Red Hat Summit4.6. etcd 인증서
4.6.1. 목적
etcd 인증서는 etcd-signer를 통해 서명합니다. 노드 인증서는 부트스트랩 프로세스를 통해 생성된 인증 기관(CA)에서 제공합니다.
4.6.2. 만료
CA 인증서는 10년 동안 유효합니다. 피어, 클라이언트 및 서버 인증서는 3년간 유효합니다.
4.6.3. etcd 인증서 교체
etcd 인증서는 etcd 클러스터 Operator를 사용하여 자동으로 순환됩니다. 그러나 인증서가 자동으로 교체되기 전에 순환해야 하는 경우 수동으로 교체할 수 있습니다.
프로세스
다음 명령을 실행하여 현재 서명자 인증서의 백업 사본을 만듭니다.
$ oc get secret -n openshift-etcd etcd-signer -oyaml > signer_backup_secret.yaml다음 명령을 실행하여 기존 서명자 인증서를 삭제합니다.
$ oc delete secret -n openshift-etcd etcd-signer다음 명령을 실행하여 정적 포드가 롤아웃될 때까지 기다립니다. 정적 pod 롤아웃을 완료하는 데 몇 분이 걸릴 수 있습니다.
$ oc wait --for=condition=Progressing=False --timeout=15m clusteroperator/etcd
4.6.4. 번들에서 사용되지 않는 인증 기관 제거
수동 교체는 이전 서명자 인증서의 공개 키를 제거하기 위해 신뢰 번들을 즉시 업데이트하지 않습니다.
서명자 인증서의 공개 키는 만료 날짜에 제거되지만 공개 키가 만료되기 전에 제거해야 하는 경우 삭제할 수 있습니다.
프로세스
다음 명령을 실행하여 키를 삭제합니다.
$ oc delete configmap -n openshift-etcd etcd-ca-bundle다음 명령을 실행하여 정적 포드 롤아웃을 기다립니다. 번들은 현재 서명자 인증서로 다시 생성되고 알 수 없거나 사용되지 않는 모든 키가 삭제됩니다.
$ oc adm wait-for-stable-cluster --minimum-stable-period 2m
4.6.5. etcd 인증서 교체 경고 및 메트릭 서명자 인증서
보류 중인 etcd 인증서 만료에 대해 사용자에게 알리는 두 가지 경고:
etcdSignerCAExpirationWarning- 서명자가 만료될 때까지 730일이 걸립니다.
etcdSignerCAExpirationCritical- 서명자가 만료될 때까지 365일이 걸립니다.
이러한 경고는 openshift-etcd 네임스페이스에 있는 서명자 인증 기관의 만료 날짜를 추적합니다.
다음과 같은 이유로 인증서를 순환할 수 있습니다.
- 만료 경고가 표시됩니다.
- 개인 키가 유출됩니다.
개인 키가 유출되면 모든 인증서를 교체해야 합니다.
OpenShift Container Platform 메트릭 시스템에는 etcd 서명자가 있습니다. etcd 인증서를 Rotating할 때 다음 지표 매개변수를 대체합니다.
-
etcd-signer대신etcd-metric-signer -
etcd-ca-bundle대신etcd-metrics-ca-bundle
4.6.6. 관리
이러한 인증서는 시스템에서만 관리되며 자동으로 교체됩니다.
4.6.7. 서비스
etcd 인증서는 etcd 멤버 피어와 암호화된 클라이언트 트래픽 간의 암호화된 통신에 사용됩니다. 다음 인증서는 etcd 및 etcd와 통신하는 다른 프로세스를 통해 생성되고 사용됩니다.
- 피어 인증서: etcd 멤버 간의 통신에 사용됩니다.
-
클라이언트 인증서: 암호화된 서버-클라이언트 통신에 사용됩니다. 클라이언트 인증서는 현재 API 서버에서만 사용되며 프록시를 제외한 다른 서비스는 etcd에 직접 연결하지 않아야 합니다. 클라이언트 보안(
etcd-client,etcd-metric-client,etcd-metric-signer,etcd-signer)이openshift-config,openshift-etcd,openshift-etcd-operator,openshift-kube-apiserver네임스페이스에 추가됩니다. - 서버 인증서: etcd 서버가 클라이언트 요청을 인증하는 데 사용합니다.
- 지표 인증서: 모든 지표 소비자는 지표 클라이언트 인증서를 사용하여 프록시에 연결합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}