하여 네임스페이스 선택기를 설정합니다.

    네임스페이스 선택기를 사용한 IstioCSR CR 구성 샘플

    apiVersion: operator.openshift.io/v1alpha1
kind: IstioCSR
...
spec:
  istioCSRConfig:
    istioDataPlaneNamespaceSelector: maistra.io/member-of=istio-system
    1 
    
# ...
    Copy to Clipboard Toggle word wrap

    1
    maistra.io/member-of=istio-system 을 서비스 메시의 네임스페이스를 식별하는 라벨 키와 값으로 교체합니다. < key>=<value& gt; 형식을 사용합니다.
    참고

    istio-csr 구성 요소는 구성된 선택기와 일치하지 않는 네임스페이스에서 ConfigMap 오브젝트를 삭제하거나 관리하지 않습니다. IstioCSR CR을 배포한 후 선택기를 생성하거나 업데이트하거나 네임스페이스에서 레이블을 제거하는 경우 충돌을 방지하기 위해 이러한 ConfigMap 오브젝트를 수동으로 삭제해야 합니다.

    다음 명령을 실행하여 선택기와 일치하는 네임스페이스에 없는 ConfigMap 오브젝트를 나열할 수 있습니다. 이 예에서 선택기는 maistra.io/member-of=istio-system:입니다. 

    printf "%-25s %10s\n" "ConfigMap" "Namespace"; \
for ns in $(oc get namespaces -l "maistra.io/member-of!=istio-system" -o=jsonpath='{.items[*].metadata.name}'); do \
  oc get configmaps -l "istio.io/config=true" -n $ns --no-headers -o jsonpath='{.items[*].metadata.name}{"\t"}{.items[*].metadata.namespace}{"\n"}' --ignore-not-found; \
done
    Copy to Clipboard Toggle word wrap
  3. 편집기를 저장하고 종료하여 변경 사항을 적용합니다. 변경 사항을 적용한 후 cert-manager Operator for Red Hat OpenShift는 istio-csr 피연산자의 네임스페이스 선택기 구성을 업데이트합니다.

9.10.2.3. Istio 서버의 CA 인증서 구성
링크 복사

Istio 워크로드에서 Istio 서버 인증서를 확인하는 데 사용하는 CA 번들이 포함된 ConfigMap 을 구성할 수 있습니다. 구성되지 않은 경우 cert-manager Operator for Red Hat OpenShift는 구성된 발행자 및 Istio 인증서가 포함된 Kubernetes Secret에서 CA 인증서를 찾습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 클러스터에 액세스할 수 있습니다.
  • IstioCSR CR(사용자 정의 리소스)을 생성했습니다.

프로세스

  1. 다음 명령을 실행하여 IstioCSR CR을 편집합니다. 

    oc edit istiocsrs.operator.openshift.io default -n <istio_csr_project_name>
    1
    Copy to Clipboard Toggle word wrap
    1
    & lt;istio_csr_project_name >을 IstioCSR CR을 생성한 네임스페이스로 바꿉니다.

  2. spec.istioCSRConfig.certManager 섹션을 편집하여 CA 번들을 구성합니다.

    CA 번들 구성이 포함된 샘플 IstioCSR CR

    apiVersion: operator.openshift.io/v1alpha1
kind: IstioCSR
...
spec:
  istioCSRConfig:
    certManager:
      istioCACertificate:
        key: <key_in_the_configmap>
    1 
    
        name: <configmap_name>
    2 
    
        namespace: <configmap_namespace>
    3
    Copy to Clipboard Toggle word wrap

    1
    CA 번들이 포함된 ConfigMap 에 키 이름을 지정합니다.
    2
    ConfigMap 의 이름을 지정합니다. 이 필드를 업데이트하기 전에 참조된 ConfigMap 및 키가 있는지 확인합니다.
    3
    선택 사항: ConfigMap 이 존재하는 네임스페이스를 지정합니다. 이 필드를 설정하지 않으면 cert-manager Operator for Red Hat OpenShift는 IstioCSR CR을 설치한 네임스페이스에서 ConfigMap 을 검색합니다.
    참고

    CA 인증서가 교체될 때마다 최신 인증서로 ConfigMap 을 수동으로 업데이트해야 합니다.

  3. 편집기를 저장하고 종료하여 변경 사항을 적용합니다. 변경 사항이 적용되면 cert-manager Operator에서 istio-csr 피연산자의 CA 번들을 업데이트합니다.

cert-manager Operator for Red Hat OpenShift에서 관리하는 Istio-CSR 에이전트를 제거하려면 다음 절차를 사용하십시오.

사전 요구 사항

  • cluster-admin 권한이 있는 클러스터에 액세스할 수 있습니다.
  • Istio-CSR 기능을 활성화했습니다.
  • IstioCSR 사용자 정의 리소스를 생성했습니다.

프로세스

  1. 다음 명령을 실행하여 IstioCSR 사용자 정의 리소스를 제거합니다. 

    $ oc -n <istio_csr_project_name> delete istiocsrs.operator.openshift.io default
    Copy to Clipboard Toggle word wrap

  2. 관련 리소스를 제거합니다.

    중요

    Red Hat OpenShift Service Mesh 또는 Istio 구성 요소가 중단되지 않도록 하려면 다음 리소스를 제거하기 전에 Istio-CSR 서비스 또는 Istio에 발행된 인증서를 참조하는 구성 요소가 없는지 확인합니다.

    1. 다음 명령을 실행하여 클러스터 scoped-resources를 나열하고 나중에 참조할 수 있도록 나열된 리소스의 이름을 저장합니다. 

      $ oc get clusterrolebindings,clusterroles -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr"
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 Istio-csr 배포된 네임스페이스의 리소스를 나열하고 나중에 참조할 수 있도록 나열된 리소스의 이름을 저장합니다. 

      $ oc get certificate,deployments,services,serviceaccounts -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr" -n <istio_csr_project_name>
      Copy to Clipboard Toggle word wrap

    3. 다음 명령을 실행하고 나중에 참조할 수 있도록 나열된 리소스의 이름을 저장하여 Red Hat OpenShift Service Mesh 또는 Istio 배포된 네임스페이스의 리소스를 나열합니다. 

      $ oc get roles,rolebindings -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr" -n <istio_csr_project_name>
      Copy to Clipboard Toggle word wrap

    4. 이전 단계에서 나열된 각 리소스에 대해 다음 명령을 실행하여 리소스를 삭제합니다. 

      $ oc -n <istio_csr_project_name> delete <resource_type>/<resource_name>
      Copy to Clipboard Toggle word wrap

      관련 리소스가 모두 삭제될 때까지 이 프로세스를 반복합니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat