지원콘솔개발자평가판 시작연락처

8.5. NBDE Tang Server Operator를 사용하여 Tang 서버 구성 및 관리

NBDE Tang Server Operator를 사용하면 Tang 서버를 배포하고 빠르게 구성할 수 있습니다. 배포된 Tang 서버에서 기존 키를 나열하고 회전할 수 있습니다.

8.5.1. NBDE Tang Server Operator를 사용하여 Tang 서버 배포

웹 콘솔에서 NBDE Tang Server Operator를 사용하여 하나 이상의 Tang 서버를 배포하고 빠르게 구성할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터에 대한 cluster-admin 권한이 있어야 합니다.
  • OCP 클러스터에 NBDE Tang Server Operator를 설치했습니다.

프로세스

  1. OpenShift Container Platform 웹 콘솔에서 Operator OperatorHub로 이동합니다.

  2. 프로젝트를 선택하고 프로젝트 생성을 클릭합니다.

    웹 콘솔에서 프로젝트 생성

  3. 프로젝트 생성 페이지에서 필요한 정보를 입력합니다. 예를 들면 다음과 같습니다.

    프로젝트 생성 페이지의 값 예
  4. 생성을 클릭합니다.

  5. NBDE Tang 서버 복제본에는 암호화 키를 저장하기 위한 영구 볼륨 클레임(PVC)이 필요합니다. 웹 콘솔에서 스토리지 PersistentVolumeClaims 로 이동합니다.

    Storage 메뉴의 PersistentVolumeClaims
  6. 다음 PersistentVolumeClaims 화면에서 PersistentVolumeClaim 생성을 클릭합니다.

  7. PersistentVolumeClaim 생성 페이지에서 배포 시나리오에 맞는 스토리지를 선택합니다. 암호화 키를 교체하는 빈도를 고려하십시오. PVC의 이름을 지정하고 클레임된 스토리지 용량을 선택합니다. 예를 들면 다음과 같습니다.

    PersistentVolumeClaims 페이지 생성
  8. Operators 설치된 Operators 로 이동하여 NBDE Tang Server 를 클릭합니다.

  9. 인스턴스 만들기를 클릭합니다.

    NBDE Tang 서버 인스턴스 생성

  10. TangServer 생성 페이지에서 Tang Server 인스턴스의 이름, 복제본 크기, 이전에 생성된 영구 볼륨 클레임의 이름을 지정합니다. 예를 들면 다음과 같습니다.

    TangServer 페이지 생성
  11. 필요한 값을 입력한 후 시나리오의 기본값과 다른 변경 설정을 클릭하여 만들기 를 클릭합니다.

8.5.2. NBDE Tang Server Operator를 사용하여 키 교체

NBDE Tang Server Operator를 사용하면 Tang 서버 키를 교체할 수도 있습니다. 교체해야하는 정확한 간격은 애플리케이션, 키 크기 및 기관 정책에 따라 다릅니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터에 대한 cluster-admin 권한이 있어야 합니다.
  • OpenShift 클러스터에서 NBDE Tang Server Operator를 사용하여 Tang 서버를 배포했습니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.

프로세스

  1. Tang 서버의 기존 키를 나열합니다. 예를 들면 다음과 같습니다. 

    $ oc -n nbde describe tangserver

    출력 예

    …
Status:
  Active Keys:
	File Name:  	QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg
	Generated:  	2022-02-08 15:44:17.030090484 +0000
	sha1:       	PvYQKtrTuYsMV2AomUeHrUWkCGg
	sha256:     	QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg
…

  2. 활성 키를 숨겨진 키로 이동하기 위한 YAML 파일을 만듭니다(예: minimal-keyretrieve-rotate-tangserver.yaml ).

    tang-operator의 키 로테이션 YAML의 예

    apiVersion: daemons.redhat.com/v1alpha1
kind: TangServer
metadata:
  name: tangserver
  namespace: nbde
  finalizers:
    - finalizer.daemons.tangserver.redhat.com
spec:
  replicas: 1
  hiddenKeys:
    - sha1: "PvYQKtrTuYsMV2AomUeHrUWkCGg" 1

    1
    회전할 활성 키의 SHA-1 지문을 지정합니다.

  3. YAML 파일을 적용합니다. 

    $ oc apply -f minimal-keyretrieve-rotate-tangserver.yaml

검증

  1. 구성에 따라 일정 시간이 지나면 이전 activeKey 값이 새 hiddenKey 값이고 activeKey 키 파일이 새로 생성되었는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ oc -n nbde describe tangserver

    출력 예

    …
Spec:
  Hidden Keys:
    sha1:    PvYQKtrTuYsMV2AomUeHrUWkCGg
  Replicas:  1
Status:
  Active Keys:
    File Name:  T-0wx1HusMeWx4WMOk4eK97Q5u4dY5tamdDs7_ughnY.jwk
    Generated:  2023-10-25 15:38:18.134939752 +0000
    sha1:       vVxkNCNq7gygeeA9zrHrbc3_NZ4
    sha256:     T-0wx1HusMeWx4WMOk4eK97Q5u4dY5tamdDs7_ughnY
  Hidden Keys:
    File Name:           .QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg.jwk
    Generated:           2023-10-25 15:37:29.126928965 +0000
    Hidden:              2023-10-25 15:38:13.515467436 +0000
    sha1:                PvYQKtrTuYsMV2AomUeHrUWkCGg
    sha256:              QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg
…

8.5.3. NBDE Tang Server Operator를 사용하여 숨겨진 키 삭제

Tang 서버 키를 순환하면 이전 활성 키가 숨겨지고 Tang 인스턴스에서 더 이상 광고하지 않습니다. NBDE Tang Server Operator를 사용하여 더 이상 사용되지 않는 암호화 키를 제거할 수 있습니다.

경고
바인딩된 모든 Clevis 클라이언트가 이미 새 키를 사용하는지 확인하지 않는 한 숨겨진 키를 제거하지 마십시오.

사전 요구 사항

  • OpenShift Container Platform 클러스터에 대한 cluster-admin 권한이 있어야 합니다.
  • OpenShift 클러스터에서 NBDE Tang Server Operator를 사용하여 Tang 서버를 배포했습니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.

프로세스

  1. Tang 서버의 기존 키를 나열합니다. 예를 들면 다음과 같습니다. 

    $ oc -n nbde describe tangserver

    출력 예

    …
Status:
  Active Keys:
	File Name:  	PvYQKtrTuYsMV2AomUeHrUWkCGg.jwk
	Generated:  	2022-02-08 15:44:17.030090484 +0000
	sha1:	    	PvYQKtrTuYsMV2AomUeHrUWkCGg
	sha256:	    	QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg
…

  2. 숨겨진 키를 제거하기 위한 YAML 파일을 만듭니다(예: hidden-keys-deletion-tangserver.yaml ):

    tang-operator의 hidden-keys-deletion YAML의 예

    apiVersion: daemons.redhat.com/v1alpha1
kind: TangServer
metadata:
  name: tangserver
  namespace: nbde
  finalizers:
    - finalizer.daemons.tangserver.redhat.com
spec:
  replicas: 1
  hiddenKeys: [] 1

    1
    hiddenKeys 항목의 값으로 빈 배열은 Tang 서버에서 숨겨진 키를 유지하지 않으려는 것을 나타냅니다.

  3. YAML 파일을 적용합니다. 

    $ oc apply -f hidden-keys-deletion-tangserver.yaml

검증

  1. 구성에 따라 일정 시간이 지나면 이전 활성 키가 계속 존재하지만 숨겨진 키를 사용할 수 있는지 확인합니다. 예를 들면 다음과 같습니다. 

    $ oc -n nbde describe tangserver

    출력 예

    …
Spec:
  Hidden Keys:
    sha1:    PvYQKtrTuYsMV2AomUeHrUWkCGg
  Replicas:  1
Status:
  Active Keys:
    File Name:  T-0wx1HusMeWx4WMOk4eK97Q5u4dY5tamdDs7_ughnY.jwk
    Generated:  2023-10-25 15:38:18.134939752 +0000
    sha1:       vVxkNCNq7gygeeA9zrHrbc3_NZ4
    sha256:     T-0wx1HusMeWx4WMOk4eK97Q5u4dY5tamdDs7_ughnY
Status:
  Ready:                 1
  Running:               1
  Service External URL:  http://35.222.247.84:7500/adv
  Tang Server Error:     No
Events:
…

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.