Red Hat Summit보안 및 컴플라이언스
OpenShift Container Platform의 보안 학습 및 관리
초록
1장. OpenShift Container Platform 보안 및 컴플라이언스
1.1. 보안 개요
OpenShift Container Platform 클러스터의 다양한 측면을 적절하게 보호하는 방법을 이해하는 것이 중요합니다.
1.1.1. 컨테이너 보안
OpenShift Container Platform 보안을 이해하기 위한 좋은 시작점은 컨테이너 보안 이해 의 개념을 검토하는 것입니다. 이 섹션에서는 호스트 계층, 컨테이너 및 오케스트레이션 계층, 빌드 및 애플리케이션 계층에 대한 솔루션을 포함하여 OpenShift Container Platform에서 사용할 수 있는 컨테이너 보안 조치의 수준 높은 검토 단계를 제공합니다. 이 섹션에는 다음 주제에 대한 정보도 포함되어 있습니다.
- 컨테이너 보안이 중요한 이유 및 기존 보안 표준과의 비교
- 호스트(RHCOS 및 RHEL) 계층에서 제공하는 컨테이너 보안 조치와 OpenShift Container Platform에서 제공하는 컨테이너 보안 조치
- 컨테이너 콘텐츠 및 취약점의 소스를 평가하는 방법
- 컨테이너 콘텐츠를 사전 예방식으로 확인하기 위해 빌드 및 배포 프로세스를 디자인하는 방법
- 인증 및 권한 부여를 통해 컨테이너에 대한 액세스를 제어하는 방법
- OpenShift Container Platform에서 네트워킹 및 연결된 스토리지를 보호하는 방법
- API 관리 및 SSO에 사용하는 컨테이너화된 솔루션
1.1.2. 감사
OpenShift Container Platform 감사에서는 시스템의 개별 사용자, 관리자 또는 기타 구성 요소가 시스템에 영향을 준 활동 시퀀스를 설명하는 보안 관련 레코드 집합을 제공합니다. 관리자는 감사 로그 정책을 구성 하고 감사 로그를 볼 수 있습니다 .
1.1.3. 인증서
인증서는 다양한 구성 요소에서 클러스터에 대한 액세스 권한을 검증하는 데 사용됩니다. 관리자는 기본 수신 인증서를 교체하고 , API 서버 인증서를 추가 하거나 서비스 인증서를 추가 할 수 있습니다.
클러스터에서 사용하는 인증서 유형에 대한 세부 정보를 검토할 수도 있습니다.
1.1.4. 데이터 암호화
클러스터에 대해 etcd 암호화를 활성화하여 추가적인 데이터 보안 계층을 제공할 수 있습니다. 예를 들어 etcd 백업이 잘못된 당사자에게 노출되는 경우 중요한 데이터의 손실을 방지할 수 있습니다.
1.1.5. 취약점 검사
관리자는 Red Hat Quay Container Security Operator를 사용하여 취약성 검사를 실행하고 감지된 취약성에 대한 정보를 검토할 수 있습니다.
1.2. 컴플라이언스 개요
많은 OpenShift Container Platform 고객은 시스템을 프로덕션 환경에 도입하기 전에 일정 수준의 규제 준비 또는 컴플라이언스를 갖춰야 합니다. 이러한 규제 준비는 국가 표준, 산업 표준 또는 조직의 기업 거버넌스 프레임워크에 의해 부과될 수 있습니다.
1.2.1. 컴플라이언스 확인
관리자는 Compliance Operator를 사용하여 규정 준수 검사를 실행하고 발견된 문제에 대한 수정 방안을 권장할 수 있습니다. oc-compliance 플러그인은 Compliance Operator와 쉽게 상호작용할 수 있는 유틸리티 세트를 제공하는 OpenShift CLI( oc ) 플러그인입니다.
1.2.2. 파일 무결성 검사
관리자는 파일 무결성 연산자를 사용하여 클러스터 노드에서 지속적으로 파일 무결성 검사를 실행하고 수정된 파일의 로그를 제공할 수 있습니다.
2장. 컨테이너 보안
2.1. 컨테이너 보안 이해
컨테이너화된 애플리케이션은 여러 수준의 보안에 의존합니다.
컨테이너 보안은 신뢰할 수 있는 기본 컨테이너 이미지로 시작하며 CI/CD 파이프라인에 따라 진행하면서 컨테이너 빌드 프로세스를 계속합니다.
중요기본적으로 이미지 스트림은 자동으로 업데이트되지 않습니다. 이 기본 동작은 이미지 스트림에서 참조하는 이미지에 대한 보안 업데이트가 자동으로 발생하지 않기 때문에 보안 문제가 발생할 수 있습니다. 이 기본 동작을 재정의하는 방법에 대한 자세한 내용은 imagestreamtags의 주기적 가져오기 구성을 참조하세요.
- 배포된 컨테이너의 보안은 컨테이너가 보안 운영 체제 및 네트워크에서 실행 중이며 컨테이너와 상호 작용하는 사용자 및 호스트와 컨테이너 자체 사이에 확실한 경계가 설정되어 있는지에 따라 결정됩니다.
- 컨테이너 이미지에서 취약점을 스캔하고 취약한 이미지를 효율적으로 수정 및 교체하는 기능이 있어야 지속적인 보안이 가능합니다.
OpenShift Container Platform과 같은 플랫폼이 기본적으로 제공하는 보안 외에도 조직에는 자체 보안 요구 사항이 있습니다. OpenShift Container Platform을 데이터 센터로 가져오려면 일정 수준의 컴플라이언스 확인이 필요할 수 있습니다.
마찬가지로 조직의 보안 표준을 충족하기 위해 자체 에이전트, 특수 하드웨어 드라이버 또는 암호화 기능을 OpenShift Container Platform에 추가해야 할 수도 있습니다.
이 가이드에서는 호스트 계층, 컨테이너 및 오케스트레이션 계층, 빌드 및 애플리케이션 계층의 솔루션을 포함하여 OpenShift Container Platform에서 사용 가능한 컨테이너 보안 조치의 수준 높은 검토 단계를 제공합니다. 그런 다음 보안 조치를 달성하는 데 도움이 되는 특정 OpenShift Container Platform 설명서를 표시합니다.
이 안내서에는 다음 정보가 포함되어 있습니다.
- 컨테이너 보안이 중요한 이유 및 기존 보안 표준과의 비교
- 호스트(RHCOS 및 RHEL) 계층에서 제공하는 컨테이너 보안 조치와 OpenShift Container Platform에서 제공하는 컨테이너 보안 조치
- 컨테이너 콘텐츠 및 취약점의 소스를 평가하는 방법
- 컨테이너 콘텐츠를 사전 예방식으로 확인하기 위해 빌드 및 배포 프로세스를 디자인하는 방법
- 인증 및 권한 부여를 통해 컨테이너에 대한 액세스를 제어하는 방법
- OpenShift Container Platform에서 네트워킹 및 연결된 스토리지를 보호하는 방법
- API 관리 및 SSO에 사용하는 컨테이너화된 솔루션
이 가이드의 목표는 컨테이너화된 워크로드에 OpenShift Container Platform을 사용하여 얻을 수 있는 뛰어난 보안 이점과 Red Hat 에코시스템을 통해 컨테이너를 안전하게 만들고 유지하는 방법을 이해하는 것입니다. 또한 조직의 보안 목표를 달성하기 위해 OpenShift Container Platform에 참여하는 방법을 이해하는 데 도움이 됩니다.
2.1.1. 컨테이너 정의
컨테이너에서는 애플리케이션과 모든 종속 항목을 변경하지 않고 개발에서 테스트 및 프로덕션으로 승격할 수 있는 단일 이미지로 패키징합니다. 컨테이너는 다른 컨테이너와 밀접하게 작동하는 더 큰 애플리케이션의 일부일 수 있습니다.
컨테이너에서는 물리 서버, 가상 머신(VM) 및 프라이빗 또는 퍼블릭 클라우드와 같은 환경 및 여러 배치 대상 사이에 일관성을 제공합니다.
컨테이너를 사용하면 다음과 같은 이점이 있습니다.
| 인프라 | 애플리케이션 |
|---|---|
| 공유 Linux 운영 체제 커널의 샌드박스 애플리케이션 프로세스 | 내 애플리케이션 및 모든 종속 항목 패키징 |
| 가상 머신보다 단순하고 가벼우며 밀도가 높음 | 몇 초 안에 모든 환경에 배포하고 CI/CD 활성화 |
| 다양한 환경에 이식 가능 | 컨테이너화된 구성요소에 쉽게 액세스 및 공유 |
Linux 컨테이너에 관한 자세한 내용은 Red Hat Customer Portal의 Linux 컨테이너 이해를 참조하십시오. RHEL 컨테이너 툴에 관해 알아보려면 RHEL 제품 설명서의 컨테이너 빌드, 실행 및 관리를 참조하십시오.
2.1.2. OpenShift Container Platform의 정의
컨테이너화된 애플리케이션이 배포, 실행 및 관리되는 방식을 자동화하는 것이 OpenShift Container Platform과 같은 플랫폼의 역할입니다. OpenShift Container Platform의 핵심은 쿠버네티스 프로젝트를 사용하여 확장 가능한 데이터 센터의 여러 노드에서 컨테이너를 조정하는 엔진을 제공하는 것입니다.
쿠버네티스는 프로젝트에서 지원 가능성을 보장하지 않는 여러 다른 운영 체제 및 애드온 구성요소를 사용하여 실행할 수 있는 프로젝트입니다. 결과적으로 쿠버네티스 플랫폼마다 보안이 다를 수 있습니다.
OpenShift Container Platform은 쿠버네티스 보안을 잠그고 다양한 확장 구성요소와 플랫폼을 통합하도록 설계되었습니다. 이를 위해 OpenShift Container Platform에서는 운영 체제, 인증, 스토리지, 네트워킹, 개발 툴, 기본 컨테이너 이미지 및 기타 여러 구성요소를 포함하는 광범위한 오픈소스 기술의 Red Hat 에코 시스템을 활용합니다.
OpenShift Container Platform은 플랫폼에서 실행 중인 컨테이너화된 애플리케이션 외에도 플랫폼 자체의 취약점을 발견하고 신속하게 수정 사항을 배포하는 Red Hat의 환경을 활용할 수 있습니다. Red Hat 환경에서는 새로운 구성요소가 사용 가능하게 되면 OpenShift Container Platform과 효율적으로 통합하고 개별 고객 요구 사항에 맞게 기술을 조정하는 범위까지 기능이 확장됩니다.
2.2. 호스트 및 VM 보안 이해
컨테이너와 가상 머신 모두 호스트에서 실행 중인 애플리케이션을 운영 체제 자체에서 분리하는 방법을 제공합니다. OpenShift Container Platform에서 사용하는 운영 체제인 RHCOS를 이해하면 호스트 시스템이 컨테이너와 호스트를 서로 보호하는 방법을 알 수 있습니다.
2.2.1. Red Hat Enterprise Linux CoreOS(RHCOS)에서 컨테이너 보안
컨테이너를 사용하면 동일한 커널 및 컨테이너 런타임을 통해 각 컨테이너를 가동하여 동일한 호스트에서 실행되도록 많은 애플리케이션을 배포하는 작업이 단순화됩니다. 애플리케이션은 많은 사용자가 소유할 수 있으며, 개별적으로 유지되기 때문에 서로 다르거나 호환되지 않는 버전의 애플리케이션도 문제없이 동시에 실행될 수 있습니다.
Linux에서 컨테이너는 특별한 유형의 프로세스이므로 컨테이너 보안은 여러 가지 면에서 기타 실행 중인 프로세스를 보호하는 것과 비슷합니다. 컨테이너를 실행하는 환경은 컨테이너를 서로 보호할 뿐만 아니라 호스트에서 실행 중인 다른 프로세스 및 컨테이너로부터 호스트 커널을 보호할 수 있는 운영 체제로 시작합니다.
OpenShift Container Platform 4.19는 RHCOS 호스트에서 실행되며, 작업자 노드로 Red Hat Enterprise Linux(RHEL)를 사용할 수 있는 옵션이 있으므로 다음 개념은 배포된 모든 OpenShift Container Platform 클러스터에 기본적으로 적용됩니다. 이러한 RHEL 보안 기능은 OpenShift Container Platform에서 컨테이너를 더 안전하게 실행할 수 있게 하는 핵심 요소입니다.
- Linux 네임스페이스를 사용하면 특정 글로벌 시스템 리소스를 추상화하여 네임스페이스에서 처리할 별도의 인스턴스로 표시할 수 있습니다. 따라서 여러 컨테이너가 충돌없이 동일한 컴퓨팅 리소스를 동시에 사용할 수 있습니다. 기본적으로 호스트와 분리된 컨테이너 네임스페이스에는 마운트 테이블, 프로세스 테이블, 네트워크 인터페이스, 사용자, 제어 그룹, UTS 및 IPC 네임스페이스가 있습니다. 호스트 네임스페이스에 직접 액세스해야 하는 컨테이너에는 높은 권한이 있어야 해당 액세스를 요청할 수 있습니다. 네임스페이스 유형에 대한 자세한 내용은 RHEL 9 컨테이너 설명서에서 컨테이너 빌드, 실행 및 관리를 참조하세요.
- SELinux에서는 컨테이너 간에 서로 격리하고 컨테이너를 호스트에서 격리된 상태로 유지하는 추가 보안 계층을 제공합니다. 관리자는 SELinux를 사용하여 모든 사용자, 애플리케이션, 프로세스 및 파일에 MAC(필수 액세스 제어)를 적용할 수 있습니다.
RHCOS에서 SELinux를 비활성화하는 것은 지원되지 않습니다.
- CGroup(제어 그룹)은 프로세스 컬렉션의 리소스 사용량(CPU, 메모리, 디스크 I/O, 네트워크 등)을 제한, 설명 및 격리합니다. CGroup을 사용하면 동일한 호스트의 컨테이너가 서로 영향을 주지 않습니다.
- 보안 컴퓨팅 모드(seccomp) 프로파일은 사용 가능한 시스템 호출을 제한하기 위해 컨테이너와 연관될 수 있습니다. seccomp에 대한 자세한 내용은 Red Hat OpenShift 보안 가이드 의 94페이지를 참조하세요.
- RHCOS를 사용하여 컨테이너를 배포하면 호스트 환경을 최소화하고 컨테이너에 맞게 조정하여 공격 면적을 줄입니다. CRI-O 컨테이너 엔진은 데스크톱 지향 독립 실행형 기능을 구현하는 다른 컨테이너 엔진과 달리 컨테이너를 실행하고 관리하기 위해 쿠버네티스 및 OpenShift Container Platform에 필요한 기능만 구현하여 공격 면적을 더 줄입니다.
RHCOS는 OpenShift Container Platform 클러스터에서 제어 플레인(마스터) 및 작업자 노드로 작동하도록 특별히 구성된 Red Hat Enterprise Linux(RHEL) 버전입니다. 따라서 RHCOS는 쿠버네티스 및 OpenShift Container Platform 서비스와 함께 컨테이너 워크로드를 효율적으로 실행하도록 조정됩니다.
OpenShift Container Platform 클러스터에서 RHCOS 시스템을 추가로 보호하려면 호스트 시스템 자체를 관리하거나 모니터링하는 컨테이너를 제외한 대부분의 컨테이너는 루트가 아닌 사용자로 실행해야 합니다. 고유한 OpenShift Container Platform 클러스터를 보호하는 데 권장되는 모범 사례는 권한 수준을 낮추거나 가능한 최소 권한으로 컨테이너를 생성하는 것입니다.
2.2.2. 가상화 및 컨테이너 비교
기존 가상화에서는 동일한 물리적 호스트에서 애플리케이션 환경을 분리한 상태로 유지할 수 있는 또 다른 방법을 제공합니다. 그러나 가상 머신은 컨테이너와 다른 방식으로 작동합니다. 가상화는 게스트 가상 머신(VM)을 가동시키는 하이퍼바이저를 사용하며, 각 가상 머신에는 실행 중인 커널로 표시되는 자체 운영 체제(OS)와 실행 중인 애플리케이션 및 해당 종속 항목이 있습니다.
VM을 사용하면 하이퍼바이저에서 게스트 간에 서로 분리하고 호스트 커널에서 게스트를 분리합니다. 하이퍼바이저에 액세스하는 개인과 프로세스 수가 적어지므로 물리 서버의 공격 면적을 줄입니다. 보안은 여전히 모니터링해야 하지만, 하나의 게스트 VM은 하이퍼바이저 버그를 사용하여 다른 VM 또는 호스트 커널에 액세스할 수 있습니다. 또한 OS에 패치가 필요한 경우 해당 OS를 사용하는 모든 게스트 VM에서 패치를 적용해야 합니다.
컨테이너는 게스트 VM 내부에서 실행될 수 있으며 이와 같은 조치 바람직한 경우가 있을 수 있습니다. 예를 들어, 애플리케이션을 클라우드로 수정 없이 그대로 리프트 앤 시프트(lift-and-shift) 방식으로 배포하고 이동하기 위해 컨테이너에 기존 애플리케이션을 배포할 수 있습니다.
그러나 단일 호스트에서 컨테이너를 분리하면 더 가볍고 유연하며 쉽게 확장되는 배포 솔루션이 제공됩니다. 이 배포 모델은 특히 클라우드 네이티브 애플리케이션에 적합합니다. 컨테이너는 일반적으로 VM보다 훨씬 작으며 메모리와 CPU 사용량이 적습니다.
컨테이너와 VM의 차이점에 관해 알아보려면 RHEL 7 컨테이너 설명서의 Linux 컨테이너와 KVM 가상화 비교를 참조하십시오.
2.2.3. OpenShift Container Platform 보호
OpenShift Container Platform을 배포할 때 설치 프로그램 프로비저닝 인프라(사용 가능한 플랫폼이 여러 개) 또는 사용자가 프로비저닝한 자체 인프라 중에서 선택할 수 있습니다. FIPS 모드 활성화나 첫 번째 부팅 시 필요한 커널 모듈 추가 등 일부 저수준 보안 관련 구성은 사용자 제공 인프라를 통해 이점을 얻을 수 있습니다. 마찬가지로 사용자 프로비저닝 인프라는 연결 해제된 OpenShift Container Platform 배포에 적합합니다.
OpenShift Container Platform의 보안 향상 및 기타 구성 변경과 관련된 목표는 다음과 같습니다.
- 기본 노드를 최대한 일반적으로 유지합니다. 비슷한 노드를 신속하고 규범에 맞는 방식으로 쉽게 제거하고 구동할 수 있어야 합니다.
- 노드를 일회성으로 직접 변경하지 말고 최대한 OpenShift Container Platform에서 노드 수정을 관리합니다.
이러한 목표를 달성하기 위해 대부분의 노드 변경은 설치 중 Ignition을 사용하거나 나중에 Machine Config Operator가 노드 세트에 적용하는 MachineConfig를 사용하여 수행해야 합니다. 이러한 방식으로 수행할 수 있는 보안 관련 구성 변경의 예는 다음과 같습니다.
- 커널 인수 추가
- 커널 모듈 추가
- FIPS 암호화 지원 활성화
- 디스크 암호화 구성
- chrony 타임 서비스 구성
Machine Config Operator 외에도 CVO(Cluster Version Operator)에서 관리하며 OpenShift Container Platform 인프라를 구성하는 데 사용할 수 있는 Operator는 여러 가지가 있습니다. CVO를 사용하면 OpenShift Container Platform 클러스터 업데이트의 여러 요소를 자동화할 수 있습니다.
2.3. RHCOS 강화
RHCOS는 RHCOS 노드에 필요한 변경이 거의 없이 OpenShift Container Platform에 배포되도록 생성되고 조정되었습니다. OpenShift Container Platform을 채택한 모든 조직에는 시스템 강화를 위한 고유 요구 사항이 있습니다. OpenShift 고유 수정 사항 및 기능(예: 제한된 불변성을 제공하는 Ignition, ostree 및 읽기 전용 /usr 등)이 추가된 RHEL 시스템으로 RHCOS는 다른 RHEL 시스템과 마찬가지로 강화될 수 있습니다. 차이점은 강화 관리 방법에 있습니다.
OpenShift Container Platform과 쿠버네티스 엔진의 주요 기능은 필요에 따라 애플리케이션과 인프라를 빠르게 확장하고 축소할 수 있다는 것입니다. 불가피한 경우가 아니라면 호스트에 로그인하고 소프트웨어를 추가하거나 설정을 변경하여 RHCOS를 직접 변경하지 않게 합니다. OpenShift Container Platform 설치 프로그램 및 컨트롤 플레인에서 RHCOS의 변경 사항을 관리하여 수동 조작없이 새 노드를 구동할 수 있습니다.
따라서 보안 요구 사항을 충족하기 위해 OpenShift Container Platform에서 RHCOS 노드를 강화하려는 경우 강화할 대상과 강화를 수행하는 방법을 모두 고려해야 합니다.
2.3.1. RHCOS에서 강화할 대상 선택
RHEL 시스템의 보안에 접근하는 방법에 대한 자세한 내용은 RHEL 9 보안 강화 가이드를 참조하세요.
이 가이드를 사용하여 암호화에 접근하고 취약점을 평가하며 다양한 서비스에 대한 위협을 평가하는 방법을 알아봅니다. 마찬가지로 컴플라이언스 표준을 스캔하고, 파일 무결성을 확인하며, 감사를 수행하고, 스토리지 장치를 암호화하는 방법을 배울 수 있습니다.
강화하려는 기능에 관한 지식을 통해 RHCOS에서 강화할 방법을 결정할 수 있습니다.
2.3.2. RHCOS 강화 방법 선택
OpenShift Container Platform에서 RHCOS 시스템을 직접 수정하지 않는 것이 좋습니다. 대신 작업자 노드 및 컨트롤 플레인 노드와 같은 노드 풀의 시스템 수정을 고려해야 합니다. 베어 메탈이 아닌 설치에서 새 노드가 필요한 경우 원하는 유형의 새 노드를 요청할 수 있으며 RHCOS 이미지와 이전에 수정한 사항으로 노드를 생성합니다.
설치 전, 설치 중 및 클러스터가 가동되어 실행된 후에 RHCOS를 수정할 기회가 있습니다.
2.3.2.1. 설치 전 강화
베어 메탈 설치의 경우 OpenShift Container Platform 설치를 시작하기 전에 RHCOS에 강화 기능을 추가할 수 있습니다. 예를 들어, RHCOS 설치 프로그램을 부팅할 때 커널 옵션을 추가하여 다양한 SELinux 부울이나 대칭 멀티스레딩과 같은 저수준 설정과 같은 보안 기능을 켜거나 끌 수 있습니다.
RHCOS 노드에서 SELinux를 비활성화하는 것은 지원되지 않습니다.
베어 메탈 RHCOS 설치는 더 어렵지만 OpenShift Container Platform 설치를 시작하기 전에 운영 체제를 변경할 수 있는 기회를 제공합니다. 디스크 암호화 또는 특수 네트워킹 설정과 같은 특정 기능을 가능한 빨리 설정해야 할 때 중요할 수 있습니다.
2.3.2.2. 설치 중 강화
OpenShift Container Platform 설치 프로세스를 중단하고 Ignition 구성을 변경할 수 있습니다. Ignition 구성을 통해 자체 파일 및 systemd 서비스를 RHCOS 노드에 추가할 수 있습니다. 또한 설치에 사용되는 install-config.yaml 파일에서 기본 보안 관련 사항을 변경할 수 있습니다. 이 방식으로 추가된 콘텐츠는 각 노드의 첫 부팅 시 사용할 수 있습니다.
2.3.2.3. 클러스터가 실행된 후 강화
OpenShift Container Platform 클러스터가 가동되어 실행된 후 RHCOS에 강화 기능을 적용하는 방법은 몇 가지가 있습니다.
-
데몬 세트: 모든 노드에서 서비스를 실행해야 하는 경우 Kubernetes
DaemonSet오브젝트로 해당 서비스를 추가할 수 있습니다. -
머신 구성:
MachineConfig오브젝트에는 동일한 형식의 Ignition 구성 서브 세트가 있습니다. 머신 구성을 모든 작업자 또는 컨트롤 플레인 노드에 적용하면 클러스터에 추가된 동일한 유형의 다음 노드에 동일한 변경 사항이 적용될 수 있습니다.
여기에 언급된 모든 기능은 OpenShift Container Platform 제품 설명서에 설명되어 있습니다.
2.4. 컨테이너 이미지 서명
Red Hat은 Red Hat Container Registries에 있는 이미지에 대한 서명을 제공합니다. 이러한 서명은 MCO(Machine Config Operator)를 사용하여 OpenShift Container Platform 4 클러스터로 가져올 때 자동으로 확인할 수 있습니다.
Quay.io는 OpenShift Container Platform을 구성하는 대부분의 이미지를 제공하며 릴리스 이미지만 서명됩니다. 릴리스 이미지는 승인된 OpenShift Container Platform 이미지를 참조하여 공급 체인 공격에 대한 보안 수준을 제공합니다. 그러나 로깅, 모니터링 및 서비스 메시와 같은 OpenShift Container Platform에 대한 일부 확장 기능은 OLM(Operator Lifecycle Manager)에서 Operator로 제공됩니다. 이러한 이미지는 Red Hat Ecosystem Catalog 컨테이너 이미지 레지스트리에서 제공됩니다.
Red Hat 레지스트리와 인프라 간의 이미지의 무결성을 확인하려면 서명 확인을 활성화하십시오.
2.4.1. Red Hat Container Registries에 대한 서명 확인 활성화
Red Hat Container Registries에 대한 컨테이너 서명 검증을 활성화하려면 이러한 레지스트리의 이미지를 확인하는 키를 지정하는 서명 확인 정책 파일을 작성해야 합니다. RHEL8 노드의 경우 레지스트리는 기본적으로 /etc/containers/registries.d 에 정의되어 있습니다.
프로세스
작업자 노드에 필요한 구성이 포함된 Butane 구성 파일
51-worker-rh-registry-trust.bu를 만듭니다.참고구성 파일에서 지정하는 Butane 버전은 OpenShift Container Platform 버전과 일치해야 하며 항상
0으로 끝나야 합니다. 예를 들어,4.19.0입니다. Butane에 대한 자세한 내용은 “Butane 을 사용하여 머신 구성 생성”을 참조하십시오.Copy to Clipboard Copied! Toggle word wrap Toggle overflow Butane을 사용하여 작업자 노드의 디스크에 작성할 파일이 포함된 머신 구성 YAML 파일
51-worker-rh-registry-trust.yaml을 생성합니다.butane 51-worker-rh-registry-trust.bu -o 51-worker-rh-registry-trust.yaml
$ butane 51-worker-rh-registry-trust.bu -o 51-worker-rh-registry-trust.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 생성된 머신 구성을 적용합니다.
oc apply -f 51-worker-rh-registry-trust.yaml
$ oc apply -f 51-worker-rh-registry-trust.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 작업자 머신 구성 풀이 새 머신 구성으로 롤아웃되었는지 확인하세요.
새로운 머신 구성이 생성되었는지 확인하세요.
oc get mc
$ oc get mcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 샘플 출력
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 작업자 머신 구성 풀이 새 머신 구성으로 업데이트되는지 확인하세요.
oc get mcp
$ oc get mcpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 샘플 출력
NAME CONFIG UPDATED UPDATING DEGRADED MACHINECOUNT READYMACHINECOUNT UPDATEDMACHINECOUNT DEGRADEDMACHINECOUNT AGE master rendered-master-af1e7ff78da0a9c851bab4be2777773b True False False 3 3 3 0 30m worker rendered-worker-be3b3bce4f4aa52a62902304bac9da3c False True False 3 0 0 0 30m
NAME CONFIG UPDATED UPDATING DEGRADED MACHINECOUNT READYMACHINECOUNT UPDATEDMACHINECOUNT DEGRADEDMACHINECOUNT AGE master rendered-master-af1e7ff78da0a9c851bab4be2777773b True False False 3 3 3 0 30m worker rendered-worker-be3b3bce4f4aa52a62902304bac9da3c False True False 3 0 0 0 30m1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
UPDATING필드가True인 경우, 머신 구성 풀이 새로운 머신 구성으로 업데이트됩니다. 필드가False가되면 작업자 머신 구성 풀이 새 머신 구성으로 롤아웃됩니다.
클러스터에서 RHEL7 워커 노드를 사용하는 경우 워커 머신 구성 풀이 업데이트되면
/etc/containers/registries.d디렉토리에 있는 해당 노드의 YAML 파일을 생성합니다. 이 파일은 지정된 레지스트리 서버에 대한 분리된 서명의 위치를 지정합니다. 다음 예제는registry.access.redhat.com및registry.redhat.io에 호스팅된 이미지에만 적용됩니다.각 RHEL7 작업자 노드에 대한 디버그 세션을 시작합니다.
oc debug node/<node_name>
$ oc debug node/<node_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 루트 디렉토리를
/host로 변경합니다.chroot /host
sh-4.2# chroot /hostCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 내용을 포함하는
/etc/containers/registries.d/registry.redhat.io.yaml파일을 만듭니다.docker: registry.redhat.io: sigstore: https://registry.redhat.io/containers/sigstoredocker: registry.redhat.io: sigstore: https://registry.redhat.io/containers/sigstoreCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 내용을 포함하는
/etc/containers/registries.d/registry.access.redhat.com.yaml파일을 만듭니다.docker: registry.access.redhat.com: sigstore: https://access.redhat.com/webassets/docker/content/sigstoredocker: registry.access.redhat.com: sigstore: https://access.redhat.com/webassets/docker/content/sigstoreCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 디버그 세션을 종료합니다.
2.4.2. 서명 확인 구성 확인
머신 구성을 클러스터에 적용한 후 머신 구성 컨트롤러에서 새 MachineConfig 오브젝트를 감지하고 새로운 rendered-worker-<hash> 버전을 생성합니다.
사전 요구 사항
- 머신 구성 파일을 사용하여 서명 확인 활성화로 설정해야 합니다.
프로세스
명령줄에서 다음 명령을 실행하여 원하는 작업자에 대한 정보를 표시합니다.
oc describe machineconfigpool/worker
$ oc describe machineconfigpool/workerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 초기 작업자 모니터링의 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc describe명령을 다시 실행합니다.oc describe machineconfigpool/worker
$ oc describe machineconfigpool/workerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 작업자가 업데이트된 후 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고Observed Generation매개변수는 컨트롤러에서 생성된 구성의 생성에 따라 증가된 개수를 보여줍니다. 이 컨트롤러는 사양을 처리하고 수정본을 생성하지 못하더라도 이 값을 업데이트합니다.Configuration Source값은51-worker-rh-registry-trust구성을 나타냅니다.다음 명령을 사용하여
policy.json파일이 있는지 확인합니다.oc debug node/<node> -- chroot /host cat /etc/containers/policy.json
$ oc debug node/<node> -- chroot /host cat /etc/containers/policy.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 사용하여
registry.redhat.io.yaml파일이 있는지 확인합니다.oc debug node/<node> -- chroot /host cat /etc/containers/registries.d/registry.redhat.io.yaml
$ oc debug node/<node> -- chroot /host cat /etc/containers/registries.d/registry.redhat.io.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Starting pod/<node>-debug ... To use host binaries, run `chroot /host` docker: registry.redhat.io: sigstore: https://registry.redhat.io/containers/sigstoreStarting pod/<node>-debug ... To use host binaries, run `chroot /host` docker: registry.redhat.io: sigstore: https://registry.redhat.io/containers/sigstoreCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 사용하여
registry.access.redhat.yaml파일이 있는지 확인합니다.oc debug node/<node> -- chroot /host cat /etc/containers/registries.d/registry.access.redhat.com.yaml
$ oc debug node/<node> -- chroot /host cat /etc/containers/registries.d/registry.access.redhat.com.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Starting pod/<node>-debug ... To use host binaries, run `chroot /host` docker: registry.access.redhat.com: sigstore: https://access.redhat.com/webassets/docker/content/sigstoreStarting pod/<node>-debug ... To use host binaries, run `chroot /host` docker: registry.access.redhat.com: sigstore: https://access.redhat.com/webassets/docker/content/sigstoreCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.4.3. 검증 가능한 서명이 없는 컨테이너 이미지의 검증 이해
각 OpenShift Container Platform 릴리스 이미지는 변경 불가능하며 Red Hat 프로덕션 키로 서명됩니다. OpenShift Container Platform 업데이트 또는 설치 중에 릴리스 이미지는 검증 가능한 서명이 없는 컨테이너 이미지를 배포할 수 있습니다. 서명된 각 릴리스 이미지 다이제스트는 변경할 수 없습니다. 릴리스 이미지의 각 참조는 다른 이미지의 변경 불가능한 다이제스트를 참조하므로 내용을 전이적으로 신뢰할 수 있습니다. 즉, 릴리스 이미지의 서명은 모든 릴리스 내용을 검증합니다.
예를 들어, 검증 가능한 서명이 없는 이미지 참조는 서명된 OpenShift Container Platform 릴리스 이미지에 포함되어 있습니다.
릴리스 정보 출력 예시
oc adm release info quay.io/openshift-release-dev/ocp-release@sha256:2309578b68c5666dad62aed696f1f9d778ae1a089ee461060ba7b9514b7ca417 -o pullspec
$ oc adm release info quay.io/openshift-release-dev/ocp-release@sha256:2309578b68c5666dad62aed696f1f9d778ae1a089ee461060ba7b9514b7ca417 -o pullspec
quay.io/openshift-release-dev/ocp-v4.0-art-dev@sha256:9aafb914d5d7d0dec4edd800d02f811d7383a7d49e500af548eab5d00c1bffdb 2.4.3.1. 업데이트 중 자동 검증
서명 확인은 자동으로 이루어집니다. OpenShift 클러스터 버전 운영자(CVO)는 OpenShift 컨테이너 플랫폼 업데이트 중에 릴리스 이미지의 서명을 확인합니다. 이는 내부적인 프로세스입니다. 자동 검증에 실패하면 OpenShift Container Platform 설치 또는 업데이트가 실패합니다.
Skopeo 명령줄 유틸리티를 사용하여 수동으로 서명을 검증할 수도 있습니다.
2.4.3.2. Skopeo를 사용하여 Red Hat 컨테이너 이미지의 서명 확인
OCP 릴리스 미러 사이트 에서 해당 서명을 가져와서 OpenShift Container Platform 릴리스 이미지에 포함된 컨테이너 이미지의 서명을 확인할 수 있습니다. 미러 사이트의 서명은 Podman이나 CRI-O에서 쉽게 이해할 수 있는 형식이 아니므로 skopeo standalone-verify 명령을 사용하여 릴리스 이미지가 Red Hat에서 서명되었는지 확인할 수 있습니다.
사전 요구 사항
-
Skopeo명령줄 유틸리티를 설치했습니다.
프로세스
다음 명령을 실행하여 릴리스에 대한 전체 SHA를 얻으세요.
oc adm release info <release_version> \
$ oc adm release info <release_version> \1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- <release_version>을 릴리스 번호로 바꾸세요(예:
4.14.3).
출력 스니펫 예
--- Pull From: quay.io/openshift-release-dev/ocp-release@sha256:e73ab4b33a9c3ff00c9f800a38d69853ca0c4dfa5a88e3df331f66df8f18ec55 ---
--- Pull From: quay.io/openshift-release-dev/ocp-release@sha256:e73ab4b33a9c3ff00c9f800a38d69853ca0c4dfa5a88e3df331f66df8f18ec55 ---Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Red Hat 릴리스 키를 다운로드하세요.
curl -o pub.key https://access.redhat.com/security/data/fd431d51.txt
$ curl -o pub.key https://access.redhat.com/security/data/fd431d51.txtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 검증하려는 특정 릴리스에 대한 서명 파일을 가져옵니다.
curl -o signature-1 https://mirror.openshift.com/pub/openshift-v4/signatures/openshift-release-dev/ocp-release/sha256=<sha_from_version>/signature-1 \
$ curl -o signature-1 https://mirror.openshift.com/pub/openshift-v4/signatures/openshift-release-dev/ocp-release/sha256=<sha_from_version>/signature-1 \1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<sha_from_version>을릴리스의 SHA와 일치하는 미러 사이트의 전체 링크의 SHA 값으로 바꾸세요. 예를 들어, 4.12.23 릴리스의 서명에 대한 링크는https://mirror.openshift.com/pub/openshift-v4/signatures/openshift-release-dev/ocp-release/sha256=e73ab4b33a9c3ff00c9f800a38d69853ca0c4dfa5a88e3df331f66df8f18ec55/signature-1이고, SHA 값은e73ab4b33a9c3ff00c9f800a38d69853ca0c4dfa5a88e3df331f66df8f18ec55입니다.
다음 명령을 실행하여 릴리스 이미지에 대한 매니페스트를 가져옵니다.
skopeo inspect --raw docker://<quay_link_to_release> > manifest.json \
$ skopeo inspect --raw docker://<quay_link_to_release> > manifest.json \1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<quay_link_to_release>를oc adm release info명령의 출력으로 바꾸세요. 예를 들어,quay.io/openshift-release-dev/ocp-release@sha256:e73ab4b33a9c3ff00c9f800a38d69853ca0c4dfa5a88e3df331f66df8f18ec55.
Skopeo를 사용하여 서명을 확인하세요.
skopeo standalone-verify manifest.json quay.io/openshift-release-dev/ocp-release:<release_number>-<arch> any signature-1 --public-key-file pub.key
$ skopeo standalone-verify manifest.json quay.io/openshift-release-dev/ocp-release:<release_number>-<arch> any signature-1 --public-key-file pub.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음과 같습니다.
<release_number>-
릴리스 번호를 지정합니다(예:
4.14.3). <arch>예를 들어
x86_64와 같이 아키텍처를 지정합니다.출력 예
Signature verified using fingerprint 567E347AD0044ADE55BA8A5F199E2F91FD431D51, digest sha256:e73ab4b33a9c3ff00c9f800a38d69853ca0c4dfa5a88e3df331f66df8f18ec55
Signature verified using fingerprint 567E347AD0044ADE55BA8A5F199E2F91FD431D51, digest sha256:e73ab4b33a9c3ff00c9f800a38d69853ca0c4dfa5a88e3df331f66df8f18ec55Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.5. 컴플라이언스 이해
많은 OpenShift Container Platform 고객은 시스템을 프로덕션 환경에 도입하기 전에 일정 수준의 규제 준비 또는 컴플라이언스를 갖춰야 합니다. 이러한 규정 준비는 국가 표준, 산업 표준 또는 조직의 기업 거버넌스 프레임워크에 따라 규정될 수 있습니다.
2.5.1. 컴플라이언스 및 위험 관리 이해
FIPS 컴플라이언스는 보안 수준이 높은 환경에서 요구되는 가장 중요한 구성요소 중 하나로, 지원되는 암호화 기술만 노드에서 허용합니다.
클러스터에 대해 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 Red Hat Enterprise Linux(RHEL) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환을 참조하세요.
FIPS 모드로 부팅된 Red Hat Enterprise Linux(RHEL) 또는 Red Hat Enterprise Linux CoreOS(RHCOS)를 실행할 때 OpenShift Container Platform 핵심 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 검증을 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
OpenShift Container Platform 컴플라이언스 프레임워크에 대한 Red Hat의 관점을 이해하려면 OpenShift 보안 가이드의 위험 관리 및 규제 준비 장을 참조하십시오.
2.6. 컨테이너 콘텐츠 보안
컨테이너 내부 콘텐츠의 보안을 유지하려면 Red Hat Universal Base Image와 같은 신뢰할 수 있는 기본 이미지로 시작하고 신뢰할 수 있는 소프트웨어를 추가해야 합니다. 컨테이너 이미지의 지속적인 보안을 확인하기 위해 이미지를 스캔하는 Red Hat 도구와 타사 도구가 있습니다.
2.6.1. 컨테이너 내부 보안
애플리케이션 및 인프라는 쉽게 사용할 수 있는 구성요소로 구성되며, 대부분은 Linux 운영 체제, JBoss Web Server, PostgreSQL 및 Node.js와 같은 오픈소스 패키지입니다.
이러한 패키지의 컨테이너화된 버전도 제공됩니다. 그러나 패키지의 원래 위치, 사용된 버전, 빌드한 사람 및 악성 코드가 있는지 여부를 알아야 합니다.
답변해야 할 몇 가지 질문은 다음과 같습니다.
- 컨테이너 내부의 구성요소 때문에 인프라가 손상됩니까?
- 애플리케이션 계층에 알려진 취약점이 있습니까?
- 런타임 및 운영 체제 계층이 최신입니까?
Red Hat UBI(Universal Base Images)의 컨테이너를 빌드하여 컨테이너 이미지의 기초가 Red Hat Enterprise Linux에 포함된 동일한 RPM 패키지 소프트웨어로 구성되게 합니다. UBI 이미지를 사용하거나 재배포하는 데 서브스크립션이 필요하지 않습니다.
컨테이너 자체의 지속적인 보안을 보장하기 위해 RHEL에서 직접 사용되거나 OpenShift Container Platform에 추가된 보안 스캔 기능을 통해 사용 중인 이미지에 취약점이 있을 때 경고할 수 있습니다. OpenSCAP 이미지 스캐닝은 RHEL에서 사용할 수 있으며 Red Hat Quay Container Security Operator를 추가하여 OpenShift Container Platform에서 사용되는 컨테이너 이미지를 확인할 수 있습니다.
2.6.2. UBI를 사용하여 재배포 가능한 이미지 생성
컨테이너화된 애플리케이션을 생성하려면 일반적으로 운영 체제에서 제공하는 구성요소를 제공하는 신뢰할 수 있는 기본 이미지로 시작합니다. 여기에는 라이브러리, 유틸리티 및 운영 체제의 파일 시스템에서 애플리케이션에 표시될 것으로 예상되는 기타 기능이 포함됩니다.
Red Hat Universal Base Images(UBI)는 Red Hat Enterprise Linux rpm 패키지와 기타 콘텐츠로만 구성된 컨테이너로 컨테이너를 빌드하는 모든 사람을 격려하기 위해 만들어졌습니다. 이 UBI 이미지는 보안 패치로 최신 상태를 유지하고 고유 소프트웨어를 포함하도록 빌드된 컨테이너 이미지를 자유롭게 사용하고 재배포하도록 정기적으로 업데이트됩니다.
다른 UBI 이미지의 상태를 찾고 확인하려면 Red Hat Ecosystem Catalog를 검색하십시오. 보안 컨테이너 이미지의 생성자는 다음과 같은 일반적인 두 가지 유형의 UBI 이미지에 관심이 있을 수 있습니다.
UBI: RHEL 7, 8 및 9의 표준 UBI 이미지(
ubi7/ubi,ubi8/ubi및ubi9/ubi)와 해당 시스템 기반 최소 이미지(ubi7/ubi-minimal,ubi8/ubi-mimimal, ubi9/ubi-imimal , ubi9/ubi-minimal )가 있습니다. 이러한 이미지는 모두 표준yum및dnf명령을 사용하여 빌드한 컨테이너 이미지에 추가할 수 있는 RHEL 소프트웨어의 무료 리포지토리를 가리키도록 미리 구성되어 있습니다.참고Red Hat에서는 Fedora, Ubuntu 등 다른 배포판에서 이러한 이미지를 사용하도록 권장합니다.
-
Red Hat 소프트웨어 컬렉션 : Red Hat 에코시스템 카탈로그에서
rhscl/을검색하여 특정 유형의 애플리케이션을 위한 기본 이미지로 사용하도록 만들어진 이미지를 찾으세요. 예를 들어, Apache httpd(rhscl/httpd-*), Python(rhscl/python-*), Ruby(rhscl/ruby-*), Node.js(rhscl/nodejs-*) 및 Perl(rhscl/perl-*) rhscl 이미지가 있습니다.
UBI 이미지는 무료로 제공되고 재배포 가능하지만, Red Hat에서 이러한 이미지를 지원하는 것은 Red Hat 제품 구독을 통해서만 가능합니다.
표준, 최소 및 init UBI 이미지를 사용하고 이를 기반으로 빌드하는 방법에 대한 자세한 내용은 Red Hat Enterprise Linux 설명서의 Red Hat Universal Base Images 사용을 참조하세요.
2.6.3. RHEL의 보안 스캔
Red Hat Enterprise Linux(RHEL) 시스템의 경우 openscap-utils 패키지에서 OpenSCAP 스캐닝을 사용할 수 있습니다. RHEL에서 openscap-podman 명령을 사용하여 이미지의 취약점을 스캔할 수 있습니다. Red Hat Enterprise Linux 설명서에서 컨테이너 및 컨테이너 이미지에서 취약점 스캔을 참조하십시오.
OpenShift Container Platform을 사용하면 CI/CD 프로세스에서 RHEL 스캐너를 활용할 수 있습니다. 예를 들어 소스 코드의 보안 결함을 테스트하는 정적 코드 분석 툴과 오픈소스 라이브러리에서 알려진 취약점과 같은 메타데이터를 제공하기 위해 해당 라이브러리르 식별하는 소프트웨어 구성 분석 툴을 통합할 수 있습니다.
2.6.3.1. OpenShift 이미지 스캔
OpenShift Container Platform에서 실행 중이고 Red Hat Quay 레지스트리에서 가져온 컨테이너 이미지의 경우, Operator를 사용하여 해당 이미지의 취약점을 나열할 수 있습니다. Red Hat Quay Container Security Operator를 OpenShift Container Platform에 추가하면 선택한 네임스페이스에 추가된 이미지에 대한 취약성 보고를 제공할 수 있습니다.
Red Hat Quay에 대한 컨테이너 이미지 스캐닝은 Clair 에 의해 수행됩니다. Clair는 Red Hat Quay에서 RHEL, CentOS, Oracle, Alpine, Debian, Ubuntu 운영 체제 소프트웨어로 구축된 이미지의 취약점을 검색하여 보고할 수 있습니다.
2.6.4. 외부 스캔 통합
OpenShift Container Platform은 오브젝트 주석을 사용하여 기능을 확장합니다. 취약점 스캐너와 같은 외부 툴에서는 메타데이터로 이미지 오브젝트에 주석을 달아 결과를 요약하고 Pod 실행을 제어할 수 있습니다. 이 섹션에서는 이 주석의 인식된 형식을 설명하므로 유용한 데이터를 사용자에게 표시하기 위해 콘솔에서 안정적으로 사용할 수 있습니다.
2.6.4.1. 이미지 메타데이터
패키지 취약점 및 오픈소스 소프트웨어(OSS) 라이센스 컴플라이언스를 포함하여 다양한 유형의 이미지 품질 데이터가 있습니다. 또한 이 메타데이터를 제공하는 공급자가 둘 이상일 수 있습니다. 이를 위해 다음 주석 형식이 예약되어 있습니다.
quality.images.openshift.io/<qualityType>.<providerId>: {}
quality.images.openshift.io/<qualityType>.<providerId>: {}| 구성요소 | 설명 | 허용 가능한 값 |
|---|---|---|
|
| 메타데이터 유형 |
|
|
| 공급자 ID 문자열 |
|
2.6.4.1.1. 주석 키 예
quality.images.openshift.io/vulnerability.blackduck: {}
quality.images.openshift.io/vulnerability.jfrog: {}
quality.images.openshift.io/license.blackduck: {}
quality.images.openshift.io/vulnerability.openscap: {}
quality.images.openshift.io/vulnerability.blackduck: {}
quality.images.openshift.io/vulnerability.jfrog: {}
quality.images.openshift.io/license.blackduck: {}
quality.images.openshift.io/vulnerability.openscap: {}이미지 품질 주석의 값은 다음 형식을 준수해야 하는 구조화된 데이터입니다.
| 필드 | 필수 여부 | 설명 | 유형 |
|---|---|---|---|
|
| 예 | 공급자 표시 이름 | 문자열 |
|
| 예 | 스캔 타임스탬프 | 문자열 |
|
| 아니요 | 짧은 설명 | 문자열 |
|
| 예 | 정보 소스 또는 자세한 내용의 URL. 사용자가 데이터를 검증하려면 필수 | 문자열 |
|
| 아니요 | 스캐너 버전 | 문자열 |
|
| 아니요 | 컴플라이언스 합격 또는 불합격 | 부울 |
|
| 아니요 | 발견된 문제 요약 | 목록(아래 표 참조) |
summary 필드는 다음 형식을 준수해야 합니다.
| 필드 | 설명 | 유형 |
|---|---|---|
|
| 구성요소의 표시 레이블(예: "심각", "중요", "중간", "낮음" 또는 "상태") | 문자열 |
|
| 이 구성요소의 데이터(예: 발견된 취약점 수 또는 점수) | 문자열 |
|
|
그래픽 표시의 순서를 지정하고 할당할 수 있는 구성요소 색인입니다. 값은 | 정수 |
|
| 정보 소스 또는 자세한 내용의 URL. 선택 사항입니다. | 문자열 |
2.6.4.1.2. 주석 값 예
이 예에서는 취약성 요약 데이터 및 컴플라이언스 부울이 있는 이미지의 OpenSCAP 주석을 표시합니다.
OpenSCAP 주석
이 예에서는 추가 세부 사항의 외부 URL이 있는 상태 인덱스 데이터가 있는 이미지의 Red Hat Ecosystem Catalog의 컨테이너 이미지 섹션 주석을 표시합니다.
Red Hat Ecosystem Catalog 주석
2.6.4.2. 이미지 오브젝트에 주석 달기
이미지 스트림 오브젝트는 OpenShift Container Platform의 최종 사용자가 작동하는 대상인 반면, 이미지 오브젝트는 보안 메타데이터로 주석을 답니다. 이미지 오브젝트는 클러스터 범위에 있으며, 여러 이미지 스트림 및 태그에서 참조할 수 있는 단일 이미지를 가리킵니다.
2.6.4.2.1. 주석 CLI 명령 예
<image>를 이미지 다이제스트로 교체합니다(예: sha256:401e359e0f45bfdcf004e258b72e253fd07fba8cc5c6f2ed4f4608fb119ecc2).
2.6.4.3. Pod 실행 제어
images.openshift.io/deny-execution 이미지 정책을 사용하여 이미지 실행 가능 여부를 프로그래밍 방식으로 제어합니다.
2.6.4.3.1. 주석 예
annotations: images.openshift.io/deny-execution: true
annotations:
images.openshift.io/deny-execution: true2.6.4.4. 통합 참조
대부분의 경우, 취약성 스캐너와 같은 외부 도구는 이미지 업데이트를 감시하고, 스캐닝을 수행하고, 결과를 연관된 이미지 객체에 주석으로 첨부하는 스크립트나 플러그인을 개발합니다. 일반적으로 이 자동화는 OpenShift Container Platform 4.19 REST API를 호출하여 주석을 작성합니다. REST API에 관한 일반 정보는 OpenShift Container Platform REST API를 참조하십시오.
2.6.4.4.1. REST API 호출 예
curl을 사용하는 다음 예제 호출은 주석의 값을 덮어씁니다. <token>, <openshift_server>, <image_id> 및 <image_annotation>의 값을 교체하십시오.
API 호출 패치
curl -X PATCH \
-H "Authorization: Bearer <token>" \
-H "Content-Type: application/merge-patch+json" \
https://<openshift_server>:6443/apis/image.openshift.io/v1/images/<image_id> \
--data '{ <image_annotation> }'
$ curl -X PATCH \
-H "Authorization: Bearer <token>" \
-H "Content-Type: application/merge-patch+json" \
https://<openshift_server>:6443/apis/image.openshift.io/v1/images/<image_id> \
--data '{ <image_annotation> }'
다음은 PATCH 페이로드 데이터의 예입니다.
호출 데이터 패치
2.7. 안전하게 컨테이너 레지스트리 사용
컨테이너 레지스트리는 컨테이너 이미지를 다음에 저장합니다.
- 다른 사용자가 이미지에 액세스하도록 허용
- 이미지를 여러 버전의 이미지를 포함할 수 있는 리포지토리로 구성
- 선택적으로 다른 인증 방법을 기반으로 이미지에 대한 액세스를 제한하거나 공개적으로 사용 가능하게 합니다.
많은 사람과 조직이 이미지를 공유하는 Quay.io 및 Docker Hub와 같은 공용 컨테이너 레지스트리가 있습니다. Red Hat Registry에서는 지원되는 Red Hat 및 파트너 이미지를 제공하는 반면, Red Hat Ecosystem Catalog에서는 해당 이미지에 관한 자세한 설명 및 상태 점검을 제공합니다. 자체 레지스트리를 관리하려면 Red Hat Quay 와 같은 컨테이너 레지스트리를 구매할 수 있습니다.
보안 관점에서 일부 레지스트리는 컨테이너의 상태를 확인하고 향상시키는 특수 기능을 제공합니다. 예를 들어, Red Hat Quay는 Clair 보안 스캐너를 통한 컨테이너 취약성 스캐닝, GitHub 및 기타 위치에서 소스 코드가 변경되면 이미지를 자동으로 다시 빌드하는 빌드 트리거, 역할 기반 액세스 제어(RBAC)를 사용하여 이미지에 대한 액세스를 보호하는 기능을 제공합니다.
2.7.1. 컨테이너의 출처를 알고 있습니까?
다운로드 및 배포된 컨테이너 이미지의 콘텐츠를 스캔하고 추적하는 데 사용할 수 있는 툴이 있습니다. 그러나 컨테이너 이미지의 공용 소스가 많이 있습니다. 공용 컨테이너 레지스트리를 사용하는 경우 신뢰할 수 있는 소스를 사용하여 보호 계층을 추가할 수 있습니다.
2.7.2. 불변의 인증된 컨테이너
불변 컨테이너를 관리할 때는 보안 업데이트를 사용하는 것이 특히 중요합니다. 불변 컨테이너는 실행 중에 변경되지 않는 컨테이너입니다. 불변 컨테이너를 배포할 때 하나 이상의 바이너리를 대체하기 위해 실행 중인 컨테이너로 들어가지 않습니다. 운영 관점에서 컨테이너를 변경하는 대신 업데이트된 컨테이너 이미지를 재빌드하고 재배포하여 컨테이너를 교체합니다.
Red Hat 인증 이미지는 다음과 같습니다.
- 플랫폼 구성 요소 또는 계층에 알려진 취약점이 없음
- 베어 메탈에서 클라우드까지 전체 RHEL 플랫폼에서 호환 가능
- Red Hat에서 지원
알려진 취약점 목록은 지속적으로 늘어나므로 시간 경과에 따라 배포된 컨테이너 이미지의 콘텐츠와 새로 다운로드한 이미지의 콘텐츠를 추적해야 합니다. RHSA(Red Hat Security Advisories)를 사용하여 Red Hat 인증 컨테이너 이미지에서 새로 발견된 문제를 경고하고 업데이트된 이미지로 안내할 수 있습니다. 또는 Red Hat Ecosystem Catalog로 이동하여 각 Red Hat 이미지에 관한 기타 보안 관련 문제를 조회할 수 있습니다.
2.7.3. Red Hat Registry 및 Ecosystem Catalog에서 컨테이너 가져오기
Red Hat에서는 Red Hat Ecosystem Catalog의 컨테이너 이미지 섹션에서 Red Hat 제품 및 파트너 제품의 인증된 컨테이너 이미지를 나열합니다. 해당 카탈로그에서 CVE, 소프트웨어 패키지 목록 및 상태 점수를 포함하여 각 이미지의 세부 정보를 볼 수 있습니다.
Red Hat 이미지는 실제로 공개 컨테이너 레지스트리(registry.access.redhat.com) 및 인증된 레지스트리(registry.redhat.io)로 표시되는 Red Hat Registry에 저장됩니다. 둘 다 기본적으로 동일한 컨테이너 이미지 세트를 포함하며 registry.redhat.io에는 Red Hat 서브스크립션 인증서로 인증해야 하는 추가 이미지가 포함됩니다.
Red Hat에서 컨테이너 콘텐츠에 취약점이 있는지 모니터링하고 정기적으로 업데이트합니다. Red Hat에서 glibc, DROWN 또는 Dirty Cow에 대한 수정 사항과 같은 보안 업데이트를 릴리스하면 영향을 받는 컨테이너 이미지도 다시 빌드되어 Red Hat Registry에 푸시됩니다.
Red Hat에서는 상태 색인을 사용하여 Red Hat Ecosystem Catalog를 통해 제공되는 각 컨테이너의 보안 위험을 반영합니다. 컨테이너에서는 Red Hat과 에라타 프로세스에서 제공하는 소프트웨어를 사용하므로 오래되어 해지된 컨테이너는 안전하지 않은 반면 새로운 컨테이너는 더 안전합니다.
컨테이너의 수명을 설명하기 위해 Red Hat Ecosystem Catalog에서는 평가 시스템을 사용합니다. 최신 등급은 이미지에 사용 가능한 가장 오래되고 가장 심각한 보안 정오표 수치입니다. "A"는 "F"보다 최신입니다. 이 평가 시스템에 관한 자세한 내용은 Red Hat Ecosystem Catalog 내부에서 사용되는 컨테이너 상태 색인 등급을 참조하십시오.
Red Hat 소프트웨어와 관련된 보안 업데이트 및 취약점에 관한 자세한 내용은 Red Hat 제품 보안 센터를 확인하십시오. Red Hat Security Advisories를 확인하여 특정 권고와 CVE를 검색하십시오.
2.7.4. OpenShift Container Registry
OpenShift Container Platform에는 컨테이너 이미지를 관리하는 데 사용할 수 있는 플랫폼의 통합 구성요소로 실행되는 프라이빗 레지스트리인 OpenShift Container Registry가 포함되어 있습니다. OpenShift Container Registry에서는 누가 어떤 컨테이너 이미지를 가져오고 푸시하는지 관리할 수 있는 역할 기반 액세스 제어를 제공합니다.
OpenShift Container Platform은 Red Hat Quay 등 이미 사용 중인 다른 개인 레지스트리와의 통합도 지원합니다.
2.7.5. Red Hat Quay를 사용하여 컨테이너 저장
Red Hat Quay 는 Red Hat의 엔터프라이즈급 컨테이너 레지스트리 제품입니다. Red Hat Quay의 개발은 상류 Project Quay를 통해 이루어집니다. Red Hat Quay는 온프레미스 또는 Quay.io 에서 호스팅되는 Red Hat Quay 버전을 통해 배포할 수 있습니다.
Red Hat Quay의 보안 관련 기능은 다음과 같습니다.
- 타임 머신: 오래된 태그가 있는 이미지가 설정된 기간이 지난 후 만료되거나 사용자가 선택한 만료 시간에 따라 만료될 수 있습니다.
- 저장소 미러링 : 보안상의 이유로 다른 레지스트리를 미러링할 수 있습니다. 예를 들어 회사 방화벽 뒤의 Red Hat Quay에 공개 저장소를 호스팅하거나 성능상의 이유로 레지스트리를 사용 장소에 더 가깝게 유지할 수 있습니다.
- 작업 로그 저장 : Red Hat Quay 로깅 출력을 Elasticsearch 저장소나 Splunk 에 저장하여 나중에 검색하고 분석할 수 있습니다.
- Clair : 각 컨테이너 이미지의 출처를 기반으로 다양한 Linux 취약성 데이터베이스에 대해 이미지를 스캔합니다.
- 내부 인증 : 기본 로컬 데이터베이스를 사용하여 Red Hat Quay에 대한 RBAC 인증을 처리하거나 LDAP, Keystone(OpenStack), JWT 사용자 정의 인증 또는 외부 애플리케이션 토큰 인증 중에서 선택합니다.
- 외부 인증(OAuth) : GitHub, GitHub Enterprise 또는 Google Authentication에서 Red Hat Quay에 대한 인증을 허용합니다.
- 액세스 설정 : docker, rkt, 익명 액세스, 사용자 생성 계정, 암호화된 클라이언트 비밀번호 또는 접두사 사용자 이름 자동 완성을 통해 Red Hat Quay에 액세스할 수 있도록 토큰을 생성합니다.
Red Hat Quay와 OpenShift Container Platform의 통합이 계속 진행되고 있으며, 특히 몇몇 OpenShift Container Platform 운영자가 관심을 보이고 있습니다. Quay Bridge Operator를 사용하면 내부 OpenShift 이미지 레지스트리를 Red Hat Quay로 교체할 수 있습니다. Red Hat Quay Container Security Operator를 사용하면 Red Hat Quay 레지스트리에서 가져온 OpenShift Container Platform에서 실행되는 이미지의 취약성을 확인할 수 있습니다.
2.8. 빌드 프로세스 보안
컨테이너 환경에서 소프트웨어 빌드 프로세스는 애플리케이션 코드가 필수 런타임 라이브러리와 통합되는 라이프사이클의 단계입니다. 이 빌드 프로세스 관리는 소프트웨어 스택을 보호하는 데 핵심입니다.
2.8.1. 한 번 빌드하여 어디에나 배포
컨테이너 빌드를 위한 표준 플랫폼으로 OpenShift Container Platform을 사용하면 빌드 환경의 보안을 보장할 수 있습니다. "한 번만 빌드하여 어디에나 배포" 철학을 준수하면 빌드 프로세스의 제품을 프로덕션에 정확히 배포할 수 있습니다.
컨테이너의 불변성을 유지 관리하는 것도 중요합니다. 실행 중인 컨테이너에 패치를 적용하지 말고 다시 빌드하여 재배치해야 합니다.
소프트웨어가 빌드, 테스트 및 프로덕션 단계를 진행해 갈 때 소프트웨어 공급망을 구성하는 툴을 신뢰하는 것이 중요합니다. 다음 그림에서는 컨테이너화된 소프트웨어를 위한 신뢰할 수 있는 소프트웨어 공급망에 통합될 수 있는 프로세스와 툴을 보여줍니다.
OpenShift Container Platform은 신뢰할 수 있는 코드 리포지토리(예: GitHub) 및 개발 플랫폼(예: Che)과 통합되어 보안 코드를 생성하고 관리할 수 있습니다. 단위 테스트에서는 Cucumber 및 JUnit을 사용합니다.
Red Hat Advanced Cluster Security for Kubernetes를 사용하면 빌드, 배포 또는 런타임 시 컨테이너의 취약점과 구성 문제를 검사할 수 있습니다. Quay에 저장된 이미지의 경우 Clair 스캐너를 사용하여 저장 중인 이미지를 검사할 수 있습니다. 또한 Red Hat 생태계 카탈로그에서 인증된 취약성 스캐너를 사용할 수 있습니다.
Sysdig 와 같은 도구를 사용하면 컨테이너화된 애플리케이션을 지속적으로 모니터링할 수 있습니다.
2.8.2. 빌드 관리
S2I(Source-to-Image)를 사용하여 소스 코드와 기본 이미지를 결합할 수 있습니다. 빌더 이미지는 S2I를 사용하므로 개발 및 운영 팀이 재현 가능한 빌드 환경에서 협업할 수 있습니다. UBI(Universal Base Image) 이미지로 사용 가능한 Red Hat S2I 이미지를 사용하면 실제 RHEL RPM 패키지에서 빌드된 기본 이미지로 소프트웨어를 자유롭게 재배포할 수 있습니다. Red Hat에서는 이를 허용하기 위해 서브스크립션 제한 사항을 제거했습니다.
개발자가 빌드 이미지를 사용하여 애플리케이션용 Git로 코드를 커밋하면 OpenShift Container Platform에서는 다음 기능을 수행할 수 있습니다.
- 사용 가능한 아티팩트, S2I 빌더 이미지 및 새로 커밋된 코드에서 자동으로 새 이미지를 어셈블링하기 위해 코드 리포지토리의 웹 후크를 사용하거나 기타 자동 연속 통합(CI) 프로세스를 사용하여 트리거합니다.
- 테스트를 위해 새로 빌드된 이미지를 자동으로 배포합니다.
- 테스트된 이미지를 CI 프로세스를 사용하여 자동으로 배포할 수 있는 프로덕션으로 승격합니다.
통합 OpenShift Container Registry를 사용하여 최종 이미지에 대한 액세스를 관리할 수 있습니다. S2I 및 기본 빌드 이미지가 자동으로 OpenShift Container Registry로 푸시됩니다.
포함된 Jenkins for CI 외에도 RESTful API를 사용하여 자체 빌드 및 CI 환경을 OpenShift Container Platform과 통합하고 API 호환 이미지 레지스트리를 사용할 수 있습니다.
2.8.3. 빌드 중 입력 보안
일부 시나리오에서는 빌드 작업을 할 때 종속 리소스에 액세스하기 위한 인증서가 필요하지만 빌드에서 생성한 최종 애플리케이션 이미지에서 해당 인증서가 사용 가능한 것은 바람직하지 않습니다. 이 목적을 위해 입력 보안을 정의할 수 있습니다.
예를 들어 Node.js 애플리케이션을 빌드할 때 Node.js 모듈에 맞게 개인용 미러를 설정할 수 있습니다. 이 개인용 미러에서 모듈을 다운로드하려면 URL, 사용자 이름 및 암호가 포함된 빌드에 사용할 사용자 정의 .npmrc 파일을 제공해야 합니다. 보안상의 이유로 애플리케이션 이미지에 자격 증명을 노출해서는 안 됩니다.
이 예제 시나리오를 사용하여 새 BuildConfig 오브젝트에 입력 보안을 추가할 수 있습니다.
보안이 없으면 다음과 같이 생성합니다.
oc create secret generic secret-npmrc --from-file=.npmrc=~/.npmrc
$ oc create secret generic secret-npmrc --from-file=.npmrc=~/.npmrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 그러면
~/.npmrc파일의 base64 인코딩 콘텐츠를 포함하는secret-npmrc라는 새 보안이 생성됩니다.다음과 같이 기존
BuildConfig오브젝트의source섹션에 보안을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새
BuildConfig오브젝트에 보안을 포함하려면 다음 명령을 실행합니다.oc new-build \ openshift/nodejs-010-centos7~https://github.com/sclorg/nodejs-ex.git \ --build-secret secret-npmrc$ oc new-build \ openshift/nodejs-010-centos7~https://github.com/sclorg/nodejs-ex.git \ --build-secret secret-npmrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.8.4. 빌드 프로세스 설계
개별적으로 제어할 수 있도록 컨테이너 이미지 관리를 설계하고 컨테이너 계층을 사용하도록 프로세스를 구축할 수 있습니다.
예를 들어, 운영 팀은 기본 이미지를 관리하는 반면 아키텍트는 미들웨어, 런타임, 데이터베이스 및 기타 솔루션을 관리합니다. 그런 다음 개발자는 애플리케이션 계층과 코드 작성에 중점을 둘 수 있습니다.
매일 새로운 취약점이 식별되므로 시간 경과에 따라 컨테이너 콘텐츠를 사전 대응식으로 확인해야 합니다. 이를 위해서는 자동화된 보안 테스트를 빌드 또는 CI 프로세스에 통합해야 합니다. 예를 들면 다음과 같습니다.
- SAST/DAST – 정적 및 동적 보안 테스트 도구.
- 알려진 취약점과 비교하여 실시간 검사를 위한 스캐너. 이러한 툴을 통해서는 컨테이너의 오픈소스 패키지를 카탈로그화하고 알려진 취약점을 사용자에게 알리며 이전에 스캔한 패키지에서 새로운 취약점이 발견되면 사용자에게 이 내용을 업데이트합니다.
CI 프로세스에는 보안 스캔에서 발견된 문제로 빌드에 플래그를 표시하는 정책이 포함되어 있으므로, 팀이 해당 문제를 해결하기 위해 적절한 조치를 취할 수 있습니다. 빌드와 배포 사이에 아무것도 변경되지 않도록 사용자 정의 빌드 컨테이너에 서명해야 합니다.
GitOps 방법론을 사용하면 동일한 CI/CD 메커니즘을 사용하여 애플리케이션 구성뿐만 아니라 OpenShift Container Platform 인프라를 관리할 수 있습니다.
2.8.5. Knative 서버리스 애플리케이션 빌드
Kubernetes와 Kourier를 사용하면 OpenShift Container Platform에서 OpenShift Serverless를 사용하여 서버리스 애플리케이션을 빌드, 배포 및 관리할 수 있습니다.
다른 빌드와 마찬가지로 S2I 이미지를 사용하여 컨테이너를 빌드한 다음 Knative 서비스를 사용하여 컨테이너를 제공할 수 있습니다. OpenShift Container Platform 웹 콘솔의 토폴로지 보기를 통해 Knative 애플리케이션 빌드를 봅니다.
2.9. 컨테이너 배포
사용자가 배포한 컨테이너가 최신 프로덕션 품질의 콘텐츠를 보유하고 있으며 변경되지 않았는지 다양한 기술을 사용하여 확인할 수 있습니다. 이러한 기술에는 최신 코드를 통합하도록 빌드 트리거를 설정하는 것과 서명을 사용하여 컨테이너가 신뢰할 수 있는 소스에서 제공되었으며 수정되지 않았는지 확인하는 것이 포함됩니다.
2.9.1. 트리거를 사용하여 컨테이너 배포 제어
빌드 프로세스 중에 문제가 발생하거나 이미지가 배포된 후 취약점이 발견되면 자동화된 정책 기반 배포 도구를 사용하여 문제를 해결할 수 있습니다. 실행 중인 컨테이너에 패치를 적용하는 것이 아니라, 트리거를 사용하여 이미지를 다시 빌드하고 교체함으로써 컨테이너 프로세스가 변경되지 않게 할 수 있습니다.
예를 들어 코어, 미들웨어 및 애플리케이션의 세 가지 컨테이너 이미지 계층을 사용하여 애플리케이션을 빌드합니다. 핵심 이미지에서 문제가 발견되고 해당 이미지가 다시 빌드됩니다. 빌드가 완료되면 이미지가 OpenShift Container Registry로 푸시됩니다. OpenShift Container Platform에서 이미지가 변경되었음을 감지하고 정의된 트리거를 기반으로 애플리케이션 이미지를 자동으로 재빌드하고 배포합니다. 이 변경은 고정 라이브러리를 통합하고 프로덕션 코드가 최신 이미지와 동일하게 합니다.
oc set triggers 명령을 사용하여 배포 트리거를 설정할 수 있습니다. 예를 들어 deployment-example이라는 배포용 트리거를 설정하려면 다음을 수행합니다.
oc set triggers deploy/deployment-example \
--from-image=example:latest \
--containers=web
$ oc set triggers deploy/deployment-example \
--from-image=example:latest \
--containers=web2.9.2. 배포할 수 있는 이미지 소스 제어
원하는 이미지가 실제로 배포되고 포함된 콘텐츠를 포함하는 이미지가 신뢰할 수 있는 소스의 이미지이며 변경되지 않은 것이 중요합니다. 암호화 서명을 사용하면 이를 보장할 수 있습니다. OpenShift Container Platform을 사용하면 클러스터 관리자는 배포 환경 및 보안 요구 사항을 반영하여 광범위하거나 한정된 보안 정책을 적용할 수 있습니다. 이 정책을 정의하는 매개변수는 다음 두 가지입니다.
- 선택적 프로젝트 네임스페이스가 있는 레지스트리 하나 이상
- 공개 키 수락, 거부 또는 필수와 같은 신뢰 유형
이러한 정책 매개변수를 사용하여 전체 레지스트리, 레지스트리 일부 또는 개별 이미지의 신뢰 관계를 허용, 거부 또는 필수로 지정할 수 있습니다. 신뢰할 수 있는 공개 키를 사용하면 암호화 방식으로 소스를 확인할 수 있습니다. 정책 규칙은 노드에 적용됩니다. 정책은 모든 노드에 균일하게 적용되거나 다른 노드 워크로드(예 : 빌드, 영역 또는 환경)를 대상으로 할 수 있습니다.
이미지 서명 정책 파일 예
정책은 /etc/containers/policy.json으로 노드에 저장될 수 있습니다. 이 파일을 노드에 저장할 때는 새로운 MachineConfig 오브젝트를 사용하는 것이 가장 좋습니다. 이 예에서는 다음 규칙을 적용합니다.
-
Red Hat 공개 키로 Red Hat Registry(
registry.access.redhat.com)의 이미지에 서명해야 합니다. -
openshift네임스페이스에 있는 OpenShift Container Registry의 이미지에 Red Hat 공개 키로 서명해야 합니다. -
production네임스페이스에 있는 OpenShift Container Registry의 이미지에example.com의 공개 키로 서명해야 합니다. -
글로벌
default정의로 지정되지 않은 다른 모든 레지스트리는 거부됩니다.
2.9.3. 서명 전송 사용
서명 전송은 바이너리 서명 Blob을 저장하고 검색하는 방법입니다. 서명 전송의 유형은 다음 두 가지입니다.
-
atomic: OpenShift Container Platform API에서 관리합니다. -
docker: 로컬 파일로 제공되거나 웹 서버를 통해 제공됩니다.
OpenShift Container Platform API는 atomic 전송 유형을 사용하는 서명을 관리합니다. 이 서명 유형을 사용하는 이미지를 OpenShift 컨테이너 레지스트리에 저장해야 합니다. docker/distribution extensions API에서 이미지 서명 끝점을 자동 검색하므로 추가 구성이 필요하지 않습니다.
docker 전송 유형을 사용하는 서명은 로컬 파일 또는 웹 서버에서 제공합니다. 이 서명은 더 유연합니다. 컨테이너 이미지 레지스트리에서 이미지를 제공하고 독립 서버를 사용하여 바이너리 서명을 제공할 수 있습니다.
그러나 docker 전송 유형에는 추가 구성이 필요합니다. 임의로 이름이 지정된 YAML 파일을 기본적으로 호스트 시스템의 디렉터리인 /etc/containers/registries.d에 배치하여 서명 서버의 URI로 노드를 구성해야 합니다. YAML 구성 파일에는 레지스트리 URI 및 서명 서버 URI 또는 sigstore가 포함되어 있습니다.
registries.d 파일 예
docker:
access.redhat.com:
sigstore: https://access.redhat.com/webassets/docker/content/sigstore
docker:
access.redhat.com:
sigstore: https://access.redhat.com/webassets/docker/content/sigstore
이 예에서 Red Hat Registry, access.redhat.com은 docker 전송 유형의 서명을 제공하는 서명 서버입니다. 해당 URI는 sigstore 매개변수에 정의되어 있습니다. 이 파일의 이름을 /etc/containers/registries.d/redhat.com.yam로 지정하고 Machine Config Operator를 사용하여 파일을 클러스터의 각 노드에 자동으로 배치합니다. 정책 및 registries.d 파일은 컨테이너 런타임을 통해 동적으로 로드되므로 서비스를 다시 시작할 필요가 없습니다.
2.9.4. 보안 및 구성 맵 생성
Secret 오브젝트 유형에서는 암호, OpenShift Container Platform 클라이언트 구성 파일, dockercfg 파일, 개인 소스 리포지토리 인증서와 같은 중요한 정보를 보유하는 메커니즘을 제공합니다. 보안은 Pod에서 민감한 콘텐츠를 분리합니다. 볼륨 플러그인을 사용하여 컨테이너에 보안을 마운트하거나 시스템에서 시크릿을 사용하여 Pod 대신 작업을 수행할 수 있습니다.
예를 들어 개인 이미지 리포지토리에 액세스할 수 있도록 배치 구성에 보안을 추가하려면 다음을 수행하십시오.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
- 새 프로젝트를 생성합니다.
-
리소스 → 보안으로 이동하여 새 보안을 생성합니다.
보안 유형을이미지 보안으로 설정하고인증 유형을이미지 레지스트리 인증서로 설정하여 개인 이미지 리포지토리에 액세스하는 데 사용할 인증서를 입력합니다. -
배포 구성을 생성할 때(예: 프로젝트에 추가 → 이미지 배포 페이지)
가져오기 보안을 새 보안으로 설정합니다.
구성 맵은 보안과 유사하지만 민감한 정보가 포함되지 않은 문자열 작업을 지원하도록 설계되었습니다. ConfigMap 오브젝트에는 Pod에서 사용하거나 컨트롤러와 같은 시스템 구성 요소의 구성 데이터를 저장하는 데 사용할 수 있는 구성 데이터의 키-값 쌍이 있습니다.
2.9.5. 지속적인 배포 자동화
OpenShift Container Platform과 연속 배포(CD) 툴링을 통합할 수 있습니다.
CI/CD 및 OpenShift Container Platform을 활용하면 최신 수정 사항을 통합하기 위해 애플리케이션을 재빌드하고 테스트한 다음 환경 내 모든 위치에 배포되었는지 확인하는 프로세스를 자동화할 수 있습니다.
2.10. 컨테이너 플랫폼 보안
OpenShift Container Platform 및 쿠버네티스 API는 대규모 컨테이너 관리 자동화의 핵심입니다. API는 다음을 수행하는 데 사용됩니다.
- Pod, 서비스 및 복제 컨트롤러의 데이터를 검증하고 구성합니다.
- 수신 요청에서 프로젝트의 유효성을 확인하고 다른 주요 시스템 구성요소에서 트리거를 호출합니다.
쿠버네티스를 기반으로 하는 OpenShift Container Platform의 보안 관련 기능은 다음과 같습니다.
- 역할 기반 액세스 제어 및 네트워크 정책을 결합하여 컨테이너를 여러 수준으로 격리하는 멀티 테넌시.
- API와 API에 요청하는 규칙 사이의 경계를 형성하는 승인 플러그인입니다.
OpenShift Container Platform에서는 Operator를 사용하여 쿠버네티스 수준 보안 기능 관리를 자동화하고 단순화합니다.
2.10.1. 멀티 테넌시로 컨테이너 격리
다중 테넌트를 사용하면 여러 사용자가 소유하고 여러 호스트와 네임스페이스에서 실행되는 OpenShift Container Platform 클러스터의 애플리케이션을 서로 분리하고 외부 공격으로부터 격리된 상태로 유지할 수 있습니다. 쿠버네티스 네임스페이스에 역할 기반 액세스 제어(RBAC)를 적용하여 멀티 테넌시를 확보합니다.
쿠버네티스에서 네임스페이스는 다른 애플리케이션과 분리된 방식으로 애플리케이션을 실행할 수 있는 영역입니다. OpenShift Container Platform에서는 SELinux에서 MCS 레이블링을 포함하여 주석을 추가하고 이러한 확장 네임스페이스를 프로젝트로 식별하여 네임스페이스를 사용하고 확장합니다. 프로젝트 범위 내에서 서비스 계정, 정책, 제약 조건 및 기타 다양한 오브젝트를 포함하여 자체 클러스터 리소스를 유지 관리할 수 있습니다.
선택된 사용자가 프로젝트에 액세스할 수 있도록 RBAC 오브젝트가 해당 프로젝트에 할당됩니다. 이 인증에서는 규칙, 역할 및 바인딩 양식을 사용합니다.
- 규칙을 통해서는 사용자가 프로젝트에서 생성하거나 액세스할 수 있는 대상을 정의합니다.
- 역할은 선택한 사용자 또는 그룹에 바인딩할 수 있는 규칙 컬렉션입니다.
- 바인딩을 통해서는 사용자 또는 그룹과 역할 간의 연결을 정의합니다.
로컬 RBAC 역할 및 바인딩은 사용자 또는 그룹을 특정 프로젝트에 연결합니다. 클러스터 RBAC는 클러스터 전체 역할 및 바인딩을 클러스터의 모든 프로젝트에 연결할 수 있습니다. admin, basic-user, cluster-admin 및 cluster-status 액세스를 제공하기 위해 지정할 수 있는 기본 클러스터 역할이 있습니다.
2.10.2. 입장 플러그인을 사용하여 제어 평면 보호
RBAC가 사용자와 그룹, 사용 가능한 프로젝트 간의 액세스 규칙을 제어하는 반면, 입장 플러그인은 OpenShift Container Platform 마스터 API에 대한 액세스를 정의합니다. 입학 플러그인은 다음으로 구성된 일련의 규칙을 형성합니다.
- 기본 입학 플러그인: 이는 OpenShift Container Platform 제어 평면의 구성 요소에 적용되는 기본 정책 및 리소스 제한 세트를 구현합니다.
- 변형형 입학 플러그인: 이러한 플러그인은 입학 체인을 동적으로 확장합니다. 이 플러그인은 웹 후크 서버를 호출하고 요청을 인증하며 선택된 리소스를 수정할 수 있습니다.
- 입학 플러그인 검증: 이 플러그인은 선택된 리소스에 대한 요청을 검증하고, 요청을 검증하는 동시에 리소스가 다시 변경되지 않도록 보장합니다.
API 요청은 체인 형태로 입학 플러그인을 거치며, 그 과정에서 오류가 발생하면 요청이 거부됩니다. 각 입장 플러그인은 특정 리소스와 연결되어 있으며 해당 리소스에 대한 요청에만 응답합니다.
2.10.2.1. SCC(보안 컨텍스트 제약 조건)
SCC(보안 컨텍스트 제약 조건 )를 사용하여 시스템에 적용하기 위해 Pod를 실행해야 하는 조건 집합을 정의할 수 있습니다.
SCC에서 관리할 수 있는 몇 가지 요소는 다음과 같습니다.
- 권한이 있는 컨테이너 실행
- 컨테이너가 추가하도록 요청할 수 있는 기능
- 호스트 디렉터리를 볼륨으로 사용
- 컨테이너의 SELinux 컨텍스트
- 컨테이너 사용자 ID
필수 권한이 있으면 필요한 경우 기본 SCC 정책의 허용 범위를 넓게 조정할 수 있습니다.
2.10.2.2. 서비스 계정에 역할 부여
사용자에게 역할 기반 액세스 권한이 할당된 방식과 동일하게 서비스 계정에 역할을 할당할 수 있습니다. 프로젝트마다 3개의 기본 서비스 계정이 생성됩니다. 서비스 계정:
- 특정 프로젝트로 범위가 제한됨
- 프로젝트에서 이름 파생
- OpenShift Container Registry에 액세스하기 위해 API 토큰 및 인증서가 자동으로 할당됨
플랫폼 구성요소와 관련된 서비스 계정의 키는 자동으로 순환됩니다.
2.10.3. 인증 및 권한 부여
2.10.3.1. OAuth를 사용하여 액세스 제어
컨테이너 플랫폼 보안을 위해 인증 및 권한 부여를 통해 API 액세스 제어를 사용할 수 있습니다. OpenShift Container Platform 마스터에는 내장 OAuth 서버가 포함되어 있습니다. 사용자가 API에 자신을 인증하기 위해 OAuth 액세스 토큰을 가져올 수 있습니다.
관리자는 LDAP, GitHub 또는 Google과 같은 ID 공급자를 사용하여 인증할 OAuth를 구성할 수 있습니다. ID 공급자는 기본적으로 새 OpenShift Container Platform 배포에 사용되지만 초기 설치 시 또는 설치 후 이 공급자를 구성할 수 있습니다.
2.10.3.2. API 액세스 제어 및 관리
애플리케이션에는 관리가 필요한 끝점이 서로 다른 여러 개의 독립적인 API 서비스가 있을 수 있습니다. OpenShift Container Platform에는 3scale API 게이트웨이의 컨테이너화된 버전이 포함되어 있으므로 API를 관리하고 액세스를 제어할 수 있습니다.
3scale에서는 API 인증 및 보안을 위한 다양한 표준 옵션을 제공합니다. 이 옵션은 표준 API 키, 애플리케이션 ID와 키 쌍 및 OAuth 2.0과 함께 인증서를 발행하고 액세스를 제어하기 위해 조합하여 사용하거나 단독으로 사용할 수 있습니다.
특정 끝점, 방법 및 서비스에 대한 액세스를 제한하고 사용자 그룹의 액세스 정책을 적용할 수 있습니다. 애플리케이션 계획을 통해 API 사용에 대한 속도 제한을 설정하고 개발자 그룹의 트래픽 흐름을 제어할 수 있습니다.
컨테이너화된 3scale API 게이트웨이인 APIcast v2를 사용하는 방법에 관한 자습서는 3scale 설명서의 Red Hat OpenShift에서 APIcast 실행을 참조하십시오.
2.10.3.3. Red Hat Single Sign-On
Red Hat Single Sign-On 서버를 사용하면 SAML 2.0, OpenID Connect 및 OAuth 2.0을 포함한 표준을 기반으로 웹 싱글 사인온 기능을 제공하여 애플리케이션을 보호할 수 있습니다. 서버는 SAML 또는 OpenID Connect 기반 ID 공급자(IdP)의 역할을 하며 엔터프라이즈 사용자 디렉터리 또는 타사 ID 공급자와 함께 표준 기반 토큰을 사용하여 ID 정보 및 애플리케이션을 중재할 수 있습니다. Red Hat Single Sign-On을 Microsoft Active Directory 및 Red Hat Enterprise Linux Identity Management를 포함한 LDAP 기반 디렉터리 서비스와 통합할 수 있습니다.
2.10.3.4. 보안 셀프 서비스 웹 콘솔
OpenShift Container Platform에서는 팀이 권한없이 다른 환경에 액세스하지 못하도록 셀프 서비스 웹 콘솔을 제공합니다. OpenShift Container Platform에서는 다음을 제공하여 보안 멀티 테넌트 마스터를 보장합니다.
- 마스터에 액세스하는 데 TLS(Transport Layer Security)를 사용합니다.
- API 서버에 액세스하는 데 X.509 인증서 또는 OAuth 액세스 토큰을 사용합니다.
- 프로젝트에 할당량을 지정하면 불량 토큰으로 인한 피해가 제한됩니다
- etcd 서비스는 클러스터에 직접 노출되지 않습니다
2.10.4. 플랫폼의 인증서 관리
OpenShift Container Platform의 프레임워크에는 TLS 인증서를 통한 암호화를 활용하는 REST 기반 HTTPS 통신을 사용하는 여러 구성요소가 있습니다. OpenShift Container Platform의 설치 관리자는 설치 중에 이러한 인증서를 구성합니다. 이 트래픽을 생성하는 몇 가지 기본 구성요소가 있습니다.
- 마스터(API 서버 및 컨트롤러)
- etcd
- 노드
- 레지스트리
- 라우터
2.10.4.1. 사용자 정의 인증서 구성
초기 설치 중 또는 인증서를 재배포할 때 API 서버와 웹 콘솔의 공개 호스트 이름에 맞게 사용자 정의 제공 인증서를 구성할 수 있습니다. 사용자 정의 CA도 사용할 수 있습니다.
2.11. 네트워크 보안
네트워크 보안은 여러 수준에서 관리할 수 있습니다. Pod 수준에서 네트워크 네임스페이스는 네트워크 액세스를 제한하여 컨테이너에 다른 Pod 또는 호스트 시스템이 표시되지 않게 할 수 있습니다. 네트워크 정책을 통해 연결을 허용하거나 거부할 수 있습니다. 컨테이너화된 애플리케이션으로 수신 및 송신되는 트래픽을 관리할 수 있습니다.
2.11.1. 네트워크 네임스페이스 사용
OpenShift Container Platform에서는 소프트웨어 정의 네트워킹(SDN)을 사용하여 클러스터 전체의 컨테이너 간 통신이 가능한 통합 클러스터 네트워크를 제공합니다.
기본적으로 네트워크 정책 모드에서는 다른 Pod 및 네트워크 끝점에서 프로젝트의 모든 Pod에 액세스 할 수 있습니다. 프로젝트에서 하나 이상의 Pod를 분리하기 위해 해당 프로젝트에서 NetworkPolicy 오브젝트를 생성하여 수신되는 연결을 표시할 수 있습니다. 다중 테넌트 모드를 사용하면 Pod 및 서비스에 대한 프로젝트 수준 격리를 제공할 수 있습니다.
2.11.2. 네트워크 정책으로 Pod 분리
네트워크 정책을 사용하면 동일한 프로젝트에서 Pod를 서로 분리할 수 있습니다. 네트워크 정책은 포드에 대한 모든 네트워크 액세스를 거부하거나, Ingress Controller에 대한 연결만 허용하거나, 다른 프로젝트에 있는 포드에서의 연결을 거부하거나, 네트워크가 작동하는 방식에 대한 유사한 규칙을 설정할 수 있습니다.
2.11.3. 여러 Pod 네트워크 사용
실행 중인 각 컨테이너에는 기본적으로 하나의 네트워크 인터페이스만 있습니다. Multus CNI 플러그인을 사용하면 여러 개의 CNI 네트워크를 만든 다음 해당 네트워크 중 하나를 포드에 연결할 수 있습니다. 이렇게 하면 개인 데이터를 더 제한된 네트워크로 분리할 수 있으며 노드마다 네트워크 인터페이스가 여러 개일 수 있습니다.
2.11.4. 애플리케이션 격리
OpenShift Container Platform을 사용하면 단일 클러스터에서 네트워크 트래픽을 세그먼트화하여 사용자, 팀, 애플리케이션 및 환경을 글로벌이 아닌 리소스와 분리하는 다중 테넌트 클러스터를 만들 수 있습니다.
2.11.5. 수신 트래픽 보안
OpenShift Container Platform 클러스터 외부에서 쿠버네티스 서비스에 대한 액세스를 구성하는 방법과 관련하여 보안에 미치는 영향이 많이 있습니다. HTTP 및 HTTPS 경로를 노출하는 외에도 수신 라우팅을 사용하면 NodePort 또는 LoadBalancer 수신 유형을 설정할 수 있습니다. NodePort에서는 각 클러스터 작업자의 애플리케이션 서비스 API 오브젝트를 노출합니다. LoadBalancer를 사용하면 OpenShift Container Platform 클러스터의 관련 서비스 API 오브젝트에 외부 로드 밸런서를 할당할 수 있습니다.
2.11.6. 송신 트래픽 보안
OpenShift Container Platform에서는 라우터 또는 방화벽 방법을 사용하여 송신 트래픽을 제어하는 기능을 제공합니다. 예를 들어, IP 허용 목록을 사용하여 데이터베이스 액세스를 제어할 수 있습니다. 클러스터 관리자는 송신 IP 주소를 구성 하여 프로젝트에 하나 이상의 송신 IP 주소를 할당할 수 있습니다. 마찬가지로 클러스터 관리자는 송신 방화벽을 사용하여 송신 트래픽이 OpenShift Container Platform 클러스터 외부로 나가는 것을 방지할 수 있습니다.
고정 송신 IP 주소를 할당하면 특정 프로젝트용으로 나가는 모든 트래픽을 해당 IP 주소에 할당할 수 있습니다. 송신 방화벽을 사용하면 Pod가 외부 네트워크에 연결 또는 Pod가 내부 네트워크에 연결하는 것을 방지하거나 특정 내부 서브넷에 대한 Pod의 액세스를 제한할 수 있습니다.
2.12. 연결된 스토리지 보안
OpenShift Container Platform에서는 온프레미스 및 클라우드 공급자를 위해 여러 유형의 스토리지를 지원합니다. 특히 OpenShift Container Platform에서는 컨테이너 스토리지 인터페이스를 지원하는 스토리지 유형을 사용할 수 있습니다.
2.12.1. 영구 볼륨 플러그인
컨테이너는 스테이트리스(stateless) 및 스테이트풀(stateful) 애플리케이션 둘 다에 유용합니다. 연결된 스토리지를 보호하는 것이 상태 저장 서비스 보안의 핵심 요소입니다. CSI(Container Storage Interface)를 사용하여 OpenShift Container Platform에서는 CSI 인터페이스를 지원하는 모든 스토리지 백엔드의 스토리지를 통합할 수 있습니다.
OpenShift Container Platform은 다음을 포함하여 다양한 유형의 스토리지에 대한 플러그인을 제공합니다.
- Red Hat OpenShift 데이터 파운데이션 *
- AWS EBS(Elastic Block Stores)*
- AWS EFS(Elastic File System)*
- Azure 디스크*
- Azure 파일*
- OpenStack Cinder*
- GCE 영구 디스크*
- VMware vSphere*
- 네트워크 파일 시스템(NFS)
- FlexVolume
- 파이버 채널
- iSCSI
동적 프로비저닝이 가능한 해당 스토리지 유형의 플러그인은 별표(*)로 표시됩니다. 서로 통신 중인 모든 OpenShift Container Platform 구성요소에서 전송 중인 데이터는 HTTPS를 통해 암호화됩니다.
스토리지 유형에서 지원하는 방식으로 호스트에 영구 볼륨(PV)을 마운트할 수 있습니다. 스토리지 유형에 따라 기능이 다르며 각 PV의 액세스 모드는 해당 볼륨에서 지원하는 특정 모드로 설정됩니다.
예를 들어 NFS에서는 여러 읽기/쓰기 클라이언트를 지원할 수 있지만 특정 NFS PV는 서버에서 읽기 전용으로 내보낼 수 있습니다. 각 PV에는 ReadWriteOnce, ReadOnlyMany 및 ReadWriteMany와 같은 특정 PV 기능을 설명하는 자체 액세스 모드 세트가 있습니다.
2.12.3. 블록 스토리지
AWS EBS(Elastic Block Store), GCE 영구 디스크 및 iSCSI와 같은 블록 스토리지 공급자의 경우 OpenShift Container Platform에서는 SELinux 기능을 사용하여 권한이 없는 Pod용으로 마운트된 볼륨의 루트를 보호함으로써, 연관된 컨테이너에서만 마운트된 볼륨을 소유하고 볼 수 있게 합니다.
2.13. 클러스터 이벤트 및 로그 모니터링
OpenShift Container Platform 클러스터를 모니터링하고 감사하는 기능은 부적절한 사용으로부터 클러스터와 사용자를 보호하는 데 중요한 부분입니다.
이 용도에 유용한 클러스터 수준 정보의 두 가지 주요 소스, 즉 이벤트와 로깅이 있습니다.
2.13.1. 클러스터 이벤트 감시
클러스터 관리자는 Event 리소스 유형을 익히고 시스템 이벤트 목록을 검토하여 관심있는 이벤트를 결정하는 것이 좋습니다. 이벤트는 네임스페이스, 즉 관련 리소스의 네임스페이스 또는 클러스터 이벤트의 경우에는 default 네임스페이스와 연결됩니다. 기본 네임스페이스에는 인프라 구성요소와 관련된 노드 이벤트 및 리소스 이벤트와 같은 클러스터 모니터링 또는 감사 관련 이벤트가 있습니다.
마스터 API 및 oc 명령은 이벤트 목록의 범위를 노드 관련 항목으로만 지정하는 매개변수는 제공하지 않습니다. 간단한 접근 방식은 grep을 사용하는 것입니다.
oc get event -n default | grep Node
$ oc get event -n default | grep Node출력 예
1h 20h 3 origin-node-1.example.local Node Normal NodeHasDiskPressure ...
1h 20h 3 origin-node-1.example.local Node Normal NodeHasDiskPressure ...
더 유연한 접근 방식은 다른 툴에서 처리할 수 있는 양식으로 이벤트를 출력하는 것입니다. 예를 들어 다음 예에서는 JSON 출력을 대상으로 jq 툴을 사용하여 NodeHasDiskPressure 이벤트만 추출합니다.
oc get events -n default -o json \ | jq '.items[] | select(.involvedObject.kind == "Node" and .reason == "NodeHasDiskPressure")'
$ oc get events -n default -o json \
| jq '.items[] | select(.involvedObject.kind == "Node" and .reason == "NodeHasDiskPressure")'출력 예
리소스 생성, 수정 또는 삭제와 관련된 이벤트도 클러스터의 오용을 탐지하는 데 적합할 수 있습니다. 예를 들어 다음과 같은 쿼리를 사용하면 과도한 이미지 가져오기를 찾을 수 있습니다.
oc get events --all-namespaces -o json \ | jq '[.items[] | select(.involvedObject.kind == "Pod" and .reason == "Pulling")] | length'
$ oc get events --all-namespaces -o json \
| jq '[.items[] | select(.involvedObject.kind == "Pod" and .reason == "Pulling")] | length'출력 예
4
4네임스페이스가 삭제되면 해당 이벤트도 삭제됩니다. 이벤트도 만료될 수 있으며 etcd 스토리지가 가득 차지 않도록 삭제됩니다. 이벤트는 영구 레코드로 저장되지 않으며 시간 경과에 따른 통계를 캡처하려면 자주 폴링해야 합니다.
2.13.2. 로깅
oc log 명령을 사용하면 컨테이너 로그, 빌드 구성, 배포를 실시간으로 볼 수 있습니다. 다른 사용자는 다른 로그에 액세스할 수 있습니다.
- 프로젝트에 액세스할 수 있는 사용자는 기본적으로 해당 프로젝트의 로그를 볼 수 있습니다.
- 관리자 역할이 있는 사용자는 모든 컨테이너 로그에 액세스할 수 있습니다.
추가 감사 및 분석을 위해 로그를 저장하려면 cluster-logging 애드온 기능을 사용하여 시스템, 컨테이너 및 감사 로그를 수집, 관리 및 볼 수 있습니다. OpenShift Elasticsearch Operator와 Red Hat OpenShift Logging Operator를 통해 OpenShift Logging을 배포, 관리 및 업그레이드할 수 있습니다.
2.13.3. 감사 로그
감사 로그를 사용하면 사용자, 관리자 또는 기타 OpenShift Container Platform 구성요소의 동작과 관련된 일련의 활동을 따를 수 있습니다. API 감사 로깅은 각 서버에서 수행됩니다.
3장. 인증서 구성
3.1. 기본 수신 인증서 교체
3.1.1. 기본 수신 인증서 이해
기본적으로 OpenShift Container Platform에서는 Ingress Operator를 사용하여 내부 CA를 생성하고 .apps 하위 도메인의 애플리케이션에 유효한 와일드카드 인증서를 발급합니다. 웹 콘솔과 CLI도 모두 이 인증서를 사용합니다.
내부 인프라 CA 인증서는 자체 서명됩니다. 이 프로세스는 일부 보안 또는 PKI 팀에서는 나쁜 습관으로 인식할 수 있지만 위험이 거의 없습니다. 이러한 인증서를 암시적으로 신뢰하는 유일한 클라이언트는 클러스터 내의 다른 구성요소입니다. 기본 와일드카드 인증서를 컨테이너 사용자 공간에서 제공한 대로 이미 CA 번들에 포함된 공용 CA에서 발행한 인증서로 교체하면 외부 클라이언트가 .apps 하위 도메인에서 실행되는 애플리케이션에 안전하게 연결할 수 있습니다.
3.1.2. 기본 수신 인증서 교체
.apps 하위 도메인에 있는 애플리케이션의 기본 수신 인증서를 교체할 수 있습니다. 인증서를 교체한 후에는 웹 콘솔과 CLI를 포함한 모든 애플리케이션에 지정된 인증서에 따라 암호화가 제공됩니다.
사전 요구 사항
-
정규화된
.apps하위 도메인 및 해당 개인 키에 맞는 와일드카드 인증서가 있어야 합니다. 각각은 별도의 PEM 형식 파일이어야 합니다. - 개인 키는 암호화되지 않아야 합니다. 키가 암호화된 경우 OpenShift Container Platform으로 가져오기 전에 키의 암호를 해독합니다.
-
인증서에는
*.apps.<clustername>.<domain>을 표시하는subjectAltName확장자가 포함되어야 합니다. - 인증서 파일은 체인에 하나 이상의 인증서를 포함할 수 있습니다. 파일에는 와일드카드 인증서를 첫 번째 인증서로 나열하고, 그 다음에 다른 중간 인증서, 마지막으로 루트 CA 인증서를 나열해야 합니다.
- 루트 CA 인증서를 추가 PEM 형식 파일로 복사합니다.
-
-----END CERTIFICATE-----를포함하는 모든 인증서가 해당 줄 뒤에 캐리지 리턴 하나로 끝나는지 확인하세요.
프로세스
와일드카드 인증서에 서명하는 데 사용되는 루트 CA 인증서만 포함하는 구성 맵을 만듭니다.
oc create configmap custom-ca \ --from-file=ca-bundle.crt=</path/to/example-ca.crt> \ -n openshift-config$ oc create configmap custom-ca \ --from-file=ca-bundle.crt=</path/to/example-ca.crt> \1 -n openshift-configCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
</path/to/example-ca.crt>는 로컬 파일 시스템에서 루트 CA 인증서 파일의 경로입니다. 예를 들어,/etc/pki/ca-trust/source/anchors.
새로 생성된 구성 맵으로 클러스터 전체 프록시 구성을 업데이트합니다.
oc patch proxy/cluster \ --type=merge \ --patch='{"spec":{"trustedCA":{"name":"custom-ca"}}}'$ oc patch proxy/cluster \ --type=merge \ --patch='{"spec":{"trustedCA":{"name":"custom-ca"}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고클러스터의 신뢰할 수 있는 CA만 업데이트하는 경우 MCO가
/etc/pki/ca-trust/source/anchors/openshift-config-user-ca-bundle.crt파일을 업데이트하고 MCC(Machine Config Controller)가 각 노드에 신뢰할 수 있는 CA 업데이트를 적용하므로 노드 재부팅이 필요하지 않습니다. 하지만 이러한 변경 사항으로 인해 MCD(Machine Config Daemon)는 kubelet 및 CRI-O와 같은 각 노드의 중요 서비스를 다시 시작합니다. 이러한 서비스 재시작으로 인해 각 노드는 서비스가 완전히 재시작될 때까지 잠시NotReady상태로 전환됩니다.openshift-config-user-ca-bundle.crt파일에서noproxy와 같은 다른 매개변수를 변경하면 MCO는 클러스터의 각 노드를 재부팅합니다.와일드카드 인증서 체인과 키를 포함하는 보안을 생성합니다.
oc create secret tls <secret> \ --cert=</path/to/cert.crt> \ --key=</path/to/cert.key> \ -n openshift-ingress$ oc create secret tls <secret> \1 --cert=</path/to/cert.crt> \2 --key=</path/to/cert.key> \3 -n openshift-ingressCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새로 생성된 보안으로 Ingress Controller 구성을 업데이트합니다.
oc patch ingresscontroller.operator default \ --type=merge -p \ '{"spec":{"defaultCertificate": {"name": "<secret>"}}}' \ -n openshift-ingress-operator$ oc patch ingresscontroller.operator default \ --type=merge -p \ '{"spec":{"defaultCertificate": {"name": "<secret>"}}}' \1 -n openshift-ingress-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<secret>을 이전 단계에서 보안에 사용된 이름으로 교체합니다.
중요Ingress Operator가 롤링 업데이트를 수행하도록 하려면 비밀 이름을 업데이트해야 합니다. kubelet은 볼륨 마운트의 비밀에 대한 변경 사항을 자동으로 전파하므로 비밀 내용을 업데이트해도 롤링 업데이트가 트리거되지 않습니다. 자세한 내용은 Red Hat Knowledgebase 솔루션을 참조하세요.
3.2. API 서버 인증서 추가
기본 API 서버 인증서는 내부 OpenShift Container Platform 클러스터 CA에서 발급합니다. 클러스터 외부의 클라이언트는 기본적으로 API 서버의 인증서를 확인할 수 없습니다. 이 인증서는 클라이언트가 신뢰하는 CA에서 발급한 인증서로 교체할 수 있습니다.
호스팅된 제어 평면 클러스터에서는 필요한 만큼 많은 사용자 정의 인증서를 Kubernetes API 서버에 추가할 수 있습니다. 하지만 작업자 노드가 제어 평면과 통신하는 데 사용하는 엔드포인트에 대한 인증서는 추가하지 마세요. 자세한 내용은 호스팅된 클러스터에서 사용자 지정 API 서버 인증서 구성을 참조하세요.
3.2.1. certificate이라는 API 서버 추가
기본 API 서버 인증서는 내부 OpenShift Container Platform 클러스터 CA에서 발급합니다. 리버스 프록시 또는 로드 밸런서가 사용되는 경우와 같이 클라이언트가 요청한 정규화된 도메인 이름(FQDN)을 기반으로 API 서버가 반환할 대체 인증서를 하나 이상 추가할 수 있습니다.
사전 요구 사항
- FQDN의 인증서와 해당 개인 키가 있어야 합니다. 각각은 별도의 PEM 형식 파일이어야 합니다.
- 개인 키는 암호화되지 않아야 합니다. 키가 암호화된 경우 OpenShift Container Platform으로 가져오기 전에 키의 암호를 해독합니다.
-
인증서에는 FQDN을 표시하는
subjectAltName확장자가 포함되어야 합니다. - 인증서 파일은 체인에 하나 이상의 인증서를 포함할 수 있습니다. API 서버 FQDN의 인증서는 파일의 첫 번째 인증서여야 합니다. 그런 다음 중간 인증서가 올 수 있으며 파일은 루트 CA 인증서로 끝나야 합니다.
내부 로드 밸런서용으로 이름 지정된 인증서를 제공하지 마십시오(host name api-int.<cluster_name>.<base_domain>). 그렇지 않으면 클러스터 성능이 저하됩니다.
프로세스
kubeadmin사용자로 새 API에 로그인합니다.oc login -u kubeadmin -p <password> https://FQDN:6443
$ oc login -u kubeadmin -p <password> https://FQDN:6443Copy to Clipboard Copied! Toggle word wrap Toggle overflow kubeconfig파일을 가져옵니다.oc config view --flatten > kubeconfig-newapi
$ oc config view --flatten > kubeconfig-newapiCopy to Clipboard Copied! Toggle word wrap Toggle overflow openshift-config네임스페이스에 인증서 체인과 개인 키가 포함된 보안을 생성합니다.oc create secret tls <secret> \ --cert=</path/to/cert.crt> \ --key=</path/to/cert.key> \ -n openshift-config$ oc create secret tls <secret> \1 --cert=</path/to/cert.crt> \2 --key=</path/to/cert.key> \3 -n openshift-configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 생성된 보안을 참조하도록 API 서버를 업데이트합니다.
oc patch apiserver cluster \ --type=merge -p \ '{"spec":{"servingCerts": {"namedCertificates": \ [{"names": ["<FQDN>"], \ "servingCertificate": {"name": "<secret>"}}]}}}'$ oc patch apiserver cluster \ --type=merge -p \ '{"spec":{"servingCerts": {"namedCertificates": \ [{"names": ["<FQDN>"], \1 "servingCertificate": {"name": "<secret>"}}]}}}'2 Copy to Clipboard Copied! Toggle word wrap Toggle overflow apiserver/cluster오브젝트를 조사하고 보안이 이제 참조되는지 확인합니다.oc get apiserver cluster -o yaml
$ oc get apiserver cluster -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow kube-apiserver운영자를 확인하고 Kubernetes API 서버의 새 버전이 롤아웃되는지 확인합니다. 운영자가 구성 변경 사항을 탐지하고 새 배포를 트리거하는 데 1분 정도 걸릴 수 있습니다. 새 버전이 롤아웃되는 동안PROGRESSING은True를 보고합니다.oc get clusteroperators kube-apiserver
$ oc get clusteroperators kube-apiserverCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 출력에 표시된 것처럼
PROGRESSING이False로 표시될 때까지 다음 단계를 진행하지 마십시오.출력 예
NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE kube-apiserver 4.19.0 True False False 145m
NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE kube-apiserver 4.19.0 True False False 145mCopy to Clipboard Copied! Toggle word wrap Toggle overflow PROGRESSING에True가 표시되면 몇 분 기다렸다가 다시 시도하십시오.참고Kubernetes API 서버의 새로운 개정판은 certificate라는 이름의 API 서버가 처음으로 추가된 경우에만 출시됩니다. API 서버 이름이 인증서로 갱신되면
kube-apiserver포드가 업데이트된 인증서를 동적으로 다시 로드하기 때문에 Kubernetes API 서버의 새로운 개정판이 롤아웃되지 않습니다.
3.3. 서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안
3.3.1. 서비스 제공 인증서 이해
서비스 제공 인증서는 암호화가 필요한 복잡한 미들웨어 애플리케이션을 지원하기 위한 것입니다. 이러한 인증서는 TLS 웹 서버 인증서로 발급됩니다.
service-ca 컨트롤러에서는 x509.SHA256WithRSA 서명 알고리즘을 사용하여 서비스 인증서를 생성합니다.
생성된 인증서 및 키는 PEM 형식이며, 생성된 보안의 tls.crt 및 tls.key에 각각 저장됩니다. 인증서와 키는 만료 시기가 다가오면 자동으로 교체됩니다.
서비스 인증서를 발급하는 서비스 CA 인증서는 26개월 동안 유효하며 유효 기간이 13개월 미만으로 남아 있으면 자동으로 순환됩니다. 교체 후에도 이전 서비스 CA 구성은 만료될 때까지 계속 신뢰 상태가 유지됩니다. 그러면 만료되기 전에 유예 기간 동안 영향을 받는 모든 서비스의 주요 자료를 새로 고칠 수 있습니다. 서비스를 다시 시작하고 키 자료를 새로 고치는 이 유예 기간 동안 클러스터를 업그레이드하지 않으면 이전 서비스 CA가 만료된 후 실패하지 않도록 서비스를 직접 다시 시작해야 할 수도 있습니다.
다음 명령을 사용하여 클러스터의 모든 Pod를 직접 다시 시작할 수 있습니다. 이 명령을 실행하면 모든 네임스페이스에서 실행 중인 모든 Pod가 삭제되므로 서비스가 중단됩니다. 이 Pod는 삭제 후 자동으로 다시 시작됩니다.
for I in $(oc get ns -o jsonpath='{range .items[*]} {.metadata.name}{"\n"} {end}'); \
do oc delete pods --all -n $I; \
sleep 1; \
done
$ for I in $(oc get ns -o jsonpath='{range .items[*]} {.metadata.name}{"\n"} {end}'); \
do oc delete pods --all -n $I; \
sleep 1; \
done3.3.2. 서비스 인증서 추가
서비스와의 통신을 보호하려면 서명된 제공 인증서와 키 쌍을 서비스와 동일한 네임스페이스의 보안에 생성합니다.
생성된 인증서는 내부 서비스 DNS 이름 <service.name>.<service.namespace>.svc에만 유효하고 내부 통신에만 유효합니다. 서비스가 헤드리스 서비스(clusterIP 값이 설정되지 않음)인 경우 생성된 인증서에는 *.<service.name>.<service.namespace>.svc 형식의 와일드카드 제목도 포함됩니다.
생성된 인증서에는 헤드리스 서비스에 대한 와일드카드 제목이 포함되어 있으므로 클라이언트가 개별 Pod를 구분해야 하는 경우 서비스 CA를 사용하지 않아야 합니다. 이 경우 다음을 수행합니다.
- 다른 CA를 사용하여 개별 TLS 인증서를 생성합니다.
- 개별 Pod로 전달되며 다른 Pod로 가장해서는 안 되는 연결에 대해 서비스 CA를 신뢰할 수 있는 CA로 수락하지 마십시오. 이러한 연결은 개별 TLS 인증서를 생성하는 데 사용된 CA를 신뢰하도록 구성해야 합니다.
사전 요구 사항
- 서비스가 정의되어 있어야 합니다.
프로세스
service.beta.openshift.io/serving-cert-secret-name으로 서비스에 주석을 답니다.oc annotate service <service_name> \ service.beta.openshift.io/serving-cert-secret-name=<secret_name>$ oc annotate service <service_name> \1 service.beta.openshift.io/serving-cert-secret-name=<secret_name>2 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들어 서비스
test1에 주석을 달려면 다음 명령을 사용합니다.oc annotate service test1 service.beta.openshift.io/serving-cert-secret-name=test1
$ oc annotate service test1 service.beta.openshift.io/serving-cert-secret-name=test1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스를 검사하여 주석이 있는지 확인합니다.
oc describe service <service_name>
$ oc describe service <service_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
... Annotations: service.beta.openshift.io/serving-cert-secret-name: <service_name> service.beta.openshift.io/serving-cert-signed-by: openshift-service-serving-signer@1556850837 ...... Annotations: service.beta.openshift.io/serving-cert-secret-name: <service_name> service.beta.openshift.io/serving-cert-signed-by: openshift-service-serving-signer@1556850837 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
클러스터에서 서비스 보안을 생성하면
Pod사양에서 보안을 마운트하고, 사용 가능 상태가 되면 Pod에서 실행합니다.
3.3.3. 구성 맵에 서비스 CA 번들 추가
포드는 service.beta.openshift.io/inject-cabundle=true 주석이 있는 ConfigMap 객체를 마운트하여 서비스 인증 기관(CA) 인증서에 액세스할 수 있습니다. 구성 맵에 주석을 추가한 후 클러스터는 자동으로 서비스 CA 인증서를 구성 맵의 service-ca.crt 키에 삽입합니다. 이 CA 인증서에 액세스하면 TLS 클라이언트가 서비스 제공 인증서를 사용하여 서비스에 대한 연결을 확인할 수 있습니다.
이 주석을 구성 맵에 추가하면 OpenShift 서비스 CA 운영자가 구성 맵의 모든 데이터를 삭제합니다. Pod 구성을 저장하는 동일한 구성 맵을 사용하는 대신, service-ca.crt를 포함하는 별도의 구성 맵을 사용하는 것을 고려하세요.
프로세스
다음 명령을 입력하여
service.beta.openshift.io/inject-cabundle=true주석으로 구성 맵에 주석을 추가합니다.oc annotate configmap <config_map_name> \ service.beta.openshift.io/inject-cabundle=true$ oc annotate configmap <config_map_name> \1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<config_map_name>을 주석을 달 구성 맵 이름으로 교체합니다.
참고볼륨 마운트에서
service-ca.crt키를 명시적으로 참조하면 CA 번들에 구성 맵이 주입될 때까지 포드가 시작되지 않습니다. 볼륨의 제공 인증서 구성에서선택적매개변수를true로 설정하면 이 동작을 재정의할 수 있습니다.구성 맵을 보고 서비스 CA 번들이 삽입되었는지 확인합니다.
oc get configmap <config_map_name> -o yaml
$ oc get configmap <config_map_name> -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow CA 번들은 YAML 출력에서
service-ca.crt키 값으로 표시됩니다.apiVersion: v1 data: service-ca.crt: | -----BEGIN CERTIFICATE----- ...apiVersion: v1 data: service-ca.crt: | -----BEGIN CERTIFICATE----- ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 배포객체를 구성하여 포드에 있는 각 컨테이너에 볼륨으로 구성 맵을 마운트합니다.마운트된 구성 맵에 대한 볼륨을 정의하는 배포 개체 예제
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3.4. API 서비스에 서비스 CA 번들 추가
spec.caBundle 필드에 서비스 CA 번들이 입력되도록 service.beta.openshift.io/inject-cabundle=true로 APIService 오브젝트에 주석을 답니다. 그러면 쿠버네티스 API 서버가 대상 끝점을 보호하는 데 사용되는 서비스 CA 인증서의 유효성을 확인할 수 있습니다.
프로세스
service.beta.openshift.io/inject-cabundle=true로 API 서비스에 주석을 답니다.oc annotate apiservice <api_service_name> \ service.beta.openshift.io/inject-cabundle=true$ oc annotate apiservice <api_service_name> \1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<api_service_name>을 주석을 달 API 서비스 이름으로 교체합니다.
예를 들어 API 서비스
test1에 주석을 달려면 다음 명령을 사용합니다.oc annotate apiservice test1 service.beta.openshift.io/inject-cabundle=true
$ oc annotate apiservice test1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow API 서비스를 보고 서비스 CA 번들이 삽입되었는지 확인합니다.
oc get apiservice <api_service_name> -o yaml
$ oc get apiservice <api_service_name> -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow CA 번들은 YAML 출력의
spec.caBundle필드에 표시됩니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3.5. 사용자 정의 리소스 정의에 서비스 CA 번들 추가
spec.conversion.webhook.clientConfig.caBundle 필드에 서비스 CA 번들이 입력되도록 CustomResourceDefinition(CRD) 오브젝트에 service.beta.openshift.io/inject-cabundle=true로 주석을 답니다. 그러면 쿠버네티스 API 서버가 대상 끝점을 보호하는 데 사용되는 서비스 CA 인증서의 유효성을 확인할 수 있습니다.
CRD가 변환에 웹 후크를 사용하도록 구성된 경우 서비스 CA 번들은 CRD에만 삽입됩니다. CRD의 웹 후크가 서비스 CA 인증서로 보안된 경우에만 서비스 CA 번들을 삽입하는 것이 유용합니다.
프로세스
service.beta.openshift.io/inject-cabundle=true로 CRD에 주석을 답니다.oc annotate crd <crd_name> \ service.beta.openshift.io/inject-cabundle=true$ oc annotate crd <crd_name> \1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<crd_name>을 주석을 달 CRD 이름으로 교체합니다.
예를 들어 CRD
test1에 주석을 달려면 다음 명령을 사용합니다.oc annotate crd test1 service.beta.openshift.io/inject-cabundle=true
$ oc annotate crd test1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow CRD를 보고 서비스 CA 번들이 삽입되었는지 확인합니다.
oc get crd <crd_name> -o yaml
$ oc get crd <crd_name> -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow CA 번들은 YAML 출력의
spec.conversion.webhook.clientConfig.caBundle필드에 표시됩니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3.6. 변경 웹 후크 구성에 서비스 CA 번들 추가
각 웹 후크의 clientConfig.caBundle 필드에 서비스 CA 번들이 입력되도록 service.beta.openshift.io/inject-cabundle=true로 MutatingWebhookConfiguration 오브젝트에 주석을 달 수 있습니다. 그러면 쿠버네티스 API 서버가 대상 끝점을 보호하는 데 사용되는 서비스 CA 인증서의 유효성을 확인할 수 있습니다.
웹 후크마다 다른 CA 번들을 지정해야 하는 승인 웹 후크 구성에는 이 주석을 설정하지 마십시오. 그러면 모든 웹 후크에 서비스 CA 번들이 삽입됩니다.
프로세스
service.beta.openshift.io/inject-cabundle=true로 변경 웹 후크 구성에 주석을 답니다.oc annotate mutatingwebhookconfigurations <mutating_webhook_name> \ service.beta.openshift.io/inject-cabundle=true$ oc annotate mutatingwebhookconfigurations <mutating_webhook_name> \1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<mutating_webhook_name>을 주석을 달 변경 웹 후크 구성 이름으로 교체합니다.
예를 들어 변경 웹 후크 구성
test1에 주석을 달려면 다음 명령을 사용합니다.oc annotate mutatingwebhookconfigurations test1 service.beta.openshift.io/inject-cabundle=true
$ oc annotate mutatingwebhookconfigurations test1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 변경 웹 후크 구성을 보고 서비스 CA 번들이 삽입되었는지 확인합니다.
oc get mutatingwebhookconfigurations <mutating_webhook_name> -o yaml
$ oc get mutatingwebhookconfigurations <mutating_webhook_name> -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow CA 번들은 YAML 출력에 있는 모든 웹 후크의
clientConfig.caBundle필드에 표시됩니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3.7. 검증 웹 후크 구성에 서비스 CA 번들 추가
각 웹 후크의 clientConfig.caBundle 필드에 서비스 CA 번들이 입력되도록 service.beta.openshift.io/inject-cabundle=true로 ValidatingWebhookConfiguration 오브젝트에 주석을 달 수 있습니다. 그러면 쿠버네티스 API 서버가 대상 끝점을 보호하는 데 사용되는 서비스 CA 인증서의 유효성을 확인할 수 있습니다.
웹 후크마다 다른 CA 번들을 지정해야 하는 승인 웹 후크 구성에는 이 주석을 설정하지 마십시오. 그러면 모든 웹 후크에 서비스 CA 번들이 삽입됩니다.
프로세스
service.beta.openshift.io/inject-cabundle=true로 검증 웹 후크 구성에 주석을 답니다.oc annotate validatingwebhookconfigurations <validating_webhook_name> \ service.beta.openshift.io/inject-cabundle=true$ oc annotate validatingwebhookconfigurations <validating_webhook_name> \1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<validating_webhook_name>을 주석을 달 검증 웹 후크 구성 이름으로 교체합니다.
예를 들어 검증 웹 후크 구성
test1에 주석을 달려면 다음 명령을 사용합니다.oc annotate validatingwebhookconfigurations test1 service.beta.openshift.io/inject-cabundle=true
$ oc annotate validatingwebhookconfigurations test1 service.beta.openshift.io/inject-cabundle=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 검증 웹 후크 구성을 보고 서비스 CA 번들이 삽입되었는지 확인합니다.
oc get validatingwebhookconfigurations <validating_webhook_name> -o yaml
$ oc get validatingwebhookconfigurations <validating_webhook_name> -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow CA 번들은 YAML 출력에 있는 모든 웹 후크의
clientConfig.caBundle필드에 표시됩니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3.8. 생성된 서비스 인증서를 직접 순환
관련 보안을 삭제하여 서비스 인증서를 순환할 수 있습니다. 보안을 삭제하면 새로운 보안이 자동으로 생성되어 새 인증서가 생성됩니다.
사전 요구 사항
- 인증서 및 키 쌍을 포함하는 보안이 서비스용으로 생성되어야 합니다.
프로세스
서비스를 검사하여 인증서가 포함된 보안을 판별합니다. 아래 표시된 대로
serving-cert-secret-name주석에 있습니다.oc describe service <service_name>
$ oc describe service <service_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
... service.beta.openshift.io/serving-cert-secret-name: <secret> ...
... service.beta.openshift.io/serving-cert-secret-name: <secret> ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스용으로 생성된 보안을 삭제합니다. 이 프로세스는 자동으로 보안을 재생성합니다.
oc delete secret <secret>
$ oc delete secret <secret>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<secret>을 이전 단계의 보안 이름으로 교체합니다.
새 보안을 확보하고
AGE를 검사하여 인증서가 다시 생성되었는지 확인합니다.oc get secret <service_name>
$ oc get secret <service_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME TYPE DATA AGE <service.name> kubernetes.io/tls 2 1s
NAME TYPE DATA AGE <service.name> kubernetes.io/tls 2 1sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3.9. 서비스 CA 인증서를 직접 순환
서비스 CA는 26개월 동안 유효하며 유효 기간이 13개월 미만으로 남아 있으면 자동으로 새로 고쳐집니다.
필요하면 다음 절차에 따라 서비스 CA를 직접 새로 고칠 수 있습니다.
수동으로 순환된 서비스 CA는 이전 서비스 CA와의 신뢰를 유지 관리하지 않습니다. 클러스터의 Pod가 다시 시작되어 Pod가 새 서비스 CA에서 발급한 서비스 제공 인증서를 사용하고 있는지 확인할 때까지 일시적으로 서비스 중단이 발생할 수 있습니다.
사전 요구 사항
- 클러스터 관리자로 로그인해야 합니다.
프로세스
다음 명령을 사용하여 현재 서비스 CA 인증서의 만료 날짜를 봅니다.
oc get secrets/signing-key -n openshift-service-ca \ -o template='{{index .data "tls.crt"}}' \ | base64 --decode \ | openssl x509 -noout -enddate$ oc get secrets/signing-key -n openshift-service-ca \ -o template='{{index .data "tls.crt"}}' \ | base64 --decode \ | openssl x509 -noout -enddateCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스 CA를 직접 순환합니다. 이 프로세스는 새로운 서비스 인증서에 서명하는 데 사용될 새로운 서비스 CA를 생성합니다.
oc delete secret/signing-key -n openshift-service-ca
$ oc delete secret/signing-key -n openshift-service-caCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 인증서를 모든 서비스에 적용하도록 클러스터의 모든 Pod를 다시 시작합니다. 이 명령을 실행하면 모든 서비스가 업데이트된 인증서를 사용합니다.
for I in $(oc get ns -o jsonpath='{range .items[*]} {.metadata.name}{"\n"} {end}'); \ do oc delete pods --all -n $I; \ sleep 1; \ done$ for I in $(oc get ns -o jsonpath='{range .items[*]} {.metadata.name}{"\n"} {end}'); \ do oc delete pods --all -n $I; \ sleep 1; \ doneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 주의이 명령은 모든 네임스페이스에서 실행 중인 모든 Pod를 대상으로 진행하고 삭제하므로 서비스가 중단됩니다. 이 Pod는 삭제 후 자동으로 다시 시작됩니다.
3.4. CA 번들 업데이트
3.4.1. CA 번들 인증서 이해
프록시 인증서를 사용하면 사용자는 플랫폼 구성 요소에서 송신 연결을 만들 때 사용되는 하나 이상의 사용자 정의 인증 기관(CA)을 지정할 수 있습니다.
Proxy 오브젝트의 trustedCA 필드는 사용자 제공 신뢰할 수 있는 인증 기관(CA) 번들을 포함하는 구성 맵에 대한 참조입니다. 이 번들은 Red Hat Enterprise Linux CoreOS(RHCOS) 신뢰 번들과 병합되어 HTTPS 송신 호출을 수행하는 플랫폼 구성 요소의 신뢰 저장소에 주입됩니다. 예를 들어 image-registry-operator에서 이미지를 다운로드하도록 외부 이미지 레지스트리를 호출합니다. trustedCA를 지정하지 않으면 프록시 HTTPS 연결에 RHCOS 신뢰 번들만 사용됩니다. 자체 인증서 인프라를 사용하려면 RHCOS 신뢰 번들에 사용자 정의 CA 인증서를 제공합니다.
trustedCA 필드는 프록시 유효성 검증기만 사용해야 합니다. 유효성 검증기를 통해서는 필수 키 ca-bundle.crt에서 인증서 번들을 읽고 openshift-config-managed 네임스페이스의 trusted-ca-bundle이라는 구성 맵에 복사해야 합니다. trustedCA에서 참조하는 구성 맵의 네임스페이스는 openshift-config입니다.
3.4.2. CA 번들 인증서 교체
프로세스
와일드카드 인증서에 서명하는 데 사용되는 루트 CA 인증서를 포함하는 구성 맵을 만듭니다.
oc create configmap custom-ca \ --from-file=ca-bundle.crt=</path/to/example-ca.crt> \ -n openshift-config$ oc create configmap custom-ca \ --from-file=ca-bundle.crt=</path/to/example-ca.crt> \1 -n openshift-configCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
</path/to/example-ca.crt>는로컬 파일 시스템의 CA 인증서 번들에 대한 경로입니다.
새로 생성된 구성 맵으로 클러스터 전체 프록시 구성을 업데이트합니다.
oc patch proxy/cluster \ --type=merge \ --patch='{"spec":{"trustedCA":{"name":"custom-ca"}}}'$ oc patch proxy/cluster \ --type=merge \ --patch='{"spec":{"trustedCA":{"name":"custom-ca"}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
4장. 인증서 유형 및 설명
4.1. API 서버의 사용자 제공 인증서
4.1.1. 목적
API 서버는 api.<cluster_name>.<base_domain>에서 클러스터 외부의 클라이언트가 액세스할 수 있습니다. 클라이언트가 다른 호스트 이름으로 또는 클러스터 관리 인증 기관(CA) 인증서를 클라이언트에 배포하지 않고 API 서버에 액세스하게 합니다. 관리자는 콘텐츠를 제공할 때 API 서버가 사용할 사용자 정의 기본 인증서를 설정해야 합니다.
4.1.2. 위치
사용자 제공 인증서는 openshift-config 네임스페이스에 kubernetes.io/tls 유형 Secret으로 제공되어야 합니다. API 서버 클러스터 구성인 apiserver/cluster 리소스를 업데이트하여 사용자 제공 인증서를 사용할 수 있게 합니다.
4.1.3. 관리
사용자 제공 인증서는 사용자가 관리합니다.
4.1.4. 만료
API 서버 클라이언트 인증서가 5분 내에 만료됩니다.
사용자 제공 인증서는 사용자가 관리합니다.
4.1.5. 사용자 정의
필요에 따라 사용자 관리 인증서가 포함된 보안을 업데이트합니다.
4.2. 프록시 인증서
4.2.1. 목적
프록시 인증서를 사용하면 송신 연결을 만들 때 플랫폼 구성요소에서 사용하는 하나 이상의 사용자 정의 인증 기관(CA) 인증서를 지정할 수 있습니다.
Proxy 오브젝트의 trustedCA 필드는 사용자 제공 신뢰할 수 있는 인증 기관(CA) 번들을 포함하는 구성 맵에 대한 참조입니다. 이 번들은 Red Hat Enterprise Linux CoreOS(RHCOS) 신뢰 번들과 병합되어 HTTPS 송신 호출을 수행하는 플랫폼 구성 요소의 신뢰 저장소에 주입됩니다. 예를 들어 image-registry-operator에서 이미지를 다운로드하도록 외부 이미지 레지스트리를 호출합니다. trustedCA를 지정하지 않으면 프록시 HTTPS 연결에 RHCOS 신뢰 번들만 사용됩니다. 자체 인증서 인프라를 사용하려면 RHCOS 신뢰 번들에 사용자 정의 CA 인증서를 제공합니다.
trustedCA 필드는 프록시 유효성 검증기만 사용해야 합니다. 유효성 검증기를 통해서는 필수 키 ca-bundle.crt에서 인증서 번들을 읽고 openshift-config-managed 네임스페이스의 trusted-ca-bundle이라는 구성 맵에 복사해야 합니다. trustedCA에서 참조하는 구성 맵의 네임스페이스는 openshift-config입니다.
4.2.2. 설치 중 프록시 인증서 관리
설치 프로그램 구성의 additionalTrustBundle 값은 설치 중 프록시 신뢰 CA 인증서를 지정하는 데 사용됩니다. 예를 들면 다음과 같습니다.
cat install-config.yaml
$ cat install-config.yaml출력 예
4.2.3. 위치
사용자 제공 신뢰 번들은 구성 맵으로 표시됩니다. 구성 맵은 송신 HTTPS 호출을 수행하는 플랫폼 구성 요소의 파일 시스템에 마운트됩니다. 일반적으로 Operator는 구성 맵을 /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem에 마운트하지만 프록시에는 필요하지 않습니다. 프록시는 HTTPS 연결을 수정하거나 검사할 수 있습니다. 두 경우 모두 프록시는 연결을 위해 새 인증서를 생성하고 서명해야 합니다.
완전한 프록시 지원이란 지정된 프록시에 연결하고 생성된 서명을 신뢰한다는 의미입니다. 따라서 사용자가 신뢰할 수 있는 루트를 지정하고 이 신뢰할 수 있는 루트에 연결된 인증서 체인도 신뢰할 수 있게 해야 합니다.
RHCOS 신뢰 번들을 사용하는 경우 CA 인증서를 /etc/pki/ca-trust/source/anchors 에 저장합니다. 자세한 내용은 Red Hat Enterprise Linux(RHEL) 네트워크 보안 문서에서 공유 시스템 인증서 사용을 참조하세요.
4.2.4. 만료
사용자가 사용자 제공 신뢰 번들의 만료 기간을 설정합니다.
기본 만료 기간은 CA 인증서 자체를 통해 정의됩니다. OpenShift Container Platform 또는 RHCOS에서 사용하기 전에 인증서에 맞게 기본 만료 기간을 구성하는 것은 CA 관리자의 책임입니다.
Red Hat에서는 CA 만료 시점을 모니터링하지 않습니다. 그러나 CA의 수명이 길기 때문에 일반적으로 문제가 되지 않습니다. 그러나 신뢰 번들을 정기적으로 업데이트해야 할 수도 있습니다.
4.2.5. 서비스
기본적으로 송신 HTTPS 호출을 수행하는 모든 플랫폼 구성요소에서는 RHCOS 신뢰 번들을 사용합니다. trustedCA가 정의된 경우에도 사용됩니다.
RHCOS 노드에서 실행 중인 모든 서비스는 노드의 신뢰 번들을 사용할 수 있습니다.
4.2.6. 관리
이러한 인증서는 사용자가 아닌 시스템에서 관리합니다.
4.2.7. 사용자 정의
사용자 제공 신뢰 번들 업데이트는 다음 중 하나로 구성됩니다.
-
trustedCA에서 참조하는 구성 맵에서 PEM 인코딩 인증서 업데이트 -
새 신뢰 번들이 포함된 네임스페이스
openshift-config에 구성 맵을 생성하고 새 구성 맵 이름을 참조하도록trustedCA업데이트
RHCOS 신뢰 번들에 CA 인증서를 작성하는 메커니즘은 다른 파일을 RHCOS에 작성하는 방법과 같습니다. 이 방법은 머신 구성을 사용하여 수행됩니다. 머신 구성 운영자(MCO)가 새로운 CA 인증서가 포함된 새로운 머신 구성을 적용하면, 나중에 update-ca-trust 프로그램을 실행하고 RHCOS 노드에서 CRI-O 서비스를 다시 시작합니다. 이번 업데이트에서는 노드를 재부팅할 필요가 없습니다. CRI-O 서비스를 다시 시작하면 신뢰 번들이 새 CA 인증서로 자동 업데이트됩니다. 예를 들면 다음과 같습니다.
머신의 신뢰 저장소는 노드의 신뢰 저장소 업데이트도 지원해야 합니다.
4.2.8. 갱신
RHCOS 노드에서 인증서를 자동 갱신할 수 있는 Operator가 없습니다.
Red Hat에서는 CA 만료 시점을 모니터링하지 않습니다. 그러나 CA의 수명이 길기 때문에 일반적으로 문제가 되지 않습니다. 그러나 신뢰 번들을 정기적으로 업데이트해야 할 수도 있습니다.
4.3. 서비스 CA 인증서
4.3.1. 목적
service-ca는 OpenShift Container Platform 클러스터가 배포될 때 자체 서명된 CA를 만드는 Operator입니다.
4.3.2. 만료
사용자 정의 기간은 지원되지 않습니다. 자체 서명된 CA는 tls.crt(인증서), tls.key(개인 키) 및 ca-bundle.crt(CA 번들)의 규정된 이름 service-ca/signing-key로 보안에 저장됩니다.
다른 서비스에서는 service.beta.openshift.io/serving-cert-secret-name: <secret name>으로 서비스 리소스에 주석을 달아 서비스 제공 인증서를 요청할 수 있습니다. 이에 응답하여 Operator는 이름 지정된 보안에 대한 tls.crt로 새 인증서를, tls.key로 개인 키를 생성합니다. 이 인증서는 2년간 유효합니다.
다른 서비스에서는 서비스 CA에서 생성된 인증서의 검증을 지원하기 위해 service.beta.openshift.io/inject-cabundle: true로 주석을 달아 서비스 CA의 CA 번들을 API 서비스 또는 구성 맵 리소스에 삽입하도록 요청할 수 있습니다. 이에 응답하여 Operator는 현재 CA 번들을 API 서비스의 CABundle 필드에 쓰거나 service-ca.crt로 구성 맵에 씁니다.
OpenShift Container Platform 4.3.5부터 자동 순환이 지원되며 일부 4.2.z 및 4.3.z 릴리스로 백포트됩니다. 자동 순환을 지원하는 모든 릴리스에서 서비스 CA는 26개월 동안 유효하며 유효 기간이 13개월 미만으로 남아 있으면 자동으로 새로 고칩니다. 필요하면 서비스 CA를 직접 새로 고칠 수 있습니다.
26개월의 서비스 CA 만료 기간은 지원되는 OpenShift Container Platform 클러스터에 대한 업그레이드 예상 간격보다 길기 때문에 서비스 CA 인증서의 비컨트롤 플레인 소비자의 CA는 CA 순환 후와 순환 전 CA 만료 전에 새로 고칩니다.
수동으로 순환된 서비스 CA는 이전 서비스 CA와의 신뢰를 유지 관리하지 않습니다. 클러스터의 Pod가 다시 시작되어 Pod가 새 서비스 CA에서 발급한 서비스 제공 인증서를 사용하고 있는지 확인할 때까지 일시적으로 서비스 중단이 발생할 수 있습니다.
4.3.3. 관리
이러한 인증서는 사용자가 아닌 시스템에서 관리합니다.
4.3.4. 서비스
서비스 CA 인증서를 사용하는 서비스는 다음과 같습니다.
- cluster-autoscaler-operator
- cluster-monitoring-operator
- cluster-authentication-operator
- cluster-image-registry-operator
- cluster-ingress-operator
- cluster-kube-apiserver-operator
- cluster-kube-controller-manager-operator
- cluster-kube-scheduler-operator
- cluster-networking-operator
- cluster-openshift-apiserver-operator
- cluster-openshift-controller-manager-operator
- cluster-samples-operator
- cluster-storage-operator
- machine-config-operator
- console-operator
- insights-operator
- machine-api-operator
- operator-lifecycle-manager
- CSI 운전자 운영자
이것은 포괄적인 목록이 아닙니다.
4.4. 노드 인증서
4.4.1. 목적
노드 인증서는 클러스터에서 서명되며, 이를 통해 kubelet이 Kubernetes API 서버와 통신할 수 있습니다. 이는 부트스트랩 프로세스에서 생성된 kubelet CA 인증서에서 제공됩니다.
4.4.2. 위치
kubelet CA 인증서는 openshift-kube-apiserver-operator 네임스페이스의 kube-apiserver-to-kubelet-signer 비밀에 있습니다.
4.4.3. 관리
이러한 인증서는 사용자가 아닌 시스템에서 관리합니다.
4.4.4. 만료
노드 인증서는 30일 후에 자동으로 교체됩니다.
4.4.5. 갱신
Kubernetes API 서버 운영자는 292일마다 새로운 kube-apiserver-to-kubelet-signer CA 인증서를 자동으로 생성합니다. 이전 CA 인증서는 365일 후에 제거됩니다. kubelet CA 인증서가 갱신되거나 제거되어도 노드는 재부팅되지 않습니다.
클러스터 관리자는 다음 명령을 실행하여 kubelet CA 인증서를 수동으로 갱신할 수 있습니다.
oc annotate -n openshift-kube-apiserver-operator secret kube-apiserver-to-kubelet-signer auth.openshift.io/certificate-not-after-
$ oc annotate -n openshift-kube-apiserver-operator secret kube-apiserver-to-kubelet-signer auth.openshift.io/certificate-not-after-4.5. 부트스트랩 인증서
4.5.1. 목적
OpenShift Container Platform 4 이상에서 kubelet은 /etc/kubernetes/kubeconfig에 있는 부트스트랩 인증서를 사용하여 처음에 부트스트랩합니다. 이어서 부트스트랩 초기화 프로세스 와 kubelet의 CSR 생성 권한 부여가 이어집니다.
이 과정에서 kubelet은 부트스트랩 채널을 통해 통신하면서 CSR을 생성합니다. 컨트롤러 관리자는 CSR에 서명하여 kubelet을 통해 관리하는 인증서를 생성합니다.
4.5.2. 관리
이러한 인증서는 사용자가 아닌 시스템에서 관리합니다.
4.5.3. 만료
이 부트스트랩 인증서는 10년 동안 유효합니다.
kubelet 관리형 인증서는 1년 동안 유효하며 1년 중 80% 정도되는 시점에 자동으로 순환됩니다.
OpenShift Lifecycle Manager(OLM)는 부트스트랩 인증서를 업데이트하지 않습니다.
4.5.4. 사용자 정의
부트스트랩 인증서를 사용자 정의할 수 없습니다.
4.6. etcd 인증서
4.6.1. 목적
etcd 인증서는 etcd-signer를 통해 서명합니다. 노드 인증서는 부트스트랩 프로세스를 통해 생성된 인증 기관(CA)에서 제공합니다.
4.6.2. 만료
CA 인증서는 10년 동안 유효합니다. 피어, 클라이언트 및 서버 인증서는 3년간 유효합니다.
4.6.3. etcd 인증서 회전
etcd 인증서는 etcd 클러스터 운영자를 사용하여 자동으로 순환됩니다. 하지만 인증서가 자동으로 회전되기 전에 먼저 회전해야 하는 경우 수동으로 회전할 수 있습니다.
프로세스
다음 명령을 실행하여 현재 서명자 인증서의 백업 사본을 만듭니다.
oc get secret -n openshift-etcd etcd-signer -oyaml > signer_backup_secret.yaml
$ oc get secret -n openshift-etcd etcd-signer -oyaml > signer_backup_secret.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 기존 서명자 인증서를 삭제합니다.
oc delete secret -n openshift-etcd etcd-signer
$ oc delete secret -n openshift-etcd etcd-signerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 정적 포드가 롤아웃될 때까지 기다리세요. 정적 포드 롤아웃을 완료하는 데 몇 분이 걸릴 수 있습니다.
oc wait --for=condition=Progressing=False --timeout=15m clusteroperator/etcd
$ oc wait --for=condition=Progressing=False --timeout=15m clusteroperator/etcdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.6.4. 번들에서 사용하지 않는 인증 기관 제거
수동 회전을 수행해도 이전 서명자 인증서의 공개 키를 제거하기 위해 신뢰 번들을 즉시 업데이트하지 않습니다.
서명자 인증서의 공개 키는 만료일에 제거되지만, 만료되기 전에 공개 키를 제거해야 하는 경우 해당 키를 삭제할 수 있습니다.
프로세스
다음 명령을 실행하여 키를 삭제합니다.
oc delete configmap -n openshift-etcd etcd-ca-bundle
$ oc delete configmap -n openshift-etcd etcd-ca-bundleCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 정적 Pod 롤아웃을 기다리세요. 번들은 현재 서명자 인증서로 다시 생성되고 알 수 없거나 사용되지 않는 모든 키는 삭제됩니다.
oc adm wait-for-stable-cluster --minimum-stable-period 2m
$ oc adm wait-for-stable-cluster --minimum-stable-period 2mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.6.5. etcd 인증서 회전 알림 및 메트릭 서명자 인증서
두 가지 알림은 사용자에게 보류 중인 etcd 인증서 만료에 대해 알립니다.
etcdSignerCAExpirationWarning- 서명자가 만료되기까지 730일이 걸립니다.
etcdSignerCAExpirationCritical- 서명자가 만료될 때까지 365일 동안 발생합니다.
이러한 알림은 openshift-etcd 네임스페이스의 서명자 인증 기관의 만료 날짜를 추적합니다.
인증서를 회전할 수 있는 이유는 다음과 같습니다.
- 만료 알림을 받습니다.
- 개인키가 유출되었습니다.
개인 키가 유출되면 모든 인증서를 교체해야 합니다.
OpenShift Container Platform 메트릭 시스템에는 etcd 서명자가 있습니다. 다음 메트릭 매개변수를 etcd 인증서 순환 에 대체합니다.
-
etcd-signer대신etcd-metric-signer -
etcd-ca-bundle대신etcd-metrics-ca-bundle
4.6.6. 관리
이러한 인증서는 시스템에서만 관리되며 자동으로 교체됩니다.
4.6.7. 서비스
etcd 인증서는 etcd 멤버 피어 간 암호화된 통신과 암호화된 클라이언트 트래픽에 사용됩니다. 다음 인증서는 etcd 및 etcd와 통신하는 다른 프로세스를 통해 생성되고 사용됩니다.
- 피어 인증서: etcd 멤버 간의 통신에 사용됩니다.
-
클라이언트 인증서: 암호화된 서버-클라이언트 통신에 사용됩니다. 클라이언트 인증서는 현재 API 서버에서만 사용되며 프록시를 제외한 다른 서비스는 etcd에 직접 연결하지 않아야 합니다. 클라이언트 비밀(
etcd-client,etcd-metric-client,etcd-metric-signer및etcd-signer)이openshift-config,openshift-etcd,openshift-etcd-operator및openshift-kube-apiserver네임스페이스에 추가됩니다. - 서버 인증서: etcd 서버가 클라이언트 요청을 인증하는 데 사용합니다.
- 지표 인증서: 모든 지표 소비자는 지표 클라이언트 인증서를 사용하여 프록시에 연결합니다.
4.7. OLM 인증서
4.7.1. 관리
Operator Lifecycle Manager(OLM) 구성 요소( olm-operator , catalog-operator , packageserver , marketplace-operator )에 대한 모든 인증서는 시스템에서 관리됩니다.
CSV(ClusterServiceVersion) 개체에 Webhook 또는 API 서비스가 포함된 Operator를 설치하면 OLM이 이러한 리소스의 인증서를 생성하고 회전합니다. openshift-operator-lifecycle-manager 네임스페이스의 리소스의 인증서는 OLM에서 관리합니다.
OLM은 프록시 환경에서 관리하는 Operator의 인증서를 업데이트하지 않습니다. 이러한 인증서는 서브스크립션 구성을 통해 사용자가 관리해야 합니다.
4.8. 집계된 API 클라이언트 인증서
4.8.1. 목적
집계된 API 클라이언트 인증서는 집계된 API 서버에 연결할 때 KubeAPIServer를 인증하는 데 사용됩니다.
4.8.2. 관리
이러한 인증서는 사용자가 아닌 시스템에서 관리합니다.
4.8.3. 만료
이 CA는 30일 동안 유효합니다.
관리형 클라이언트 인증서는 30일 동안 유효합니다.
CA 및 클라이언트 인증서는 컨트롤러를 사용하여 자동으로 순환됩니다.
4.8.4. 사용자 정의
집계된 API 서버 인증서를 사용자 지정할 수 없습니다.
4.9. 머신 구성 운영자 인증서
4.9.1. 목적
이 인증 기관은 초기 프로비저닝 중에 노드에서 MCS(Machine Config Server)로의 연결을 보호하는 데 사용됩니다.
인증서는 두 가지가 있습니다.
-
자체 서명된 CA,
machine-config-server-ca구성 맵(MCS CA) -
파생된 인증서,
machine-config-server-tls비밀(MCS 인증서)
4.9.1.1. 프로비저닝 세부 정보
Red Hat Enterprise Linux CoreOS(RHCOS)를 사용하는 OpenShift Container Platform 설치는 Ignition을 사용하여 설치됩니다. 이 과정은 두 부분으로 나뉩니다.
- MCS에서 제공하는 전체 구성에 대한 URL을 참조하는 Ignition 구성이 생성됩니다.
-
사용자 제공 인프라 설치 방법의 경우 Ignition 구성은
openshift-install명령으로 생성된worker.ign파일로 나타납니다. Machine API Operator를 사용하는 설치 프로그램 제공 인프라 설치 방법의 경우 이 구성은worker-user-data비밀로 나타납니다.
현재로선 머신 구성 서버 엔드포인트를 차단하거나 제한하는 지원되는 방법은 없습니다. 새로 프로비저닝된 머신(기존 구성이나 상태가 없음)이 구성을 가져올 수 있도록 머신 구성 서버를 네트워크에 노출해야 합니다. 이 모델에서 신뢰의 루트는 인증서 서명 요청(CSR) 엔드포인트입니다. 이는 kubelet이 클러스터에 가입하기 위한 승인을 위해 인증서 서명 요청을 보내는 위치입니다. 이러한 이유로, 비밀 및 인증서와 같은 민감한 정보를 배포하는 데 머신 구성을 사용해서는 안 됩니다.
베어 메탈 시나리오에서 머신 구성 서버 엔드포인트인 포트 22623 및 22624가 보호되도록 하려면 고객이 적절한 네트워크 정책을 구성해야 합니다.
4.9.1.2. 신뢰의 프로비저닝 체인
MCS CA는 security.tls.certificateAuthorities 구성 필드 아래의 Ignition 구성에 삽입됩니다. 그러면 MCS는 웹 서버에서 제시한 MCS 인증서를 사용하여 완전한 구성을 제공합니다.
클라이언트는 서버가 제시한 MCS 인증서가 인식하는 기관에 대한 신뢰 체인을 가지고 있는지 검증합니다. 이 경우 MCS CA가 해당 기관이며 MCS 인증서에 서명합니다. 이렇게 하면 클라이언트가 올바른 서버에 액세스하고 있는지 확인할 수 있습니다. 이 경우 클라이언트는 initramfs의 머신에서 실행되는 Ignition입니다.
4.9.1.3. 클러스터 내부의 주요 자료
다음 객체는 openshift-machine-config-operator 네임스페이스에 저장됩니다.
-
MCS CA 번들은
machine-config-server-ca구성 맵으로 저장됩니다. MCS CA 번들은MachineConfigServerTLS 인증서에 대한 모든 유효한 CA를 저장합니다. -
MCS CA 서명 키는
machine-config-server-ca비밀로 저장됩니다. MCS CA 서명 키는MachineConfigServerTLS 인증서에 서명하는 데 사용됩니다. -
MCS 인증서는
MachineConfigServerTLS 인증서와 키가 포함된machine-config-server-tls비밀로 저장됩니다.
machine-config-server-ca 구성 맵은 다음과 같은 방식으로 사용됩니다.
-
인증서 컨트롤러는
machine-config-server-caconfigmap이 업데이트될 때마다openshift-machine-api네임스페이스의*-user-data비밀을 업데이트합니다. -
Machine Config Operator는
machine-config-server-caconfigmap에서master-user-data-managed및worker-user-data-managed비밀을 렌더링합니다.
4.9.2. 관리
현재 이러한 인증서를 직접 수정하는 것은 지원되지 않습니다.
4.9.3. 만료
MCS CA와 MCS 인증서는 10년 동안 유효하며, MCO는 8년마다 자동으로 교체합니다.
발급된 제공 인증서는 10년 동안 유효합니다.
4.9.4. 사용자 정의
Machine Config Operator 인증서를 사용자 정의할 수 없습니다.
4.10. 기본 수신을 위한 사용자 제공 인증서
4.10.1. 목적
애플리케이션은 일반적으로 <route_name>.apps.<cluster_name>.<base_domain>에서 노출됩니다. <cluster_name> 및 <base_domain>은 설치 구성 파일에서 가져옵니다. <route_name>은 경로가 지정된 경우 경로의 호스트 필드이거나 경로 이름입니다. 예를 들면 hello-openshift-default.apps.username.devcluster.openshift.com입니다. hello-openshift는 경로의 이름이고 경로는 기본 네임스페이스에 있습니다. 클러스터 관리 CA 인증서를 클라이언트에 배포할 필요없이 클라이언트가 애플리케이션에 액세스하게 합니다. 애플리케이션 콘텐츠를 제공할 때 관리자는 사용자 정의 기본 인증서를 설정해야 합니다.
사용자가 사용자 정의 기본 인증서를 구성할 때까지 Ingress Operator가 자리 표시자로 사용될 Ingress Controller의 기본 인증서를 생성합니다. 프로덕션 클러스터에서는 operator가 생성한 기본 인증서를 사용하지 마십시오.
4.10.2. 위치
사용자 제공 인증서는 openshift-ingress 네임스페이스에 tls 유형 Secret 리소스로 제공되어야 합니다. 사용자 제공 인증서를 사용할 수 있도록 openshift-ingress-operator 네임스페이스에서 IngressController CR을 업데이트합니다. 이 프로세스에 대한 자세한 내용은 사용자 지정 기본 인증서 설정을 참조하세요.
4.10.3. 관리
사용자 제공 인증서는 사용자가 관리합니다.
4.10.4. 만료
사용자 제공 인증서는 사용자가 관리합니다.
4.10.5. 서비스
클러스터에 배포된 애플리케이션에서는 기본 수신에 사용자 제공 인증서를 사용합니다.
4.10.6. 사용자 정의
필요에 따라 사용자 관리 인증서가 포함된 보안을 업데이트합니다.
4.11. 수신 인증서
4.11.1. 목적
Ingress Operator에서는 다음을 위해 인증서를 사용합니다.
- Prometheus의 지표에 대한 액세스 보안
- 경로에 대한 액세스 보안
4.11.2. 위치
Ingress Operator 및 Ingress Controller 지표에 대한 액세스를 보호하기 위해 Ingress Operator에서는 서비스 제공 인증서를 사용합니다. Operator가 service-ca 컨트롤러에서 고유 지표에 맞는 인증서를 요청하고, service-ca 컨트롤러가 metrics-tls라는 보안의 인증서를 openshift-ingress-operator 네임스페이스에 둡니다. 또한 Ingress Operator에서 각 Ingress Controller의 인증서를 요청하고 service-ca 컨트롤러에서 router-metrics-certs-<name>라는 보안에 인증서를 넣습니다. 여기서 <name>은 openshift-ingress 네임스페이스의 Ingress Controller의 이름입니다.
각 Ingress Controller에는 고유 인증서를 지정하지 않는 보안 경로에 사용하는 기본 인증서가 있습니다. 사용자 정의 인증서를 지정하지 않으면 Operator에서 기본적으로 자체 서명된 인증서를 사용합니다. Operator는 자체 서명된 서명 인증서를 사용하여 생성하는 기본 인증서에 서명합니다. Operator는 이 서명 인증서를 생성하여 openshift-ingress-operator 네임스페이스의 router-ca라는 보안에 둡니다. Operator가 기본 인증서를 생성하고 openshift-ingress 네임스페이스의 router-certs-<name>라는 보안에 기본 인증서를 둡니다(여기서 <name>은 Ingress Controller의 이름임).
사용자가 사용자 정의 기본 인증서를 구성할 때까지 Ingress Operator가 자리 표시자로 사용될 Ingress Controller의 기본 인증서를 생성합니다. 프로덕션 클러스터에서는 operator가 생성한 기본 인증서를 사용하지 마십시오.
4.11.3. 워크플로
그림 4.1. 사용자 정의 인증서 워크플로
그림 4.2. 기본 인증서 워크플로
defaultCertificate 필드가 비어 있으면 Ingress Operator에서 자체 서명된 CA를 사용하여 지정된 도메인의 제공 인증서를 생성합니다.
Ingress Operator에서 생성한 기본 CA 인증서 및 키. Operator 생성 기본 제공 인증서에 서명하는 데 사용합니다.
기본 워크플로에서는 Ingress Operator가 작성하고 생성된 기본 CA 인증서를 사용하여 서명한 와일드카드 기본 제공 인증서입니다. 사용자 정의 워크플로에서 이 인증서는 사용자 제공 인증서입니다.
라우터 배포. secrets/router-certs-default의 인증서를 기본 프론트 엔드 서버 인증서로 사용합니다.
기본 워크플로에서 와일드카드 기본 제공 인증서(공용 및 개인용 부분)의 콘텐츠가 여기에 복사되므로 OAuth 통합이 가능합니다. 사용자 정의 워크플로에서 이 인증서는 사용자 제공 인증서입니다.
기본 제공 인증서의 공용(인증서) 부분입니다. configmaps/router-ca 리소스를 교체합니다.
사용자는 ingresscontroller 제공 인증서에 서명한 CA 인증서로 클러스터 프록시 구성을 업데이트합니다. 그러면 auth, console 및 레지스트리와 같은 구성요소가 제공 인증서를 신뢰할 수 있습니다.
Red Hat Enterprise Linux CoreOS(RHCOS)와 사용자가 제공한 CA 번들을 결합한 클러스터 전체 신뢰 CA 번들 또는 사용자 번들이 제공되지 않으면 RHCOS 전용 번들입니다.
사용자 정의 인증서로 구성된 ingresscontroller를 신뢰하도록 다르 구성요소(예: auth 및 console)에 지시하는 사용자 정의 CA 인증서 번들입니다.
trustedCA 필드는 사용자 제공 CA 번들을 참조하는 데 사용됩니다.
Cluster Network Operator에서 신뢰할 수 있는 CA 번들을 proxy-ca 구성 맵에 삽입합니다.
OpenShift Container Platform 4.19 이상에서는 default-ingress-cert를 사용합니다.
4.11.4. 만료
Ingress Operator 인증서의 만료 기간은 다음과 같습니다.
-
service-ca컨트롤러가 생성하는 메트릭 인증서의 만료 날짜는 생성일로부터 2년입니다. - Operator 서명 인증서의 만료 날짜는 생성일로부터 2년입니다.
- Operator가 생성하는 기본 인증서의 만료 날짜는 생성일로부터 2년입니다.
Ingress Operator 또는 service-ca 컨트롤러에서 생성하는 인증서에 사용자 정의 만료 기간을 지정할 수 없습니다.
Ingress Operator 또는 Service-CA 컨트롤러가 생성하는 인증서에 맞게 OpenShift Container Platform을 설치하면 만료 조건을 지정할 수 없습니다.
4.11.5. 서비스
Prometheus에서는 메트릭을 보호하는 인증서를 사용합니다.
Ingress Operator에서는 서명 인증서를 사용하여 사용자 정의 기본 인증서를 설정하지 않은 Ingress Controller용으로 생성한 기본 인증서에 서명합니다.
보안 경로를 사용하는 클러스터 구성요소는 기본 Ingress Controller의 기본 인증서를 사용할 수 있습니다.
보안 경로를 통해 클러스터로 수신할 때는 경로에서 고유 인증서를 지정하지 않는 한 경로에 액세스하는 Ingress Controller의 기본 인증서를 사용합니다.
4.11.6. 관리
수신 인증서는 사용자가 관리합니다. 자세한 내용은 기본 수신 인증서 교체를 참조하세요.
4.11.7. 갱신
service-ca 컨트롤러에서는 발급한 인증서가 자동으로 순환됩니다. 그러나 oc delete secret <secret>을 사용하여 서비스 제공 인증서를 직접 순환할 수 있습니다.
Ingress Operator에서는 자체 서명 인증서 또는 생성된 기본 인증서가 순환되지 않습니다. Operator가 생성한 기본 인증서는 구성하는 사용자 정의 기본 인증서의 자리 표시자로 사용됩니다.
4.12. 모니터링 및 OpenShift Logging Operator 구성요소 인증서
4.12.1. 만료
모니터링 구성요소는 서비스 CA 인증서로 트래픽을 보호합니다. 이 인증서는 2년 동안 유효하며 서비스 CA 순환 시 13개월마다 자동으로 교체됩니다.
인증서가 openshift-monitoring 또는 openshift-logging 네임스페이스에 있으면 시스템 관리 및 순환이 자동으로 이루어집니다.
4.12.2. 관리
이러한 인증서는 사용자가 아닌 시스템에서 관리합니다.
4.13. 컨트롤 플레인 인증서
4.13.1. 위치
컨트롤 플레인 인증서는 다음 네임스페이스에 포함되어 있습니다.
- openshift-config-managed
- openshift-kube-apiserver
- openshift-kube-apiserver-operator
- openshift-kube-controller-manager
- openshift-kube-controller-manager-operator
- openshift-kube-scheduler
4.13.2. 관리
컨트롤 플레인 인증서는 시스템에서 관리하고 자동으로 순환됩니다.
제어 평면 인증서가 만료된 드문 경우에는 만료된 제어 평면 인증서에서 복구를 참조하세요.
5장. Compliance Operator
5.1. 규정 준수 운영자 개요
OpenShift 컨테이너 플랫폼 규정 준수 운영자는 다양한 기술 구현에 대한 검사를 자동화하여 사용자를 지원하고 이를 업계 표준, 벤치마크 및 기준선의 특정 측면과 비교합니다. 규정 준수 운영자는 감사자가 아닙니다. 이러한 다양한 표준을 준수하거나 인증을 받으려면 QSA(Qualified Security Assessor), JAB(Joint Authorization Board) 또는 기타 업계에서 인정하는 규제 기관과 같은 공인 감사 기관을 고용하여 환경을 평가해야 합니다.
규정 준수 담당자는 이러한 표준에 관해 일반적으로 이용 가능한 정보와 관행을 바탕으로 권장 사항을 제시하고 시정 조치를 도울 수 있지만, 실제 규정 준수는 귀하의 책임입니다. 표준을 준수하려면 공인 감사원과 협력해야 합니다. 최신 업데이트 내용은 Compliance Operator 릴리스 노트를 참조하세요. 모든 Red Hat 제품의 규정 준수 지원에 대한 자세한 내용은 제품 규정 준수를 참조하세요.
5.1.1. 규정 준수 운영자 개념
5.1.2. 규정 준수 운영자 관리
5.1.3. 규정 준수 운영자 스캔 관리
5.2. Compliance Operator 릴리스 정보
OpenShift Container Platform 관리자는 Compliance Operator를 통해 클러스터의 필수 규정 준수 상태를 설명하고 격차에 대한 개요와 문제를 해결하는 방법을 제공할 수 있습니다.
이 릴리스 노트는 OpenShift Container Platform의 Compliance Operator 개발을 추적합니다.
규정 준수 운영자에 대한 개요는 규정 준수 운영자 이해를 참조하세요.
최신 릴리스에 액세스하려면 규정 준수 운영자 업데이트를 참조하세요.
모든 Red Hat 제품의 규정 준수 지원에 대한 자세한 내용은 제품 규정 준수를 참조하세요.
5.2.1. OpenShift Compliance Operator 1.7.1
다음 권고 사항은 OpenShift Compliance Operator 1.7.1에 대해 제공됩니다.
5.2.1.1. 버그 수정
-
이전에는 메모리 부족(OOMKilled)으로 인해 Compliance Operator의
일시 중지컨테이너가 종료될 수 있었습니다. 이 업데이트를 통해 오류를 방지하고 전반적인 안정성을 향상시키기 위해일시 중지컨테이너의 메모리 한도가 늘어났습니다. ( OCPBUGS-50924 )
5.2.2. OpenShift Compliance Operator 1.7.0
다음 권고 사항은 OpenShift Compliance Operator 1.7.0에 대해 제공됩니다.
5.2.2.1. 새로운 기능 및 개선 사항
-
aarch64,x86,ppc64le및s390x아키텍처에 설치된 Compliance Operator에 대한필수 수집확장 기능이 이제 제공됩니다.필수 수집도구는 Red Hat 고객 지원 및 엔지니어링에 중요한 구성 세부 정보를 제공합니다. 자세한 내용은 Compliance Operator를 위한 must-gather 도구 사용을 참조하세요. - CIS 벤치마크 지원이 Compliance Operator 1.7.0에 추가되었습니다. 지원되는 프로필은 CIS OpenShift Benchmark 1.7.0입니다. 자세한 내용은 ( CMP-3081 )을 참조하세요.
-
Compliance Operator는 이제 CIS OpenShift Benchmark 1.7.0 및 FedRAMP Moderate Revision 4의
aarch64아키텍처에서 지원됩니다. 자세한 내용은 ( CMP-2960 )을 참조하세요. - Compliance Operator 1.7.0은 이제 OpenShift 및 RHCOS에 대한 OpenShift DISA STIG V2R2 프로필을 지원합니다. 자세한 내용은 ( CMP-3142 )를 참조하세요.
- Compliance Operator 1.7.0은 이제 CIS 1.4 프로필, CIS 1.5 프로필, DISA STIG V1R1 프로필, DISA STIG V2R1 프로필 등 오래되고 지원되지 않는 프로필 버전의 지원 중단을 지원합니다. 자세한 내용은 ( CMP-3149 )를 참조하세요.
- 이번 Compliance Operator 1.7.0 릴리스에서는 기존 CIS 및 DISA STIG 프로필이 더 이상 지원되지 않으므로, Compliance Operator 1.8.0이 출시되면 이러한 기존 프로필은 더 이상 지원되지 않습니다. 자세한 내용은 ( CMP-3284 )를 참조하세요.
- 이번 Compliance Operator 1.7.0 릴리스에서는 OpenShift에 대한 BSI 프로필 지원이 추가되었습니다. 자세한 내용은 KCS 문서 BSI Quick Check 및 BSI 규정 준수 요약을 참조하세요.
5.2.2.2. 버그 수정
-
이 릴리스 이전에는 Compliance Operator가
s390x아키텍처의 파일 시스템 구조 차이로 인해 불필요한 수정 권장 사항을 제공했습니다. 이번 릴리스를 통해 Compliance Operator는 이제 파일 시스템 구조의 차이점을 인식하고 오해의 소지가 있는 수정 조치를 제공하지 않습니다. 이 업데이트를 통해 규칙이 더 명확하게 정의되었습니다. ( OCPBUGS-33194 ) -
이전에는
ocp4-etcd-unique-ca규칙에 대한 지침이 OpenShift 4.17 이상에서는 작동하지 않았습니다. 이 업데이트를 통해 지침과 실행 가능한 단계가 수정되었습니다. (OCPBUGS-42350) - Cluster Logging Operator(CLO) 버전 6.0과 함께 Compliance Operator를 사용할 때 다양한 규칙이 실패했습니다. 이는 CLO가 사용하는 CRD의 이전 버전과의 호환되지 않는 변경 사항으로 인해 발생합니다. 규정 준수 운영자는 이러한 CRD를 사용하여 로깅 기능을 검증합니다. CRD는 CLO를 통해 PCI-DSS 프로필을 지원하도록 수정되었습니다. (OCPBUGS-43229)
-
Cluster Logging Operator(CLO) 6.0을 설치한 후, 사용자는
clusterlogforwarder리소스의 API 버전이 변경되어 ComplianceCheckResultocp4-cis-audit-log-forwarding-enabled가실패하는 것을 발견했습니다. 로그 수집 및 전달 구성은 이제 observability.openshift.io API 그룹의 일부인 새로운 API에서 지정됩니다. ( OCPBUGS-43585 ) - 이전 버전의 Compliance Operator에서는 스캔을 수행하면 Operator 포드의 조정 루프에 대한 오류 로그가 생성되었습니다. 이번 릴리스에서는 Compliance Operator 컨트롤러 로직이 더욱 안정되었습니다. (OCPBUGS-51267)
-
이전에는
file-integrity-exists또는file-integrity-notification-enabled규칙이aarch64OpenShift 클러스터에서 실패했습니다. 이 업데이트를 적용하면 이러한 규칙은aarch64시스템에서적용되지 않는것으로 평가됩니다. ( OCPBUGS-52884 ) -
이 Compliance Operator 릴리스 이전에는 규칙
kubelet-configure-tls-cipher-suites가API 서버 암호에 대해 실패하여E2E-FAILURE상태가 발생했습니다. 이 규칙은 OpenShift 4.18에 포함된 RFC 8446의 새로운 암호를 확인하도록 업데이트되었습니다. 이제 규칙이 올바르게 평가되고 있습니다. ( OCPBUGS-54212 ) -
이전에는 Compliance Operator 플랫폼 검사가 실패하고
Ignition 구성 구문 분석에 실패했다는메시지가 생성되었습니다. 이번 릴리스를 통해, 해당 버전의 OpenShift가 고객에게 제공되면 4.19 클러스터에서 Compliance Operator를 안전하게 실행할 수 있습니다. ( OCPBUGS-54403 ) -
이번 Compliance Operator 출시 이전에는 여러 규칙이 플랫폼을 인식하지 못해 불필요한 오류가 발생했습니다. 이제 규칙이 다른 아키텍처로 제대로 이식되었으므로 해당 규칙은 올바르게 실행되고 사용자는 사용하는 아키텍처에 따라 일부 규정 준수 검사 결과에서
NOT-APPLICABLE이적절히 보고되는 것을 볼 수 있습니다. ( OCPBUGS-53041 ) -
이전에는
file-groupowner-ovs-conf-db-hugetlbf규칙이 예기치 않게 실패했습니다. 이 릴리스에서는 이것이 필요한 결과일 때만 규칙이 실패합니다. ( OCPBUGS-55190 )
5.2.3. OpenShift Compliance Operator 1.6.2
다음 권고 사항은 OpenShift Compliance Operator 1.6.2에 대해 제공됩니다.
CVE-2024-45338은 Compliance Operator 1.6.2 릴리스에서 해결되었습니다. (CVE-2024-45338)
5.2.4. OpenShift Compliance Operator 1.6.1
다음 권고 사항은 OpenShift Compliance Operator 1.6.1에 대해 제공됩니다.
이 업데이트에는 기본 이미지의 업그레이드된 종속성이 포함되어 있습니다.
5.2.5. OpenShift Compliance Operator 1.6.0
다음 권고 사항은 OpenShift Compliance Operator 1.6.0에 대해 제공됩니다.
5.2.5.1. 새로운 기능 및 개선 사항
- 이제 Compliance Operator에 PCI-DSS(Payment Card Industry Data Security Standard) 버전 4를 지원하는 프로필이 포함되었습니다. 자세한 내용은 지원되는 규정 준수 프로필을 참조하세요.
- 이제 Compliance Operator에는 Defense Information Systems Agency Security Technical Implementation Guide(DISA STIG) V2R1에 대한 지원 프로필이 포함되어 있습니다. 자세한 내용은 지원되는 규정 준수 프로필을 참조하세요.
-
x86,ppc64le,s390x아키텍처에 설치된 Compliance Operator에 대한필수확장 기능이 이제 제공됩니다.필수 수집도구는 Red Hat 고객 지원 및 엔지니어링에 중요한 구성 세부 정보를 제공합니다. 자세한 내용은 Compliance Operator를 위한 must-gather 도구 사용을 참조하세요.
5.2.5.2. 버그 수정
-
이번 릴리스 이전에는
ocp4-route-ip-whitelist규칙에 오해의 소지가 있는 설명이 포함되어 있어 오해가 발생하고, 이로 인해 잘못된 구성이 발생할 가능성이 있었습니다. 이 업데이트를 통해 규칙이 더 명확하게 정의되었습니다. (CMP-2485) -
이전에는
DONE상태의ComplianceScan에 대한 모든ComplianceCheckResults보고가 불완전했습니다. 이 업데이트를 통해DONE상태의ComplianceScan에 대한 총ComplianceCheckResults수를 보고하는 주석이 추가되었습니다. (CMP-2615) -
이전에는
ocp4-cis-scc-limit-container-allowed-capabilities규칙 설명에 모호한 지침이 포함되어 있어 사용자 사이에 혼란을 야기했습니다. 이 업데이트를 통해 규칙 설명과 실행 가능한 단계가 명확해졌습니다. ( OCPBUGS-17828 ) - 이 업데이트 이전에는 sysctl 구성으로 인해 RHCOS4 규칙에 대한 특정 자동 수정이 영향을 받는 클러스터에서 검사에 실패했습니다. 이 업데이트를 통해 올바른 sysctl 설정이 적용되고 FedRAMP High 프로필에 대한 RHCOS4 규칙이 검사를 올바르게 통과합니다. (OCPBUGS-19690)
-
이 업데이트 이전에는
jq필터 문제로 인해 규정 준수 검사 중에rhacs-operator-controller-manager배포에 오류가 발생했습니다. 이 업데이트를 통해jq필터 표현식이 업데이트되고rhacs-operator-controller-manager배포가 컨테이너 리소스 제한과 관련된 규정 준수 검사에서 제외되어 거짓 양성 결과가 제거되었습니다. (OCPBUGS-19690) -
이 업데이트 이전에는
rhcos4-high및rhcos4-moderate프로필이 잘못된 제목이 지정된 구성 파일의 값을 확인했습니다. 결과적으로 일부 스캔 검사가 실패할 수 있습니다. 이 업데이트를 통해rhcos4프로필이 이제 올바른 구성 파일을 확인하고 검사가 올바르게 통과됩니다. (OCPBUGS-31674) -
이전에는
oauthclient-inactivity-timeout규칙에 사용된accessokenInactivityTimeoutSeconds변수가 변경 불가능했기 때문에 DISA STIG 스캔을 수행할 때FAIL상태가 발생했습니다. 이 업데이트를 통해accessTokenInactivityTimeoutSeconds변수의 적절한 적용이 제대로 작동하고 이제PASS상태가 가능해졌습니다. ( OCPBUGS-32551 ) - 이번 업데이트 이전에는 규칙에 대한 일부 주석이 업데이트되지 않아 잘못된 제어 기준이 표시되었습니다. 이 업데이트를 통해 규칙에 대한 주석이 올바르게 업데이트되어 올바른 제어 기준이 표시됩니다. (OCPBUGS-34982)
-
이전에는 Compliance Operator 1.5.1로 업그레이드할 때
ServiceMonitor구성에서 잘못 참조된 비밀로 인해 Prometheus Operator와의 통합 문제가 발생했습니다. 이 업데이트를 사용하면 규정 준수 운영자가ServiceMonitor메트릭에 대한 토큰이 포함된 비밀을 정확하게 참조할 수 있습니다. ( OCPBUGS-39417 )
5.2.6. OpenShift Compliance Operator 1.5.1
다음 권고 사항은 OpenShift Compliance Operator 1.5.1에 대해 제공됩니다.
5.2.7. OpenShift Compliance Operator 1.5.0
다음 권고 사항은 OpenShift Compliance Operator 1.5.0에 대해 제공됩니다.
5.2.7.1. 새로운 기능 및 개선 사항
5.2.7.2. 버그 수정
- CVE-2024-2961은 Compliance Operator 1.5.0 릴리스에서 해결되었습니다. (CVE-2024-2961)
- 이전에는 ROSA HCP 시스템의 프로필 목록이 정확하지 않았습니다. 이 업데이트를 통해 규정 준수 담당자는 올바른 프로필 출력을 제공할 수 있습니다. (OCPBUGS-34535)
-
이 릴리스에서는 맞춤형 프로필에서
ocp4-var-network-policies-namespaces-exempt-regex변수를 설정하여 네임스페이스를ocp4-configure-network-policies-namespaces검사에서 제외할 수 있습니다. (CMP-2543)
5.2.8. OpenShift Compliance Operator 1.4.1
다음 권고 사항은 OpenShift Compliance Operator 1.4.1에 대해 제공됩니다.
5.2.8.1. 새로운 기능 및 개선 사항
5.2.8.2. 버그 수정
-
이전에는 Red Hat Enterprise Linux(RHEL) 9를 사용하는 Red Hat Enterprise Linux CoreOS(RHCOS) 시스템의 경우
ocp4-kubelet-enable-protect-kernel-sysctl-file-exist규칙을 적용하지 못했습니다. 이 업데이트는 해당 규칙을ocp4-kubelet-enable-protect-kernel-sysctl로 대체합니다. 이제 자동 수정이 적용되면 RHEL 9 기반 RHCOS 시스템은 이 규칙을 적용하면PASS를표시합니다. (OCPBUGS-13589) -
이전에는
rhcos4-e8프로필을 사용하여 규정 준수 조치를 적용한 후 SSH를 사용하여 코어 사용자 계정에 더 이상 노드에 액세스할 수 없었습니다. 이 업데이트를 사용하면 `sshkey1` 옵션을 사용하여 SSH를 통해 노드에 계속 액세스할 수 있습니다. (OCPBUGS-18331) -
이전에는
STIG프로필에 OpenShift Container Platform에 대한 게시된STIG의요구 사항을 충족하는 CaC 규칙이 누락되었습니다. 이 업데이트를 적용하면 클러스터는 Compliance Operator를 사용하여 수정할 수 있는STIG요구 사항을 충족합니다. (OCPBUGS-26193) -
이전에는 여러 제품에 대해 서로 다른 유형의 프로필을 사용하여
ScanSettingBinding객체를 생성하면 바인딩에서 여러 제품 유형에 대한 제한을 우회할 수 있었습니다. 이 업데이트를 통해 이제ScanSettingBinding개체의 프로필 유형에 관계없이 여러 제품에 대한 제품 검증이 허용됩니다. (OCPBUGS-26229) -
이전에는
rhcos4-service-debug-shell-disabled규칙을 실행하면 자동 수정이 적용된 후에도실패로 표시되었습니다. 이 업데이트를 사용하면 자동 수정이 적용된 후rhcos4-service-debug-shell-disabled규칙을 실행하면 이제PASS가표시됩니다. (OCPBUGS-28242) -
이 업데이트를 통해
rhcos4-banner-etc-issue규칙 사용에 대한 지침이 향상되어 더 자세한 내용을 제공합니다. (OCPBUGS-28797) -
이전에는
api_server_api_priority_flowschema_catch_all규칙이 OpenShift Container Platform 4.16 클러스터에서FAIL상태를 제공했습니다. 이 업데이트를 통해api_server_api_priority_flowschema_catch_all규칙은 OpenShift Container Platform 4.16 클러스터에서PASS상태를 제공합니다. (OCPBUGS-28918) -
이전에는
ScanSettingBinding(SSB) 개체에 표시된 완료된 스캔에서 프로필이 제거되었을 때 Compliance Operator가 이전 스캔을 제거하지 않았습니다. 이후 삭제된 프로필을 사용하여 새로운 SSB를 실행했을 때, 규정 준수 운영자가 결과를 업데이트하지 못했습니다. 이번 Compliance Operator 릴리스를 통해 새로운 SSB에 새로운 규정 준수 검사 결과가 표시됩니다. (OCPBUGS-29272) -
이전에는
ppc64le아키텍처에서는 메트릭 서비스가 생성되지 않았습니다. 이 업데이트를 사용하면ppc64le아키텍처에 Compliance Operator v1.4.1을 배포할 때 메트릭 서비스가 올바르게 생성됩니다. (OCPBUGS-32797) -
이전에는 HyperShift 호스팅 클러스터에서
ocp4-pci-dss 프로필을사용한 스캔은필터가 반복할 수없는 문제로 인해 복구할 수 없는 오류가 발생했습니다. 이번 릴리스에서는ocp4-pci-dss프로파일에 대한 검사가완료된상태에 도달하고규정 준수또는비준수테스트 결과를 반환합니다. (OCPBUGS-33067)
5.2.9. OpenShift Compliance Operator 1.4.0
다음 권고 사항은 OpenShift Compliance Operator 1.4.0에 대해 제공됩니다.
5.2.9.1. 새로운 기능 및 개선 사항
-
이 업데이트를 통해 기본
작업자및마스터노드 풀 외부의 사용자 지정 노드 풀을 사용하는 클러스터는 더 이상 해당 노드 풀에 대한 구성 파일을 준수 운영자가 집계하도록 보장하기 위해 추가 변수를 제공할 필요가 없습니다. -
이제 사용자는
ScanSetting.suspend속성을True로 설정하여 검사 일정을 일시 중지할 수 있습니다. 이를 통해 사용자는ScanSettingBinding을삭제하고 다시 만들지 않고도 검사 일정을 일시 중단하고 다시 활성화할 수 있습니다. 이를 통해 유지 관리 기간 동안 스캔 일정을 일시 중지하는 작업이 간소화됩니다. (CMP-2123) -
이제 Compliance Operator는
Profile사용자 정의 리소스에 대한 선택적버전속성을 지원합니다. (CMP-2125) -
이제 Compliance Operator가
ComplianceRules에서 프로필 이름을 지원합니다. (CMP-2126) -
이번 릴리스에서는 개선된
cronjobAPI 개선을 통한 규정 준수 운영자 호환성이 제공됩니다. (CMP-2310)
5.2.9.2. 버그 수정
- 이전에는 Windows 노드가 있는 클러스터에서 자동 수정이 적용된 후 일부 규칙이 실패했습니다. 이는 Windows 노드가 규정 준수 검사에서 건너뛰어지지 않았기 때문입니다. 이 릴리스에서는 스캔 시 Windows 노드가 올바르게 건너뛰어집니다. (OCPBUGS-7355)
-
이 업데이트를 통해 다중 경로를 사용하는 포드의 루트 볼륨 마운트에 대한
rprivate기본 마운트 전파가 이제 올바르게 처리됩니다. (OCPBUGS-17494) -
이전에는 규정 준수 운영자가 수정 사항을 적용하는 동안에도 규칙을 조정하지 않고
coreos_vsyscall_kernel_argument에 대한 수정 사항을 생성했습니다. 릴리스 1.4.0에서는coreos_vsyscall_kernel_argument규칙이 커널 인수를 적절히 평가하고 적절한 수정 조치를 생성합니다.( OCPBUGS-8041 ) -
이 업데이트 이전에는 자동 수정을 적용한 후에도
rhcos4-audit-rules-login-events-faillock규칙이 실패했습니다. 이 업데이트를 통해rhcos4-audit-rules-login-events-faillock실패 잠금이 이제 자동 수정 후에 올바르게 적용됩니다. (OCPBUGS-24594) -
이전에는 Compliance Operator 1.3.1에서 Compliance Operator 1.4.0으로 업그레이드하면 OVS 규칙 검사 결과가
PASS에서NOT-APPLICABLE로 변경되었습니다. 이 업데이트를 통해 OVS 규칙 검사 결과가 이제PASS( OCPBUGS-25323 )로 표시됩니다.
5.2.10. OpenShift Compliance Operator 1.3.1
OpenShift Compliance Operator 1.3.1에 대해 다음 권고를 사용할 수 있습니다.
이 업데이트는 기본 종속성의 CVE를 해결합니다.
5.2.10.1. 새로운 기능 및 개선 사항
FIPS 모드에서 실행되는 OpenShift Container Platform 클러스터에서 Compliance Operator를 설치하고 사용할 수 있습니다.
중요클러스터에 대해 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 Red Hat Enterprise Linux(RHEL) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환을 참조하세요.
FIPS 모드로 부팅된 Red Hat Enterprise Linux(RHEL) 또는 Red Hat Enterprise Linux CoreOS(RHCOS)를 실행할 때 OpenShift Container Platform 핵심 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 검증을 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
5.2.10.2. 알려진 문제
- Windows 노드가 있는 클러스터에서 자동 수정이 적용된 후 일부 규칙은 실패합니다. 이는 Windows 노드가 규정 준수 검사에서 건너뛰어지지 않았기 때문입니다. 이는 예상 결과와 다릅니다. 스캔할 때 Windows 노드를 건너뛰어야 하기 때문입니다. (OCPBUGS-7355)
5.2.11. OpenShift Compliance Operator 1.3.0
다음 권고 사항은 OpenShift Compliance Operator 1.3.0에 대해 제공됩니다.
5.2.11.1. 새로운 기능 및 개선 사항
- OpenShift Container Platform용 국방정보시스템국 보안기술구현가이드(DISA-STIG)가 이제 Compliance Operator 1.3.0에서 제공됩니다. 추가 정보는 지원되는 규정 준수 프로필을 참조하세요.
- Compliance Operator 1.3.0은 이제 OpenShift Container Platform 플랫폼 및 노드 프로필에 대한 NIST 800-53 중간 영향 기준에 대한 IBM Power® 및 IBM Z®를 지원합니다.
5.2.12. OpenShift Compliance Operator 1.2.0
다음 권고 사항은 OpenShift Compliance Operator 1.2.0에 대해 제공됩니다.
5.2.12.1. 새로운 기능 및 개선 사항
CIS OpenShift Container Platform 4 Benchmark v1.4.0 프로필이 이제 플랫폼 및 노드 애플리케이션에 사용 가능합니다. CIS OpenShift Container Platform v4 벤치마크를 찾으려면 CIS 벤치마크로 이동하여 최신 CIS 벤치마크 다운로드를 클릭하세요. 그런 다음 벤치마크를 다운로드하기 위해 등록할 수 있습니다.
중요Compliance Operator 1.2.0으로 업그레이드하면 CIS OpenShift Container Platform 4 Benchmark 1.1.0 프로필이 덮어쓰여집니다.
OpenShift Container Platform 환경에 기존
cis및cis-node수정 사항이 포함된 경우 Compliance Operator 1.2.0으로 업그레이드한 후 검사 결과에 약간의 차이가 있을 수 있습니다.-
이제
scc-limit-container-allowed-capabilities규칙에 대해 보안 컨텍스트 제약 조건(SCC) 감사에 대한 명확성이 더욱 강화되었습니다.
5.2.13. OpenShift Compliance Operator 1.1.0
다음 권고 사항은 OpenShift Compliance Operator 1.1.0에 대해 제공됩니다.
5.2.13.1. 새로운 기능 및 개선 사항
-
이제
ComplianceScan사용자 정의 리소스 정의(CRD) 상태에서 시작 및 종료 타임스탬프를 사용할 수 있습니다. -
이제 OperatorHub를 사용하여
구독파일을 생성하면 Compliance Operator를 호스팅된 제어 평면에 배포할 수 있습니다. 자세한 내용은 호스팅된 제어 평면에 Compliance Operator 설치를 참조하세요.
5.2.13.2. 버그 수정
이 업데이트 이전에는 일부 규정 준수 운영자 규칙 지침이 없었습니다. 이 업데이트 이후 다음 규칙에 대한 지침이 개선되었습니다.
-
classification_banner -
oauth_login_template_set -
oauth_logout_url_set -
oauth_provider_selection_set -
ocp_allowed_registries ocp_allowed_registries_for_import
-
이 업데이트 이전에는 정확성 확인과 규칙 설명이 불분명했습니다. 이 업데이트 이후 다음
sysctl규칙에 대한 검사 정확도와 지침이 개선되었습니다.-
kubelet-enable-protect-kernel-sysctl -
kubelet-enable-protect-kernel-sysctl-kernel-keys-root-maxbytes -
kubelet-enable-protect-kernel-sysctl-kernel-keys-root-maxkeys -
kubelet-enable-protect-kernel-sysctl-kernel-panic -
kubelet-enable-protect-kernel-sysctl-kernel-panic-on-oops -
kubelet-enable-protect-kernel-sysctl-vm-overcommit-memory kubelet-enable-protect-kernel-sysctl-vm-panic-on-oom
-
-
이 업데이트 이전에는
ocp4-alert-receiver-configured규칙에 지침이 포함되지 않았습니다. 이 업데이트를 통해ocp4-alert-receiver-configured규칙에 향상된 지침이 포함되었습니다. (OCPBUGS-7307) -
이 업데이트 이전에는
rhcos4-e8프로필에 대한rhcos4-sshd-set-loglevel-info규칙이 실패했습니다. 이 업데이트를 통해sshd-set-loglevel-info규칙에 대한 수정이 업데이트되어 올바른 구성 변경 사항이 적용되었고, 수정이 적용된 후에 후속 검사가 통과될 수 있게 되었습니다. (OCPBUGS-7816) -
이 업데이트 이전에는 최신 Compliance Operator 설치를 사용하여 OpenShift Container Platform을 새로 설치하려고 했지만
, scheduler-no-bind-address규칙에 따라 실패했습니다. 이 업데이트로 매개변수가 제거되었기 때문에 최신 버전의 OpenShift Container Platform에서는scheduler-no-bind-address규칙이 비활성화되었습니다. (OCPBUGS-8347)
5.2.14. OpenShift Compliance Operator 1.0.0
다음 권고 사항은 OpenShift Compliance Operator 1.0.0에 대해 제공됩니다.
5.2.14.1. 새로운 기능 및 개선 사항
-
Compliance Operator는 이제 안정적이며 릴리스 채널도
안정으로 업그레이드되었습니다. 이후 릴리스에서는 의미적 버전이 적용될 예정입니다. 최신 릴리스에 액세스하려면 규정 준수 운영자 업데이트를 참조하세요.
5.2.14.2. 버그 수정
- 이 업데이트 이전에는 compliance_operator_compliance_scan_error_total 메트릭에 오류 메시지마다 다른 값을 갖는 ERROR 레이블이 있었습니다. 이 업데이트로 compliance_operator_compliance_scan_error_total 메트릭 값이 증가하지 않습니다. (OCPBUGS-1803)
-
이 업데이트 이전에는
ocp4-api-server-audit-log-maxsize규칙이FAIL상태를 초래했습니다. 이 업데이트를 통해 모범 사례에 따라 메트릭의 오류 메시지가 제거되어 메트릭의 기수가 감소했습니다. (OCPBUGS-7520) -
이 업데이트 이전에는
rhcos4-enable-fips-mode규칙 설명에서 설치 후에 FIPS를 활성화할 수 있다는 오해의 소지가 있었습니다. 이 업데이트를 통해rhcos4-enable-fips-mode규칙 설명에서 설치 시 FIPS를 활성화해야 한다는 점이 명확히 설명되었습니다. (OCPBUGS-8358)
5.2.15. OpenShift Compliance Operator 0.1.61
다음 권고 사항은 OpenShift Compliance Operator 0.1.61에 대해 제공됩니다.
5.2.15.1. 새로운 기능 및 개선 사항
-
이제 Compliance Operator가 Scanner Pod에 대한 시간 초과 구성을 지원합니다. 시간 초과는
ScanSetting개체에서 지정됩니다. 제한 시간 내에 검사가 완료되지 않으면 최대 재시도 횟수에 도달할 때까지 검사를 다시 시도합니다. 자세한 내용은 ScanSetting 시간 초과 구성 을 참조하십시오.
5.2.15.2. 버그 수정
-
이 업데이트 이전에는 규정 준수 운영자 수정에 입력으로 변수가 필요했습니다. 변수가 설정되지 않은 수정 사항이 클러스터 전체에 적용되어 수정 사항이 올바르게 적용된 것처럼 보였음에도 불구하고 노드가 멈췄습니다. 이 업데이트를 사용하면 규정 준수 운영자가 수정을 위해
TailoredProfile을사용하여 변수를 제공해야 하는지 검증할 수 있습니다. (OCPBUGS-3864) -
이 업데이트 이전에는
ocp4-kubelet-configure-tls-cipher-suites에 대한 지침이 불완전하여 사용자가 쿼리를 수동으로 수정해야 했습니다. 이 업데이트를 사용하면ocp4-kubelet-configure-tls-cipher-suites에 제공된 쿼리가 감사 단계를 수행하기 위한 실제 결과를 반환합니다. (OCPBUGS-3017) - 이 업데이트 이전에는 시스템에서 예약된 매개변수가 kubelet 구성 파일에 생성되지 않아 규정 준수 운영자가 머신 구성 풀의 일시 중지를 해제하지 못했습니다. 이 업데이트를 사용하면 규정 준수 운영자가 머신 구성 풀 평가 중에 시스템 예약 매개변수를 생략합니다. (OCPBUGS-4445)
-
이 업데이트 이전에는
ComplianceCheckResult개체에 올바른 설명이 없었습니다. 이 업데이트를 사용하면 규정 준수 운영자가 규칙 설명에서ComplianceCheckResult정보를 가져옵니다. (OCPBUGS-4615) - 이 업데이트 이전에는 규정 준수 운영자가 머신 구성을 구문 분석할 때 빈 kubelet 구성 파일을 확인하지 않았습니다. 결과적으로 규정 준수 담당자는 당황하여 충돌하게 됩니다. 이 업데이트를 통해 규정 준수 운영자는 kubelet 구성 데이터 구조에 대한 검사를 개선하고 완전히 렌더링된 경우에만 검사를 계속 진행합니다. (OCPBUGS-4621)
- 이 업데이트 이전에는 규정 준수 운영자가 머신 구성 풀 이름과 유예 기간을 기반으로 kubelet 추방에 대한 수정 조치를 생성했기 때문에 단일 추방 규칙에 대해 여러 수정 조치가 필요했습니다. 이 업데이트를 통해 규정 준수 운영자는 단일 규칙에 대한 모든 수정 사항을 적용합니다. (OCPBUGS-4338)
-
이번 업데이트 이전에는 기본이 아닌
MachineConfigPool이ScanSettingBinding을Failed로 표시한TailoredProfile을 사용하여ScanSettingBinding을 생성하려고 할 때 회귀 문제가 발생했습니다. 이번 업데이트를 통해 기능이 복원되고TailoredProfile을 사용하여 사용자 정의ScanSettingBinding이 올바르게 수행됩니다. (OCPBUGS-6827) 이 업데이트 이전에는 일부 kubelet 구성 매개변수에 기본값이 없었습니다. 이 업데이트를 사용하면 다음 매개변수에 기본값이 포함됩니다( OCPBUGS-6708 ):
-
ocp4-cis-kubelet-enable-streaming-connections -
ocp4-cis-kubelet-eviction-thresholds-set-hard-imagefs-available -
ocp4-cis-kubelet-eviction-thresholds-set-hard-imagefs-inodesfree -
ocp4-cis-kubelet-eviction-thresholds-set-hard-memory-available -
ocp4-cis-kubelet-eviction-thresholds-set-hard-nodefs-available
-
-
이 업데이트 이전에는 kubelet을 실행하는 데 필요한 권한 때문에 kubelet에서
selinux_confinement_of_daemons규칙을 실행할 수 없었습니다. 이 업데이트를 통해selinux_confinement_of_daemons규칙이 비활성화되었습니다. (OCPBUGS-6968)
5.2.16. OpenShift Compliance Operator 0.1.59
다음 권고 사항은 OpenShift Compliance Operator 0.1.59에 대해 제공됩니다.
5.2.16.1. 새로운 기능 및 개선 사항
-
이제 Compliance Operator는
ppc64le아키텍처에서 PCI-DSS(Payment Card Industry Data Security Standard)ocp4-pci-dss및ocp4-pci-dss-node프로필을 지원합니다.
5.2.16.2. 버그 수정
-
이전에는 규정 준수 운영자가
ppc64le와 같은 다양한 아키텍처에서 PCI DSS(Payment Card Industry Data Security Standard)ocp4-pci-dss및ocp4-pci-dss-node프로필을 지원하지 않았습니다. 이제 Compliance Operator는ppc64le아키텍처에서ocp4-pci-dss및ocp4-pci-dss-node프로필을 지원합니다. (OCPBUGS-3252) -
이전 버전에서는 최근 버전 0.1.57로 업데이트한 후SA(
rerunner서비스 계정)가 더 이상 CSV(클러스터 서비스 버전)에 속하지 않아 Operator 업그레이드 중에 SA가 제거되었습니다. 이제 CSV는 0.1.59에rerunnerSA를 소유하고 있으며 이전 버전에서 업그레이드하면 SA가 누락되지 않습니다. (OCPBUGS-3452)
5.2.17. OpenShift Compliance Operator 0.1.57
다음 권고 사항은 OpenShift Compliance Operator 0.1.57에 대해 제공됩니다.
5.2.17.1. 새로운 기능 및 개선 사항
-
KubeletConfig검사가노드에서플랫폼유형으로 변경되었습니다.KubeletConfig는KubeletConfig의 기본 구성을 확인합니다. 구성 파일은 모든 노드에서 노드 풀당 단일 위치로 집계됩니다. 기본 구성 값에 대해KubeletConfig규칙 평가를 참조하세요. -
ScanSetting사용자 정의 리소스를 사용하면 이제 사용자가scanLimits속성을 통해 스캐너 포드의 기본 CPU 및 메모리 제한을 재정의할 수 있습니다. 자세한 내용은 규정 준수 운영자 리소스 한도 증가를 참조하세요. -
이제
ScanSetting을통해PriorityClass객체를 설정할 수 있습니다. 이를 통해 규정 준수 운영자의 우선순위가 지정되고 클러스터가 규정을 위반할 가능성이 최소화됩니다. 자세한 내용은ScanSetting스캔에 대한PriorityClass설정을 참조하세요.
5.2.17.2. 버그 수정
-
이전에는 규정 준수 운영자가 기본
openshift-compliance네임스페이스에 알림을 하드코딩했습니다. Operator가 기본이 아닌 네임스페이스에 설치된 경우 알림이 예상대로 작동하지 않습니다. 이제 알림은 기본이 아닌openshift-compliance네임스페이스에서 작동합니다. (BZ#2060726) - 이전에는 규정 준수 운영자가 kubelet 객체에서 사용되는 기본 구성을 평가할 수 없어 부정확한 결과와 거짓 양성 결과가 발생했습니다. 이 새로운 기능은 kubelet 구성을 평가하고 이제 정확한 보고를 제공합니다. (BZ#2075041)
-
이전에는
eventRecordQPS값이 기본값보다 높게 설정되었기 때문에 규정 준수 운영자가 자동 수정을 적용한 후ocp4-kubelet-configure-event-creation규칙이실패상태라고 보고했습니다. 이제ocp4-kubelet-configure-event-creation규칙 수정은 기본값을 설정하고 규칙은 올바르게 적용됩니다. (BZ#2082416) -
ocp4-configure-network-policies규칙을 효과적으로 실행하려면 수동 개입이 필요합니다. 새로운 설명 지침과 규칙 업데이트로 Calico CNI를 사용하는 클러스터에 대한ocp4-configure-network-policies규칙의 적용성이 높아졌습니다. (BZ#2091794) -
이전에는 규정 준수 운영자가 스캔 설정에서
debug=true옵션을 사용할 때 인프라 스캔에 사용된 포드를 정리하지 않았습니다. 이로 인해ScanSettingBinding을삭제한 후에도 포드가 클러스터에 남아 있게 됩니다. 이제ScanSettingBinding이 삭제되면 포드도 항상 삭제됩니다.( BZ#2092913 ) -
이전에는 규정 준수 운영자가 더 이상 사용되지 않는 기능에 대한 경고를 발생시키는 이전 버전의
operator-sdk명령을 사용했습니다. 이제operator-sdk명령의 업데이트된 버전이 포함되었으며 더 이상 사용되지 않는 기능에 대한 알림이 없습니다. (BZ#2098581) - 이전에는 규정 준수 운영자가 kubelet과 머신 구성 간의 관계를 확인하지 못하면 수정 조치를 적용하지 못했습니다. 이제 규정 준수 운영자는 머신 구성 처리를 개선하여 kubelet 구성이 머신 구성의 하위 집합인지 확인할 수 있습니다. (BZ#2102511)
-
이전에는
ocp4-cis-node-master-kubelet-enable-cert-rotation에대한 규칙이 성공 기준을 제대로 설명하지 못했습니다. 결과적으로RotateKubeletClientCertificate에 대한 요구 사항이 명확하지 않았습니다. 이제ocp4-cis-node-master-kubelet-enable-cert-rotation에 대한 규칙은 kubelet 구성 파일에 있는 구성에 관계없이 정확하게 보고됩니다. (BZ#2105153) - 이전에는 유휴 스트리밍 시간 초과를 확인하는 규칙에서 기본값을 고려하지 않아 부정확한 규칙 보고가 발생했습니다. 이제 더욱 강력한 검사를 통해 기본 구성 값을 기반으로 한 결과의 정확도가 더욱 높아졌습니다. (BZ#2105878)
-
이전에는 Ignition 사양이 없는 머신 구성을 구문 분석할 때 규정 준수 운영자가 API 리소스를 가져오지 못해
api-check-pods프로세스가 루프에서 충돌했습니다. 이제 규정 준수 운영자는 점화 사양이 없는 머신 구성 풀을 올바르게 처리합니다. (BZ#2117268) -
이전에는
modprobe구성에 대한 값의 불일치로 인해 수정 조치를 적용한 후에도modprobe구성을 평가하는 규칙이 실패했습니다. 이제 동일한 값이 점검 및 수정 시modprobe구성에 사용되어 일관된 결과가 보장됩니다. (BZ#2117747)
5.2.17.3. 사용 중단
-
클러스터의 모든 네임스페이스에 설치를 지정하거나
WATCH_NAMESPACES환경 변수를""로 설정하면 더 이상 모든 네임스페이스에 영향을 미치지 않습니다. 규정 준수 운영자 설치 시 지정되지 않은 네임스페이스에 설치된 모든 API 리소스는 더 이상 작동하지 않습니다. API 리소스를 선택한 네임스페이스나 기본적으로openshift-compliance네임스페이스에 생성해야 할 수도 있습니다. 이 변경으로 규정 준수 운영자의 메모리 사용량이 개선되었습니다.
5.2.18. OpenShift Compliance Operator 0.1.53
다음 권고 사항은 OpenShift Compliance Operator 0.1.53에 대해 제공됩니다.
5.2.18.1. 버그 수정
-
이전에는
ocp4-kubelet-enable-streaming-connections규칙에 잘못된 변수 비교가 포함되어 있어 거짓 양성 검사 결과가 나왔습니다. 이제 Compliance Operator는streamingConnectionIdleTimeout을설정할 때 정확한 검사 결과를 제공합니다. (BZ#2069891) -
이전에는 IBM Z® 아키텍처에서
/etc/openvswitch/conf.db에 대한 그룹 소유권이 올바르지 않아ocp4-cis-node-worker-file-groupowner-ovs-conf-db검사가 실패했습니다. 이제 해당 확인은 IBM Z® 아키텍처 시스템에서는적용되지 않음으로표시됩니다. (BZ#2072597) -
이전에는 배포의 보안 컨텍스트 제약 조건(SCC) 규칙에 대한 데이터가 불완전하여
ocp4-cis-scc-limit-container-allowed-capabilities규칙이FAIL상태로 보고되었습니다. 이제 결과는MANUAL로, 인간의 개입이 필요한 다른 검사와 일관성을 유지합니다. (BZ#2077916) 이전에는 다음 규칙이 API 서버와 TLS 인증서 및 키에 대한 추가 구성 경로를 고려하지 못해 인증서와 키가 올바르게 설정된 경우에도 실패가 보고되었습니다.
-
ocp4-cis-api-server-kubelet-client-cert -
ocp4-cis-api-server-kubelet-client-key -
ocp4-cis-kubelet-configure-tls-cert -
ocp4-cis-kubelet-configure-tls-key
이제 규칙은 정확하게 보고되고 kubelet 구성 파일에 지정된 레거시 파일 경로를 준수합니다. (BZ#2079813)
-
-
이전에는
content_rule_oauth_or_oauthclient_inactivity_timeout규칙이 시간 초과에 대한 규정 준수를 평가할 때 배포에서 설정한 구성 가능한 시간 초과를 고려하지 않았습니다. 이로 인해 시간 초과가 유효하더라도 규칙이 실패하게 됩니다. 이제 규정 준수 운영자는var_oauth_inactivity_timeout변수를 사용하여 유효한 시간 초과 길이를 설정합니다. (BZ#2081952) - 이전에는 규정 준수 운영자가 권한 있는 사용에 적합한 레이블이 지정되지 않은 네임스페이스에 대한 관리 권한을 사용하여 포드 보안 수준 위반에 대한 경고 메시지를 표시했습니다. 이제 규정 준수 운영자는 적절한 네임스페이스 레이블과 권한 조정을 통해 권한을 위반하지 않고 결과에 액세스할 수 있습니다. (BZ#2088202)
-
이전에는
rhcos4-high-master-sysctl-kernel-yama-ptrace-scope및rhcos4-sysctl-kernel-core-pattern에 대한 자동 수정을 적용하면 해당 규칙이 수정되었음에도 불구하고 검사 결과에 해당 규칙이 실패로 표시되었습니다. 이제 수정 사항이 적용된 후에도 규칙은PASS를정확하게 보고합니다.( BZ#2094382 ) -
이전에는 메모리 부족 예외로 인해 규정 준수 운영자가
CrashLoopBackoff상태에서 실패했습니다. 이제 Compliance Operator가 개선되어 메모리에 있는 대용량 머신 구성 데이터 세트를 처리하고 올바르게 작동할 수 있습니다. (BZ#2094854)
5.2.18.2. 알려진 문제
ScanSettingBinding개체 내에서"debug":true가설정된 경우,ScanSettingBinding개체에서 생성된 포드는 해당 바인딩이 삭제되어도 제거되지 않습니다. 해결 방법으로 다음 명령을 실행하여 나머지 포드를 삭제합니다.oc delete pods -l compliance.openshift.io/scan-name=ocp4-cis
$ oc delete pods -l compliance.openshift.io/scan-name=ocp4-cisCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.2.19. OpenShift Compliance Operator 0.1.52
다음 권고 사항은 OpenShift Compliance Operator 0.1.52에 대해 제공됩니다.
5.2.19.1. 새로운 기능 및 개선 사항
- FedRAMP 높은 SCAP 프로필을 이제 OpenShift Container Platform 환경에서 사용할 수 있습니다. 자세한 내용은 지원되는 규정 준수 프로필을 참조하세요.
5.2.19.2. 버그 수정
-
이전에는
DAC_OVERRIDE기능이 삭제된 보안 환경에서 마운트 권한 문제로 인해OpenScap컨테이너가 충돌했습니다. 이제 실행 가능한 마운트 권한이 모든 사용자에게 적용됩니다. (BZ#2082151) -
이전에는 규정 준수 규칙
ocp4-configure-network-policies를MANUAL로 구성할 수 있었습니다. 이제 규정 준수 규칙ocp4-configure-network-policies가AUTOMATIC으로 설정되었습니다. (BZ#2072431) - 이전에는 Compliance Operator 스캔 포드가 스캔 후에 제거되지 않아 클러스터 자동 확장기가 축소에 실패했습니다. 이제 디버깅 목적으로 명시적으로 저장하지 않는 한 각 노드에서 포드가 기본적으로 제거됩니다. (BZ#2075029)
-
이전에는
KubeletConfig에 Compliance Operator를 적용하면 Machine Config Pool의 일시 중지가 너무 일찍 해제되어 노드가NotReady상태로 전환되었습니다. 이제 머신 구성 풀의 일시 중지가 적절히 해제되었고 노드가 정상적으로 작동합니다. (BZ#2071854) -
이전에는 Machine Config Operator가 최신 릴리스에서
URL로 인코딩된코드 대신base64를사용했기 때문에 Compliance Operator 수정이 실패했습니다. 이제 규정 준수 운영자는base64와URL로 인코딩된머신 구성 코드를 모두 처리하기 위한 인코딩을 확인하고 수정 사항을 올바르게 적용합니다. (BZ#2082431)
5.2.19.3. 알려진 문제
ScanSettingBinding개체 내에서"debug":true가설정된 경우,ScanSettingBinding개체에서 생성된 포드는 해당 바인딩이 삭제되어도 제거되지 않습니다. 해결 방법으로 다음 명령을 실행하여 나머지 포드를 삭제합니다.oc delete pods -l compliance.openshift.io/scan-name=ocp4-cis
$ oc delete pods -l compliance.openshift.io/scan-name=ocp4-cisCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.2.20. OpenShift Compliance Operator 0.1.49
다음 권고 사항은 OpenShift Compliance Operator 0.1.49에 대해 제공됩니다.
5.2.20.1. 새로운 기능 및 개선 사항
Compliance Operator는 이제 다음 아키텍처에서 지원됩니다.
- IBM Power®
- IBM Z®
- IBM® LinuxONE
5.2.20.2. 버그 수정
-
이전에는
openshift-compliance콘텐츠에 네트워크 유형에 대한 플랫폼별 검사가 포함되지 않았습니다. 그 결과 네트워크 구성에 따라not-applicable대신 OVN 및 SDN 관련 검사가failed표시되었습니다. 이제 새로운 규칙에는 네트워킹 규칙에 대한 플랫폼 검사가 포함되어 네트워크별 검사를 더욱 정확하게 평가할 수 있습니다. (BZ#1994609) -
이전에는
ocp4-moderate-routes-protected-by-tls규칙이 TLS 설정을 잘못 검사하여 연결이 SSL/TLS 프로토콜을 보호하더라도 규칙이 검사에 실패했습니다. 이제 검사에서는 네트워킹 지침과 프로필 권장 사항을 따르는 TLS 설정을 적절하게 평가합니다. (BZ#2002695) -
이전에는
ocp-cis-configure-network-policies-namespace가네임스페이스를 요청할 때 페이지 분할을 사용했습니다. 이로 인해 배포 시 500개가 넘는 네임스페이스 목록이 잘려 규칙이 실패했습니다. 이제 전체 네임스페이스 목록이 요청되고, 구성된 네트워크 정책을 확인하는 규칙은 네임스페이스가 500개 이상인 배포에 적용됩니다. (BZ#2038909) -
이전에는
sshd jinja매크로를 사용한 수정 방법이 특정 sshd 구성에 하드코딩되어 있었습니다. 결과적으로 구성이 규칙에서 검사하는 내용과 일치하지 않아 검사에 실패하게 되었습니다. 이제 sshd 구성이 매개변수화되었고 규칙이 성공적으로 적용됩니다. (BZ#2049141) -
이전에는
ocp4-cluster-version-operator-verify-integrity가항상 Cluter Version Operator(CVO) 기록의 첫 번째 항목을 확인했습니다. 결과적으로, OpenShift Container Platform의 후속 버전을 검증하는 상황에서는 업그레이드가 실패하게 됩니다. 이제ocp4-cluster-version-operator-verify-integrity에 대한 규정 준수 검사 결과는 검증된 버전을 감지할 수 있으며 CVO 기록과 정확합니다. (BZ#2053602) -
이전에는
ocp4-api-server-no-adm-ctrl-plugins-disabled규칙이 빈 입장 컨트롤러 플러그인 목록을 확인하지 않았습니다. 결과적으로 모든 입장 플러그인이 활성화되어 있더라도 규칙은 항상 실패합니다. 이제ocp4-api-server-no-adm-ctrl-plugins-disabled규칙에 대한 보다 강력한 검사가 모든 입장 컨트롤러 플러그인이 활성화된 상태에서 정확하게 통과합니다. (BZ#2058631) - 이전에는 Linux 워커 노드에 대한 플랫폼 검사가 스캔에 포함되지 않았습니다. 그 결과, Linux 기반이 아닌 작업자 노드에 대한 스캔을 실행하면 끝없는 스캔 루프가 발생했습니다. 이제 플랫폼 유형과 레이블에 따라 스캔 일정이 적절하게 완료되었습니다. (BZ#2056911)
5.2.21. OpenShift Compliance Operator 0.1.48
다음 권고 사항은 OpenShift Compliance Operator 0.1.48에 대해 제공됩니다.
5.2.21.1. 버그 수정
-
이전에는 확장된 OVAL(Open Vulnerability and Assessment Language) 정의와 관련된 일부 규칙의
checkType이None이었습니다. 이는 규정 준수 운영자가 규칙을 구문 분석할 때 확장된 OVAL 정의를 처리하지 않았기 때문입니다. 이 업데이트를 사용하면 확장된 OVAL 정의의 콘텐츠가 구문 분석되어 이러한 규칙의checkType이이제Node또는Platform으로 지정됩니다. (BZ#2040282) -
이전에는
KubeletConfig에 대한MachineConfig객체를 수동으로 생성했기 때문에 수정을 위한KubeletConfig객체가 생성되지 않아 수정이보류상태로 남았습니다. 이 릴리스에서는KubeletConfig에 대한 MachineConfig개체가 수동으로 생성되었는지 여부에 관계없이 수정을 통해KubeletConfig개체가 생성됩니다. 결과적으로KubeletConfig수정이 이제 예상대로 작동합니다. (BZ#2040401)
5.2.22. OpenShift Compliance Operator 0.1.47
다음 권고 사항은 OpenShift Compliance Operator 0.1.47에 대해 제공됩니다.
5.2.22.1. 새로운 기능 및 개선 사항
이제 규정 준수 운영자는 PCI DSS(Payment Card Industry Data Security Standard)에 대해 다음과 같은 규정 준수 벤치마크를 지원합니다.
- ocp4-pci-dss
- ocp4-pci-dss-node
- FedRAMP 중간 영향 수준에 대한 추가 규칙과 수정 사항이 OCP4-moderate, OCP4-moderate-node 및 rhcos4-moderate 프로필에 추가되었습니다.
- KubeletConfig에 대한 수정 사항은 이제 노드 수준 프로필에서 사용할 수 있습니다.
5.2.22.2. 버그 수정
이전에는 클러스터에서 OpenShift Container Platform 4.6 이하 버전을 실행 중이면 중간 프로필에 대한 USBGuard 관련 규칙 수정이 실패했습니다. 이는 규정 준수 운영자가 만든 수정 사항이 드롭인 디렉토리를 지원하지 않는 이전 버전의 USBGuard를 기반으로 했기 때문입니다. 이제 OpenShift Container Platform 4.6을 실행하는 클러스터에서는 USBGuard 관련 규칙에 대한 잘못된 수정 사항이 생성되지 않습니다. 클러스터에서 OpenShift Container Platform 4.6을 사용하는 경우 USBGuard 관련 규칙에 대한 수정 사항을 수동으로 만들어야 합니다.
또한, 수정 사항은 최소 버전 요구 사항을 충족하는 규칙에 대해서만 생성됩니다. (BZ#1965511)
-
이전에는 수정 사항을 렌더링할 때 규정 준수 운영자가 너무 엄격한 정규 표현식을 사용하여 수정 사항이 제대로 구성되었는지 확인했습니다. 결과적으로
sshd_config를렌더링하는 것과 같은 일부 수정 사항은 정규 표현식 검사를 통과하지 못해 생성되지 않았습니다. 정규 표현식이 불필요한 것으로 밝혀져 제거되었습니다. 이제 수정 사항이 올바르게 표시됩니다. (BZ#2033009)
5.2.23. OpenShift Compliance Operator 0.1.44
OpenShift Compliance Operator 0.1.44에 대해 다음 권고를 사용할 수 있습니다.
5.2.23.1. 새로운 기능 및 개선 사항
-
이번 릴리스에서는
ComplianceScan,ComplianceSuite및ScanSettingCR에strictNodeScan옵션이 추가되었습니다. 이 옵션은 노드에서 검색을 예약할 수 없는 경우 오류가 발생한 이전 동작과 일치하는true로 기본 설정됩니다. 옵션을false로 설정하면 Compliance Operator가 스케줄링 검사에 대해 더 관대해질 수 있습니다. 임시 노드가 있는 환경에서는strictNodeScan값을 false로 설정할 수 있으므로 클러스터의 일부 노드를 예약할 수 없는 경우에도 규정 준수 검사를 진행할 수 있습니다. -
이제
ScanSetting오브젝트의nodeSelector및tolerations속성을 구성하여 결과 서버 워크로드를 예약하는 데 사용되는 노드를 사용자 지정할 수 있습니다. 이러한 속성은 PV 스토리지 볼륨을 마운트하고 원시 자산 보고 형식(ARF) 결과를 저장하는 데 사용되는 Pod인ResultServerPod를 배치하는 데 사용됩니다. 이전에는nodeSelector및tolerations매개변수가 컨트롤 플레인 노드 중 하나를 선택하고node-role.kubernetes.io/master taint를 허용하는 것으로 기본 설정되었습니다. 이는 컨트롤 플레인 노드가 PV를 마운트할 수 없는 환경에서는 작동하지 않았습니다. 이 기능을 사용하면 해당 환경에서 노드를 선택하고 다른 테인트를 허용할 수 있습니다. -
Compliance Operator에서
KubeletConfig오브젝트를 수정할 수 있습니다. - 클러스터에 존재하지 않는 객체와 가져올 수 없는 객체를 구별하는 데 도움이 되는 오류 메시지가 포함된 주석이 추가되었습니다.
-
이제 rule 오브젝트에
checkType및description이라는 두 개의 새 속성이 포함됩니다. 이러한 속성을 사용하면 규칙과 노드 점검 또는 플랫폼 점검이 적용되는지 확인하고 규칙의 기능을 검토할 수도 있습니다. -
이 향상된 기능을 사용하면 맞춤형 프로필을 만들기 위해 기존 프로필을 확장해야 하는 요구 사항이 없어집니다. 즉
TailoredProfileCRD의extends필드가 더 이상 필수가 아닙니다. 이제 규칙 오브젝트 목록을 선택하여 맞춤형 프로필을 생성할 수 있습니다.compliance.openshift.io/product-type:주석을 설정하거나TailoredProfileCR에-node접미사를 설정하여 프로필이 노드 또는 플랫폼에 적용되는지 여부를 선택해야 합니다. -
이번 릴리스에서 Compliance Operator는 테인트와 관계없이 모든 노드에서 검사를 예약할 수 있습니다. 이전에는 검사 Pod에서
node-role.kubernetes.io/master taint만 허용했습니다. 즉, 테인트가 없는 노드에서나node-role.kubernetes.io/master테인트가 있는 노드에서만 실행되었습니다. 노드에 사용자 정의 테인트를 사용하는 배포에서는 해당 노드에 검사가 예약되지 않았습니다. 이제 검사 Pod에서 모든 노드 테인트를 허용합니다. 이 릴리스에서 규정 준수 운영자는 다음과 같은 North American Electric Reliability Corporation(NERC) 보안 프로필을 지원합니다.
- ocp4-nerc-cip
- ocp4-nerc-cip-node
- rhcos4-nerc-cip
- 이번 릴리스에서 Compliance Operator는 Red Hat OpenShift에 대한 NIST 800-53 중간 영향 기준선(노드 수준, ocp4-moderate-node, 보안 프로필)을 지원합니다.
5.2.23.2. 템플릿 및 변수 사용
- 이번 릴리스에서는 해결 템플릿에서 다중 값 변수를 허용합니다.
-
이번 업데이트를 통해 Compliance Operator는 규정 준수 프로필에 설정된 변수를 기반으로 수정을 변경할 수 있습니다. 이는 시간 제한, NTP 서버 호스트 이름 또는 유사한 배포별 값을 포함하는 수정에 유용합니다. 또한,
ComplianceCheckResult객체는 이제 검사에 사용된 변수를 나열하는compliance.openshift.io/check-has-value레이블을 사용합니다.
5.2.23.3. 버그 수정
- 이전에는 검사를 수행하는 동안 Pod의 스캐너 컨테이너 중 하나에서 예기치 않은 종료가 발생했습니다. 이번 릴리스에서 Compliance Operator는 최신 OpenSCAP 버전 1.3.5를 사용하여 충돌을 방지합니다.
-
이전 버전에서는
autoReplyRemediations를 사용하여 수정을 적용하면 클러스터 노드 업데이트가 트리거되었습니다. 일부 수정에 필요한 입력 변수가 모두 포함되지 않은 경우 이로 인해 중단되었습니다. 이제 수정에 필요한 입력 변수가 하나 이상 누락된 경우NeedsReview상태가 할당됩니다. 하나 이상의 수정이needsReview상태에 있는 경우 머신 구성 풀은 일시 중지된 상태로 남아 있으며 모든 필수 변수가 설정될 때까지 수정이 적용되지 않습니다. 이렇게 하면 노드 중단을 최소화할 수 있습니다. - Prometheus 지표에 사용되는 RBAC 역할 및 역할 바인딩이 'ClusterRole' 및 'ClusterRoleBinding'으로 변경되어 사용자 지정 없이 모니터링이 작동하는지 확인합니다.
-
이전에는 프로필을 구문 분석하는 중에 오류가 발생하면 규칙 또는 변수 오브젝트가 프로필에서 제거되고 삭제되었습니다. 이제 구문 분석 중에 오류가 발생하면
profileparser는 구문 분석이 완료될 때까지 오브젝트가 삭제되지 않도록 임시 주석으로 오브젝트에 주석을 추가합니다. (BZ#1988259) -
이전에는 맞춤형 프로필에서 제목 또는 설명이 누락된 경우 오류가 발생했습니다. XCCDF 표준에는 맞춤형 프로필에 대한 제목과 설명이 필요하므로 이제
TailoredProfileCR에 제목 및 설명을 설정해야 합니다. -
이전에는 맞춤형 프로필을 사용할 때 특정 선택 세트만 사용하여
TailoredProfile변수 값을 설정할 수 있었습니다. 이제 이 제한이 제거되고TailoredProfile변수를 임의의 값으로 설정할 수 있습니다.
5.2.24. Compliance Operator 0.1.39의 릴리스 정보
OpenShift Compliance Operator 0.1.39에 대해 다음 권고를 사용할 수 있습니다.
5.2.24.1. 새로운 기능 및 개선 사항
- 이전에는 Compliance Operator에서 PCI DSS(Payment Card Industry Data Security Standard) 참조를 구문 분석할 수 없었습니다. 이제 운영자는 PCI DSS 프로필과 함께 제공되는 규정 준수 콘텐츠를 구문 분석할 수 있습니다.
- 이전에는 Compliance Operator에서 보통 프로필에서 AU-5 제어 규칙을 실행할 수 없었습니다. 이제 Prometheusrules.monitoring.coreos.com 오브젝트를 읽고 보통 프로필에서 AU-5 제어를 포함하는 규칙을 실행할 수 있도록 Operator에 권한이 추가됩니다.
5.3. 규정 준수 운영자 지원
5.3.1. 규정 준수 운영자 수명 주기
규정 준수 운영자는 "롤링 스트림" 운영자입니다. 즉, OpenShift Container Platform 릴리스에 대한 업데이트가 비동기적으로 제공됩니다. 자세한 내용은 Red Hat 고객 포털의 OpenShift Operator 수명 주기를 참조하세요.
5.3.2. 지원 요청
이 문서에 설명된 절차 또는 일반적으로 OpenShift Container Platform에 문제가 발생하는 경우 Red Hat 고객 포털에 액세스하십시오.
고객 포털에서 다음을 수행할 수 있습니다.
- Red Hat 제품과 관련된 기사 및 솔루션에 대한 Red Hat 지식베이스를 검색하거나 살펴볼 수 있습니다.
- Red Hat 지원에 대한 지원 케이스 제출할 수 있습니다.
- 다른 제품 설명서에 액세스 가능합니다.
클러스터의 문제를 식별하려면 OpenShift Cluster Manager 의 Insights를 사용할 수 있습니다. Insights는 문제에 대한 세부 정보 및 문제 해결 방법에 대한 정보를 제공합니다.
이 문서를 개선하기 위한 제안이 있거나 오류를 발견한 경우, 가장 관련성 있는 문서 구성 요소에 대한 Jira 이슈를 제출하세요. 섹션 이름 및 OpenShift Container Platform 버전과 같은 구체적인 정보를 제공합니다.
5.3.3. 규정 준수 운영자를 위한 필수 수집 도구 사용
Compliance Operator v1.6.0부터 Compliance Operator 이미지와 함께 must-gather 명령을 실행하여 Compliance Operator 리소스에 대한 데이터를 수집할 수 있습니다.
지원 사례를 열거나 버그 보고서를 제출할 때 필수 수집 도구를 사용하는 것을 고려하세요. 이 도구는 운영자 구성 및 로그에 대한 추가 세부 정보를 제공합니다.
프로세스
다음 명령을 실행하여 규정 준수 운영자에 대한 데이터를 수집합니다.
oc adm must-gather --image=$(oc get csv compliance-operator.v1.6.0 -o=jsonpath='{.spec.relatedImages[?(@.name=="must-gather")].image}')$ oc adm must-gather --image=$(oc get csv compliance-operator.v1.6.0 -o=jsonpath='{.spec.relatedImages[?(@.name=="must-gather")].image}')Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.4. 규정 준수 운영자 개념
5.4.1. Compliance Operator 이해
OpenShift Container Platform 관리자는 Compliance Operator를 통해 클러스터의 필수 규정 준수 상태를 설명하고 격차에 대한 개요와 문제를 해결하는 방법을 제공할 수 있습니다. Compliance Operator는 OpenShift Container Platform의 Kubernetes API 리소스와 클러스터를 실행하는 노드 모두의 규정 준수를 평가합니다. Compliance Operator는 NIST 인증 툴인 OpenSCAP을 사용하여 콘텐츠에서 제공하는 보안 정책을 검사하고 시행합니다.
Compliance Operator는 Red Hat Enterprise Linux CoreOS(RHCOS) 배포에만 사용할 수 있습니다.
5.4.1.1. Compliance Operator 프로필
Compliance Operator 설치의 일부로 다양한 프로필을 사용할 수 있습니다. oc get 명령을 사용하면 사용 가능한 프로필, 프로필 세부 정보 및 특정 규칙을 볼 수 있습니다.
사용 가능한 프로필 보기:
oc get profile.compliance -n openshift-compliance
$ oc get profile.compliance -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이러한 프로필은 다양한 규정 준수 벤치마크를 나타냅니다. 각 프로필에는 적용되는 제품 이름이 프로필 이름에 접두사로 추가됩니다.
ocp4-e8은OpenShift Container Platform 제품에 Essential 8 벤치마크를 적용하고,rhcos4-e8은 Red Hat Enterprise Linux CoreOS(RHCOS) 제품에 Essential 8 벤치마크를 적용합니다.rhcos4-e8프로필의 세부 정보를 보려면 다음 명령을 실행하세요.oc get -n openshift-compliance -oyaml profiles.compliance rhcos4-e8
$ oc get -n openshift-compliance -oyaml profiles.compliance rhcos4-e8Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예 5.1. 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rhcos4-audit-rules-login-events규칙의 세부 정보를 보려면 다음 명령을 실행하세요.oc get -n openshift-compliance -oyaml rules rhcos4-audit-rules-login-events
$ oc get -n openshift-compliance -oyaml rules rhcos4-audit-rules-login-eventsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 예 5.2. 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.4.1.1.1. 규정 준수 운영자 프로필 유형
규정 준수 운영자 규칙은 프로필로 구성됩니다. 프로필은 OpenShift Container Platform의 플랫폼이나 노드를 타겟으로 할 수 있으며, 일부 벤치마크에는 rhcos4 노드 프로필이 포함됩니다.
- 플랫폼
- 플랫폼 프로필은 OpenShift Container Platform 클러스터 구성 요소를 평가합니다. 예를 들어, 플랫폼 수준 규칙은 APIServer 구성에서 강력한 암호화를 사용하는지 확인할 수 있습니다.
- 노드
-
노드 프로필은 각 호스트의 OpenShift 또는 RHCOS 구성을 평가합니다. 두 가지 노드 프로필을 사용할 수 있습니다.
ocp4노드 프로필과rhcos4노드 프로필입니다.ocp4노드 프로필은 각 호스트의 OpenShift 구성을 평가합니다. 예를 들어,kubeconfig파일에 규정 준수 기준을 충족하는 데 필요한 올바른 권한이 있는지 확인할 수 있습니다.rhcos4노드 프로필은 각 호스트의 Red Hat Enterprise Linux CoreOS(RHCOS) 구성을 평가합니다. 예를 들어, SSHD 서비스가 비밀번호 로그인을 비활성화하도록 구성되어 있는지 확인할 수 있습니다.
PCI-DSS와 같이 노드 및 플랫폼 프로필이 있는 벤치마크의 경우 OpenShift Container Platform 환경에서 두 프로필을 모두 실행해야 합니다.
FedRAMP High와 같이 ocp4 플랫폼, ocp4 노드 및 rhcos4 노드 프로필이 있는 벤치마크의 경우 OpenShift 컨테이너 플랫폼 환경에서 세 가지 프로필을 모두 실행해야 합니다.
많은 노드가 있는 클러스터에서는 ocp4 노드와 rhcos4 노드 스캔을 완료하는 데 시간이 오래 걸릴 수 있습니다.
5.4.2. 사용자 정의 리소스 정의 이해
OpenShift 컨테이너 플랫폼의 Compliance Operator는 규정 준수 검사를 수행하기 위한 여러 가지 사용자 정의 리소스 정의(CRD)를 제공합니다. 규정 준수 검사를 실행하려면 ComplianceAsCode 커뮤니티 프로젝트에서 파생된 사전 정의된 보안 정책을 활용합니다. 규정 준수 운영자는 이러한 보안 정책을 CRD로 변환합니다. 이를 사용하여 규정 준수 검사를 실행하고 발견된 문제에 대한 수정 사항을 얻을 수 있습니다.
5.4.2.1. CRD 워크플로
CRD는 규정 준수 검사를 완료하기 위한 다음과 같은 워크플로를 제공합니다.
- 규정 준수 스캔 요구 사항 정의
- 규정 준수 검사 설정 구성
- 규정 준수 스캔 설정을 사용하여 규정 준수 요구 사항 처리
- 규정 준수 스캔을 모니터링합니다.
- 규정 준수 검사 결과를 확인하세요
5.4.2.2. 규정 준수 스캔 요구 사항 정의
기본적으로 Compliance Operator CRD에는 ProfileBundle 및 Profile 개체가 포함되어 있으며, 이를 통해 규정 준수 검사 요구 사항에 대한 규칙을 정의하고 설정할 수 있습니다. TailoredProfile 객체를 사용하여 기본 프로필을 사용자 정의할 수도 있습니다.
5.4.2.2.1. ProfileBundle 객체
Compliance Operator를 설치하면 즉시 실행 가능한 ProfileBundle 오브젝트가 포함됩니다. 규정 준수 연산자는 ProfileBundle 객체를 구문 분석하고 번들의 각 프로필에 대한 Profile 객체를 생성합니다. 또한 Profile 객체에서 사용되는 Rule 및 Variable 객체를 구문 분석합니다.
ProfileBundle 객체의 예
- 1
- Compliance Operator에서 콘텐츠 파일을 구문 분석할 수 있는지 여부를 나타냅니다.
contentFile이 실패하면 발생한 오류에 대한 세부 정보를 제공하는 errorMessage 속성이 나타납니다.
문제 해결
유효하지 않은 이미지에서 알려진 콘텐츠 이미지로 롤백하는 경우 ProfileBundle 개체가 응답을 멈추고 PENDING 상태가 표시됩니다. 해결 방법으로, 이전 이미지가 아닌 다른 이미지로 이동할 수 있습니다. 또는 ProfileBundle 객체를 삭제하고 다시 생성하여 작업 상태로 돌아갈 수 있습니다.
5.4.2.2.2. 프로필 객체
Profile 객체는 특정 규정 준수 기준에 대해 평가할 수 있는 규칙과 변수를 정의합니다. 여기에는 XCCDF 식별자와 노드 또는 플랫폼 유형에 대한 프로필 검사 등 OpenSCAP 프로필에 대한 구문 분석된 세부 정보가 포함되어 있습니다. Profile 오브젝트를 직접 사용하거나 Tailor Profile 오브젝트를 사용하여 추가로 사용자 지정할 수 있습니다.
Profile 객체는 단일 ProfileBundle 객체에서 파생되므로 수동으로 생성하거나 수정할 수 없습니다. 일반적으로 단일 ProfileBundle 객체에는 여러 개의 Profile 객체가 포함될 수 있습니다.
예제 Profile 객체
5.4.2.2.3. 규칙 객체
프로필을 형성하는 규칙 객체도 객체로 노출됩니다. 규칙 객체를 사용하여 규정 준수 검사 요구 사항을 정의하고 이를 수정하는 방법을 지정합니다.
예제 규칙 객체
Rule 객체는 연관된 ProfileBundle 객체를 쉽게 식별할 수 있도록 적절한 레이블을 얻습니다. ProfileBundle 은 또한 이 객체의 OwnerReferences 에 지정됩니다.
5.4.2.2.4. TailoredProfile 객체
TailoredProfile 객체를 사용하여 조직의 요구 사항에 따라 기본 Profile 객체를 수정합니다. 규칙을 활성화하거나 비활성화하고, 변수 값을 설정하고, 사용자 정의에 대한 정당성을 제공할 수 있습니다. 검증 후 TailoredProfile 개체는 ConfigMap을 생성하고, 이는 ComplianceScan 개체에서 참조할 수 있습니다.
ScanSettingBinding 개체에서 TailoredProfile 개체를 참조하여 해당 개체를 사용할 수 있습니다. ScanSettingBinding 에 대한 자세한 내용은 ScanSettingBinding 개체를 참조하세요.
TailoredProfile 오브젝트의 예
- 1
- 이는 선택 사항입니다.
TailoredProfile이 빌드된Profile오브젝트의 이름입니다. 값을 설정하지 않으면enableRules목록에서 새 프로필이 생성됩니다. - 2
- 맞춤형 프로필의 XCCDF 이름을 지정합니다.
- 3
ComplianceScan의tailoringConfigMap.name속성 값으로 사용할 수 있는ConfigMap이름을 지정합니다.- 4
READY,PENDING,FAILURE와 같은 객체의 상태를 보여줍니다. 객체의 상태가ERROR인 경우,status.errorMessage속성은 실패 이유를 제공합니다.
TailoredProfile 객체를 사용하면 TailoredProfile 구조를 사용하여 새로운 Profile 객체를 만들 수 있습니다. 새 프로필을 만들려면 다음 구성 매개변수를 설정하세요.
- 적절한 제목
-
확장값은 비어 있어야 합니다. TailoredProfile객체에 대한 스캔 유형 주석:compliance.openshift.io/product-type: Platform/Node
compliance.openshift.io/product-type: Platform/NodeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고제품 유형주석을 설정하지 않은 경우 규정 준수 운영자는 기본적으로플랫폼스캔 유형을 사용합니다.TailoredProfile객체의 이름에-node접미사를 추가하면노드스캔 유형이 생성됩니다.
5.4.2.3. 규정 준수 검사 설정 구성
규정 준수 검사의 요구 사항을 정의한 후 검사 유형, 검사 발생 시기, 검사 위치를 지정하여 규정 준수 검사를 구성할 수 있습니다. 이를 위해 Compliance Operator는 ScanSetting 객체를 제공합니다.
5.4.2.3.1. ScanSetting 객체
ScanSetting 객체를 사용하여 스캔을 실행하기 위한 운영 정책을 정의하고 재사용합니다. 기본적으로 Compliance Operator는 다음과 같은 ScanSetting 객체를 생성합니다.
- Default - PV(영구 볼륨)를 사용하여 마스터 노드와 작업자 노드 모두에서 매일 검사를 실행하고 마지막 세 가지 결과를 유지합니다. 수정 사항이 자동으로 적용되거나 업데이트되지 않습니다.
-
default-auto-apply - PV(영구 볼륨)를 사용하여 컨트롤 플레인 및 작업자 노드에서 매일 1AM에서 검사를 실행하고 마지막 세 가지 결과를 유지합니다.
autoApplyRemediations와autoUpdateRemediations가모두 true로 설정되었습니다.
ScanSetting 객체 예제
- 1
- 자동 수정을 활성화하려면
true로 설정합니다. 자동 수정을 비활성화하려면false로 설정합니다. - 2
- 콘텐츠 업데이트에 대한 자동 수정을 활성화하려면
true로 설정합니다. 콘텐츠 업데이트에 대한 자동 수정을 비활성화하려면false로 설정합니다. - 3
- 원시 결과 형식으로 저장된 스캔의 수를 지정합니다. 기본값은
3입니다. 이전 결과가 순환되면 관리자는 순환이 발생하기 전에 결과를 다른 곳에 저장해야 합니다. - 4
- 스캔의 원시 결과를 저장하기 위해 생성해야 하는 저장 크기를 지정합니다. 기본값은
1Gi입니다 - 6
- 크론 형식으로 검사를 얼마나 자주 실행할지 지정합니다.참고
회전 정책을 비활성화하려면 값을
0으로 설정합니다. - 5
Node유형에 대한 검사를 예약하려면node-role.kubernetes.io레이블 값을 지정합니다. 이 값은MachineConfigPool의 이름과 일치해야 합니다.
5.4.2.4. 규정 준수 스캔 설정을 사용하여 규정 준수 스캔 요구 사항 처리
규정 준수 검사 요구 사항을 정의하고 검사를 실행하기 위한 설정을 구성하면 규정 준수 연산자는 ScanSettingBinding 개체를 사용하여 이를 처리합니다.
5.4.2.4.1. ScanSettingBinding 객체
ScanSettingBinding 객체를 사용하여 Profile 또는 TailoredProfile 객체를 참조하여 규정 준수 요구 사항을 지정합니다. 그런 다음 스캔에 대한 운영 제약 조건을 제공하는 ScanSetting 개체에 연결됩니다. 그런 다음 Compliance Operator는 ScanSetting 및 ScanSettingBinding 개체를 기반으로 ComplianceSuite 개체를 생성합니다.
예제 ScanSettingBinding 오브젝트
ScanSetting 및 ScanSettingBinding 객체를 생성하면 규정 준수 제품군이 생성됩니다. 규정 준수 제품군 목록을 얻으려면 다음 명령을 실행하세요.
oc get compliancesuites
$ oc get compliancesuites
ScanSettingBinding을 삭제하면 규정 준수 제품군도 삭제됩니다.
5.4.2.5. 규정 준수 검사 추적
규정 준수 제품군을 만든 후에는 ComplianceSuite 객체를 사용하여 배포된 스캔의 상태를 모니터링할 수 있습니다.
5.4.2.5.1. ComplianceSuite 객체
ComplianceSuite 객체는 스캔 상태를 추적하는 데 도움이 됩니다. 여기에는 스캔을 생성하는 데 필요한 원시 설정과 전반적인 결과가 포함되어 있습니다.
노드 유형 스캔의 경우 문제에 대한 해결 방법이 포함되어 있으므로 해당 스캔을 MachineConfigPool 에 매핑해야 합니다. 라벨을 지정하는 경우 풀에 직접 적용되는지 확인하세요.
ComplianceSuite 오브젝트의 예
백그라운드의 스위트는 스캔 매개변수를 기반으로 ComplianceScan 객체를 생성합니다. ComplianceSuites 이벤트를 프로그래밍 방식으로 가져올 수 있습니다. 해당 제품군의 이벤트를 가져오려면 다음 명령을 실행하세요.
oc get events --field-selector involvedObject.kind=ComplianceSuite,involvedObject.name=<name of the suite>
$ oc get events --field-selector involvedObject.kind=ComplianceSuite,involvedObject.name=<name of the suite>
XCCDF 속성이 포함되어 있으므로 ComplianceSuite를 수동으로 정의하면 오류가 발생할 수 있습니다.
5.4.2.5.2. 고급 ComplianceScan 개체
Compliance Operator에는 고급 사용자가 기존 툴을 디버깅하거나 통합할 수 있는 옵션이 포함되어 있습니다. ComplianceScan 객체를 직접 생성하지 않는 것이 좋지만 대신 ComplianceSuite 객체를 사용하여 관리할 수 있습니다.
고급 ComplianceScan 개체 예제
- 1
노드또는플랫폼을지정하세요. 노드 프로필은 클러스터 노드를 스캔하고 플랫폼 프로필은 Kubernetes 플랫폼을 스캔합니다.- 2
- 실행하려는 프로필의 XCCDF 식별자를 지정합니다.
- 3
- 프로필 파일을 캡슐화하는 컨테이너 이미지를 지정합니다.
- 4
- 이는 선택 사항입니다. 단일 규칙을 실행하도록 검사를 지정합니다. 이 규칙은 XCCDF ID로 식별되어야 하며, 지정된 프로필에 속해야 합니다.참고
규칙매개변수를 건너뛰면 지정된 프로필의 사용 가능한 모든 규칙에 대한 검사가 실행됩니다. - 5
- OpenShift Container Platform을 사용하고 수정 사항을 생성하려는 경우 nodeSelector 레이블은
MachineConfigPool레이블과 일치해야 합니다.참고nodeSelector매개변수를 지정하지 않거나MachineConfig레이블과 일치하지 않으면 검사는 계속 실행되지만 수정 사항은 생성되지 않습니다. - 6
- 스캔의 현재 단계를 나타냅니다.
- 7
- 검사 결과를 나타냅니다.
ComplianceSuite 객체를 삭제하면 관련된 모든 스캔이 삭제됩니다.
검사가 완료되면 ComplianceCheckResult 개체의 사용자 지정 리소스로 결과가 생성됩니다. 하지만 원시 결과는 ARF 형식으로 제공됩니다. 이러한 결과는 스캔 이름과 연결된 영구 볼륨 클레임(PVC)이 있는 영구 볼륨(PV)에 저장됩니다. ComplianceScans 이벤트를 프로그래밍 방식으로 가져올 수 있습니다. 제품군에 대한 이벤트를 생성하려면 다음 명령을 실행하세요.
oc get events --field-selector involvedObject.kind=ComplianceScan,involvedObject.name=<name_of_the_compliance_scan>
oc get events --field-selector involvedObject.kind=ComplianceScan,involvedObject.name=<name_of_the_compliance_scan>5.4.2.6. 규정 준수 결과 보기
규정 준수 제품군이 완료 단계에 도달하면 검사 결과와 가능한 수정 사항을 볼 수 있습니다.
5.4.2.6.1. ComplianceCheckResult 객체
특정 프로필로 검사를 실행하면 프로필의 여러 규칙이 검증됩니다. 이러한 각 규칙에 대해 ComplianceCheckResult 개체가 생성되어 특정 규칙에 대한 클러스터 상태를 제공합니다.
ComplianceCheckResult 오브젝트의 예
모든 검사 결과를 얻으려면 다음 명령을 실행하세요.
oc get compliancecheckresults \ -l compliance.openshift.io/suite=workers-compliancesuite
oc get compliancecheckresults \
-l compliance.openshift.io/suite=workers-compliancesuite5.4.2.6.2. ComplianceRemediation 객체
특정 검사를 위해 데이터 스트림을 지정하여 수정할 수 있습니다. 하지만 Kubernetes 수정 사항이 있는 경우 Compliance Operator는 ComplianceRemediation 객체를 생성합니다.
ComplianceRemediation 오브젝트의 예
제품군의 모든 수정 사항을 가져오려면 다음 명령을 실행하세요.
oc get complianceremediations \ -l compliance.openshift.io/suite=workers-compliancesuite
oc get complianceremediations \
-l compliance.openshift.io/suite=workers-compliancesuite자동으로 수정할 수 있는 모든 실패 검사를 나열하려면 다음 명령을 실행하세요.
oc get compliancecheckresults \ -l 'compliance.openshift.io/check-status in (FAIL),compliance.openshift.io/automated-remediation'
oc get compliancecheckresults \
-l 'compliance.openshift.io/check-status in (FAIL),compliance.openshift.io/automated-remediation'수동으로 수정할 수 있는 모든 실패 검사를 나열하려면 다음 명령을 실행하세요.
oc get compliancecheckresults \ -l 'compliance.openshift.io/check-status in (FAIL),!compliance.openshift.io/automated-remediation'
oc get compliancecheckresults \
-l 'compliance.openshift.io/check-status in (FAIL),!compliance.openshift.io/automated-remediation'5.5. 규정 준수 운영자 관리
5.5.1. Compliance Operator 설치
Compliance Operator를 사용하려면 먼저 클러스터에 배포되었는지 확인해야 합니다.
이 연산자가 제대로 작동하려면 모든 클러스터 노드에 동일한 릴리스 버전이 있어야 합니다. 예를 들어, RHCOS를 실행하는 노드의 경우 모든 노드는 동일한 RHCOS 버전을 가져야 합니다.
규정 준수 운영자는 OpenShift Dedicated, AWS Classic의 Red Hat OpenShift Service, Microsoft Azure Red Hat OpenShift와 같은 관리형 플랫폼에서 잘못된 결과를 보고할 수 있습니다. 자세한 내용은 기술 자료 문서 Compliance Operator가 Managed Services에서 잘못된 결과를 보고한다는 내용을 참조하세요.
Compliance Operator를 배포하기 전에 클러스터에 영구 저장소를 정의하여 원시 결과 출력을 저장해야 합니다. 자세한 내용은 영구 저장소 개요 및 기본 저장소 클래스 관리를 참조하세요.
5.5.1.1. 웹 콘솔을 통해 Compliance Operator 설치
사전 요구 사항
-
admin권한이 있어야 합니다. -
StorageClass리소스를 구성해야 합니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Operator → OperatorHub로 이동합니다.
- Compliance Operator를 검색한 다음 설치를 클릭합니다.
-
기본 설치 모드 및 네임스페이스를 계속 선택하여 Operator가
openshift-compliance네임스페이스에 설치되도록 합니다. - 설치를 클릭합니다.
검증
설치에 성공했는지 확인하려면 다음을 수행하십시오.
- Operator → 설치된 Operator 페이지로 이동합니다.
-
Compliance Operator가
openshift-compliance네임스페이스에 설치되어 있고 해당 상태는Succeeded인지 확인합니다.
Operator가 성공적으로 설치되지 않은 경우 다음을 수행하십시오.
-
Operator → 설치된 Operator 페이지로 이동하여
Status열에 오류 또는 실패가 있는지 점검합니다. -
워크로드 → Pod 페이지로 이동하고
openshift-compliance프로젝트에서 문제를 보고하는 Pod의 로그를 확인합니다.
restricted SCC(보안 컨텍스트 제약 조건)가 system:authenticated 그룹을 포함하도록 수정되었거나 requiredDropCapabilities를 추가한 경우 Compliance Operator 가 권한 문제로 인해 제대로 작동하지 않을 수 있습니다.
Compliance Operator 스캐너 포드 서비스 계정에 대한 사용자 지정 SCC를 만들 수 있습니다. 자세한 내용은 Compliance Operator에 대한 사용자 지정 SCC 만들기를 참조하세요.
5.5.1.2. CLI를 사용하여 Compliance Operator 설치
사전 요구 사항
-
admin권한이 있어야 합니다. -
StorageClass리소스를 구성해야 합니다.
프로세스
네임스페이스객체를 정의합니다.예제
namespace-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- OpenShift Container Platform 4.19에서는 네임스페이스 수준에서 Pod 보안 레이블을
특권으로 설정해야 합니다.
Namespace오브젝트를 생성합니다.oc create -f namespace-object.yaml
$ oc create -f namespace-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow OperatorGroup객체를 정의합니다.예제
operator-group-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow OperatorGroup개체를 생성합니다.oc create -f operator-group-object.yaml
$ oc create -f operator-group-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 구독객체를 정의합니다.subscription-object.yaml예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow Subscription오브젝트를 생성합니다.oc create -f subscription-object.yaml
$ oc create -f subscription-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
글로벌 스케줄러 기능을 설정하고 defaultNodeSelector를 활성화하는 경우 네임스페이스를 수동으로 생성하고 openshift-compliance 네임스페이스의 주석 또는 Compliance Operator가 설치된 네임스페이스를 openshift.io/node-selector: “”로 업데이트해야 합니다. 이렇게 하면 기본 노드 선택기가 제거되고 배포 실패가 발생하지 않습니다.
검증
CSV 파일을 검사하여 설치에 성공했는지 확인합니다.
oc get csv -n openshift-compliance
$ oc get csv -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow Compliance Operator가 실행 중인지 확인합니다.
oc get deploy -n openshift-compliance
$ oc get deploy -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.5.1.3. ROSA 호스팅 제어 평면(HCP)에 Compliance Operator 설치
Compliance Operator 1.5.0 릴리스부터 Operator는 호스팅 제어 평면을 사용하여 AWS에서 Red Hat OpenShift Service에 대해 테스트되었습니다.
AWS에서 호스팅되는 Red Hat OpenShift Service의 제어 평면 클러스터는 Red Hat에서 관리하는 제어 평면에 대한 액세스가 제한됩니다. 기본적으로 규정 준수 운영자는 마스터 노드 풀 내의 노드를 예약하는데, 이는 AWS 호스팅 제어 평면 설치의 Red Hat OpenShift 서비스에서는 사용할 수 없습니다. 이렇게 하려면 운영자가 사용 가능한 노드 풀에서 일정을 예약할 수 있도록 구독 객체를 구성해야 합니다. 이 단계는 AWS 호스팅 제어 플레인 클러스터의 Red Hat OpenShift Service에 성공적으로 설치하는 데 필요합니다.
사전 요구 사항
-
admin권한이 있어야 합니다. -
StorageClass리소스를 구성해야 합니다.
프로세스
네임스페이스객체를 정의합니다.namespace-object.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- OpenShift Container Platform 4.19에서는 네임스페이스 수준에서 Pod 보안 레이블을
특권으로 설정해야 합니다.
다음 명령을 실행하여
네임스페이스객체를 만듭니다.oc create -f namespace-object.yaml
$ oc create -f namespace-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow OperatorGroup객체를 정의합니다.operator-group-object.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
OperatorGroup객체를 만듭니다.oc create -f operator-group-object.yaml
$ oc create -f operator-group-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 구독객체를 정의합니다.subscription-object.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
작업자노드에 배포하도록 Operator 배포를 업데이트합니다.
다음 명령을 실행하여 서브스크립션 오브젝트를 생성합니다.
oc create -f subscription-object.yaml
$ oc create -f subscription-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 클러스터 서비스 버전(CSV) 파일을 검사하여 설치가 성공했는지 확인하세요.
oc get csv -n openshift-compliance
$ oc get csv -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 사용하여 Compliance Operator가 실행 중인지 확인하세요.
oc get deploy -n openshift-compliance
$ oc get deploy -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
restricted SCC(보안 컨텍스트 제약 조건)가 system:authenticated 그룹을 포함하도록 수정되었거나 requiredDropCapabilities를 추가한 경우 Compliance Operator 가 권한 문제로 인해 제대로 작동하지 않을 수 있습니다.
Compliance Operator 스캐너 포드 서비스 계정에 대한 사용자 지정 SCC를 만들 수 있습니다. 자세한 내용은 Compliance Operator에 대한 사용자 지정 SCC 만들기를 참조하세요.
5.5.1.4. Hypershift 호스팅 제어 평면에 Compliance Operator 설치
Compliance Operator는 OperatorHub를 사용하여 구독 파일을 생성하여 호스팅된 제어 평면에 설치할 수 있습니다.
호스팅된 컨트롤 플레인은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
사전 요구 사항
-
admin권한이 있어야 합니다.
프로세스
다음과 유사한
네임스페이스객체를 정의합니다.예제
namespace-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- OpenShift Container Platform 4.19에서는 네임스페이스 수준에서 Pod 보안 레이블을
특권으로 설정해야 합니다.
다음 명령을 실행하여
네임스페이스객체를 만듭니다.oc create -f namespace-object.yaml
$ oc create -f namespace-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow OperatorGroup객체를 정의합니다.예제
operator-group-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
OperatorGroup객체를 만듭니다.oc create -f operator-group-object.yaml
$ oc create -f operator-group-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 구독객체를 정의합니다.subscription-object.yaml예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 서브스크립션 오브젝트를 생성합니다.
oc create -f subscription-object.yaml
$ oc create -f subscription-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 CSV 파일을 검사하여 설치가 성공했는지 확인하세요.
oc get csv -n openshift-compliance
$ oc get csv -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Compliance Operator가 실행 중인지 확인하세요.
oc get deploy -n openshift-compliance
$ oc get deploy -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.5.2. 규정 준수 운영자 업데이트
클러스터 관리자는 OpenShift Container Platform 클러스터에서 Compliance Operator를 업데이트할 수 있습니다.
OpenShift Container Platform 클러스터를 버전 4.14로 업데이트하면 Compliance Operator가 예상대로 작동하지 않을 수 있습니다. 이는 지속적으로 알려진 문제 때문입니다. 자세한 내용은 OCPBUGS-18025를 참조하세요.
5.5.2.1. 운영자 업데이트 준비
설치된 운영자의 구독은 운영자에 대한 업데이트를 추적하고 수신하는 업데이트 채널을 지정합니다. 업데이트 채널을 변경하여 새로운 채널에서 업데이트를 추적하고 받을 수 있습니다.
구독의 업데이트 채널 이름은 운영자마다 다를 수 있지만, 명명 체계는 일반적으로 주어진 운영자 내에서 공통된 규칙을 따릅니다. 예를 들어 채널 이름은 Operator(1.2, 1.3) 또는 릴리스 빈도(stable, fast)에서 제공하는 애플리케이션의 마이너 릴리스 업데이트 스트림을 따를 수 있습니다.
설치된 운영자를 현재 채널보다 오래된 채널로 변경할 수 없습니다.
Red Hat 고객 포털 랩에는 관리자가 운영자를 업데이트할 준비를 하는 데 도움이 되는 다음과 같은 애플리케이션이 포함되어 있습니다.
이 애플리케이션을 사용하면 Operator Lifecycle Manager 기반 Operator를 검색하고 다양한 버전의 OpenShift Container Platform에서 업데이트 채널별로 사용 가능한 Operator 버전을 확인할 수 있습니다. 클러스터 버전 연산자 기반 연산자는 포함되지 않습니다.
5.5.2.2. Operator의 업데이트 채널 변경
OpenShift Container Platform 웹 콘솔을 사용하여 운영자의 업데이트 채널을 변경할 수 있습니다.
서브스크립션의 승인 전략이 자동으로 설정된 경우 선택한 채널에서 새 Operator 버전을 사용할 수 있는 즉시 업데이트 프로세스가 시작됩니다. 승인 전략이 수동으로 설정된 경우 보류 중인 업데이트를 수동으로 승인해야 합니다.
사전 요구 사항
- OLM(Operator Lifecycle Manager)을 사용하여 이전에 설치한 Operator입니다.
프로세스
- 웹 콘솔의 관리자 화면에서 Operator → Installed Operators로 이동합니다.
- 업데이트 채널을 변경할 Operator 이름을 클릭합니다.
- 서브스크립션 탭을 클릭합니다.
- 업데이트 채널 아래에서 업데이트 채널 의 이름을 클릭합니다.
- 변경할 최신 업데이트 채널을 클릭한 다음 저장을 클릭합니다.
자동 승인 전략이 있는 구독의 경우 업데이트가 자동으로 시작됩니다. 업데이트 진행 상황을 모니터링하려면 운영자 → 설치된 운영자 페이지로 돌아가세요. 완료되면 상태가 성공 및 최신으로 변경됩니다.
수동 승인 전략이 있는 구독의 경우 구독 탭에서 업데이트를 수동으로 승인할 수 있습니다.
5.5.2.3. 보류 중인 운영자 업데이트 수동 승인
설치된 Operator의 서브스크립션에 있는 승인 전략이 수동으로 설정된 경우 새 업데이트가 현재 업데이트 채널에 릴리스될 때 업데이트를 수동으로 승인해야 설치가 시작됩니다.
사전 요구 사항
- OLM(Operator Lifecycle Manager)을 사용하여 이전에 설치한 Operator입니다.
절차
- OpenShift Container Platform 웹 콘솔의 관리자 관점에서 Operator → 설치된 Operator로 이동합니다.
- 보류 중인 업데이트가 있는 운영자는 '업그레이드 가능' 상태를 표시합니다. 업데이트하려는 운영자의 이름을 클릭하세요.
- 서브스크립션 탭을 클릭합니다. 승인이 필요한 업데이트는 업그레이드 상태 옆에 표시됩니다. 예를 들어 1 승인 필요가 표시될 수 있습니다.
- 1 승인 필요를 클릭한 다음 설치 계획 프리뷰를 클릭합니다.
- 업데이트 가능한 것으로 나열된 리소스를 검토하세요. 문제가 없는 경우 승인을 클릭합니다.
- 업데이트 진행 상황을 모니터링하려면 운영자 → 설치된 운영자 페이지로 돌아가세요. 완료되면 상태가 성공 및 최신으로 변경됩니다.
5.5.3. Compliance Operator 관리
이 섹션에서는 업데이트된 버전의 규정 준수 콘텐츠를 사용하는 방법과 사용자 정의 ProfileBundle 오브젝트를 만드는 방법을 포함하여 보안 콘텐츠의 라이프사이클에 대해 설명합니다.
5.5.3.1. ProfileBundle CR의 예
ProfileBundle 객체에는 두 가지 정보가 필요합니다. contentImage 가 포함된 컨테이너 이미지의 URL과 규정 준수 콘텐츠가 포함된 파일입니다. contentFile 매개변수는 파일 시스템의 루트와 상대적입니다. 다음 예제와 같이 내장된 rhcos4 ProfileBundle 객체를 정의할 수 있습니다.
5.5.3.2. 보안 콘텐츠 업데이트
보안 콘텐츠는 ProfileBundle 객체가 참조하는 컨테이너 이미지로 포함됩니다. ProfileBundles 및 규칙 또는 프로필과 같은 번들에서 구문 분석한 사용자 정의 리소스에 대한 업데이트를 정확하게 추적하려면 태그 대신 다이제스트를 사용하여 규정 준수 콘텐츠가 있는 컨테이너 이미지를 확인하십시오.
oc -n openshift-compliance get profilebundles rhcos4 -oyaml
$ oc -n openshift-compliance get profilebundles rhcos4 -oyaml출력 예
- 1
- 보안 컨테이너 이미지입니다.
각 ProfileBundle은 배포를 통해 지원됩니다. Compliance Operator에서 컨테이너 이미지 다이제스트가 변경되었음을 감지하면 배포가 업데이트되어 변경 사항을 반영하고 콘텐츠를 다시 구문 분석합니다. 태그 대신 다이제스트를 사용하면 안정적이고 예측 가능한 프로필 세트를 사용할 수 있습니다.
5.5.4. Compliance Operator 설치 제거
OpenShift Container Platform 웹 콘솔이나 CLI를 사용하여 클러스터에서 OpenShift Compliance Operator를 제거할 수 있습니다.
5.5.4.1. 웹 콘솔을 사용하여 OpenShift Container Platform에서 OpenShift Compliance Operator 설치 제거
규정 준수 연산자를 제거하려면 먼저 네임스페이스에서 객체를 삭제해야 합니다. 객체를 제거한 후에는 openshift-compliance 프로젝트를 삭제하여 Operator와 해당 네임스페이스를 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 계정을 사용하여 OpenShift Container Platform 클러스터에 액세스할 수 있습니다. - OpenShift Compliance Operator가 설치되어 있어야 합니다.
프로세스
OpenShift Container Platform 웹 콘솔을 사용하여 Compliance Operator를 제거하려면 다음을 수행합니다.
Operator → 설치된 Operator → Compliance Operator 페이지로 이동합니다.
- 모든 인스턴스를 클릭합니다.
-
모든 네임스페이스 에서 옵션 메뉴를 클릭합니다.
ScanSettingBinding, ComplainceSuite, ComplianceScan 및 ProfileBundle 객체를 모두 삭제합니다.
- 관리 → Operator → 설치된 Operator 페이지로 전환합니다.
-
Compliance Operator 항목에서 옵션 메뉴
를 클릭하고 Operator 설치 제거를 선택합니다.
- 홈 → 프로젝트 페이지로 전환합니다.
- 'compliance'를 검색합니다.
openshift-compliance 프로젝트 옆에 있는 옵션 메뉴
를 클릭하고 프로젝트 삭제 를 선택합니다.
-
대화 상자에
openshift-compliance를 입력하여 삭제를 확인하고 삭제를 클릭합니다.
-
대화 상자에
5.5.4.2. CLI를 사용하여 OpenShift Container Platform에서 OpenShift Compliance Operator 설치 제거
Compliance Operator를 제거하려면 먼저 네임스페이스에서 오브젝트를 삭제해야 합니다. 오브젝트가 제거되면 openshift-compliance 프로젝트를 삭제하여 Operator 및 해당 네임스페이스를 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 계정을 사용하여 OpenShift Container Platform 클러스터에 액세스할 수 있습니다. - OpenShift Compliance Operator가 설치되어 있어야 합니다.
프로세스
네임스페이스의 모든 오브젝트를 삭제합니다.
ScanSettingBinding오브젝트를 삭제합니다.oc delete ssb --all -n openshift-compliance
$ oc delete ssb --all -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow ScanSetting오브젝트를 삭제합니다.oc delete ss --all -n openshift-compliance
$ oc delete ss --all -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow ComplianceSuite오브젝트를 삭제합니다.oc delete suite --all -n openshift-compliance
$ oc delete suite --all -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow ComplianceScan오브젝트를 삭제합니다.oc delete scan --all -n openshift-compliance
$ oc delete scan --all -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow ProfileBundle오브젝트를 삭제합니다.oc delete profilebundle.compliance --all -n openshift-compliance
$ oc delete profilebundle.compliance --all -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Subscription 오브젝트를 삭제합니다.
oc delete sub --all -n openshift-compliance
$ oc delete sub --all -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow CSV 오브젝트를 삭제합니다.
oc delete csv --all -n openshift-compliance
$ oc delete csv --all -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 프로젝트를 삭제합니다.
oc delete project openshift-compliance
$ oc delete project openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
project.project.openshift.io "openshift-compliance" deleted
project.project.openshift.io "openshift-compliance" deletedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
네임스페이스가 삭제되었는지 확인하세요.
oc get project/openshift-compliance
$ oc get project/openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Error from server (NotFound): namespaces "openshift-compliance" not found
Error from server (NotFound): namespaces "openshift-compliance" not foundCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6. 규정 준수 운영자 스캔 관리
5.6.1. 지원되는 규정 준수 프로필
CO(Compliance Operator) 설치의 일부로 사용할 수 있는 프로필이 여러 개 있습니다. 다음 프로필을 사용하여 클러스터의 격차를 평가할 수는 있지만, 사용 자체로 특정 프로필을 준수한다는 것을 추론하거나 보장하는 것은 아니며 감사자 역할도 하지 않습니다.
이러한 다양한 표준을 준수하거나 인증을 받으려면 QSA(Qualified Security Assessor), JAB(Joint Authorization Board) 또는 기타 업계에서 인정하는 규제 기관과 같은 공인 감사 기관을 고용하여 환경을 평가해야 합니다. 표준을 준수하려면 공인 감사원과 협력해야 합니다.
모든 Red Hat 제품의 규정 준수 지원에 대한 자세한 내용은 제품 규정 준수를 참조하세요.
규정 준수 운영자는 OpenShift Dedicated 및 Azure Red Hat OpenShift와 같은 일부 관리형 플랫폼에서 잘못된 결과를 보고할 수 있습니다. 자세한 내용은 Red Hat Knowledgebase Solution #6983418을 참조하세요.
5.6.1.1. 규정 준수 프로필
규정 준수 운영자는 업계 표준 벤치마크를 충족하는 프로필을 제공합니다.
다음 표는 Compliance Operator에서 사용 가능한 최신 프로필을 반영합니다.
5.6.1.1.1. CIS 규정 준수 프로필
| 프로필 | 프로필 제목 | 애플리케이션 | 산업 규정 준수 벤치마크 | 지원되는 아키텍처 | 지원되는 플랫폼 |
|---|---|---|---|---|---|
| ocp4-cis [1] | CIS Red Hat OpenShift 컨테이너 플랫폼 벤치마크 v1.7.0 | 플랫폼 | CIS 벤치마크™ [1] |
| |
| ocp4-cis-1-4 [3] | CIS Red Hat OpenShift 컨테이너 플랫폼 벤치마크 v1.4.0 | 플랫폼 | CIS 벤치마크™ [4] |
| |
| ocp4-cis-1-5 | CIS Red Hat OpenShift 컨테이너 플랫폼 벤치마크 v1.5.0 | 플랫폼 | CIS 벤치마크 ™ [4] |
| |
| ocp4-cis-1-7 | CIS Red Hat OpenShift Container Platform Benchmark v1.7.0 | 플랫폼 | CIS 벤치마크 ™ [4] |
| |
| ocp4-cis-node [1] | CIS Red Hat OpenShift Container Platform Benchmark v1.7.0 | 노드 [2] | CIS 벤치마크 ™ [4] |
| 호스팅된 컨트롤 플레인(ROSA HCP)을 사용하는 AWS의 Red Hat OpenShift Service |
| ocp4-cis-node-1-4 [3] | CIS Red Hat OpenShift Container Platform Benchmark v1.4.0 | 노드 [2] | CIS 벤치마크 ™ [4] |
| 호스팅된 컨트롤 플레인(ROSA HCP)을 사용하는 AWS의 Red Hat OpenShift Service |
| ocp4-cis-node-1-5 | CIS Red Hat OpenShift Container Platform Benchmark v1.5.0 | 노드 [2] | CIS 벤치마크 ™ [4] |
| 호스팅된 컨트롤 플레인(ROSA HCP)을 사용하는 AWS의 Red Hat OpenShift Service |
| ocp4-cis-node-1-7 | CIS Red Hat OpenShift Container Platform Benchmark v1.7.0 | 노드 [2] | CIS 벤치마크 ™ [4] |
| 호스팅된 컨트롤 플레인(ROSA HCP)을 사용하는 AWS의 Red Hat OpenShift Service |
-
ocp4-cis및ocp4-cis-node프로필은 Compliance Operator에서 사용 가능하게 되면 CIS 벤치마크의 최신 버전을 유지합니다. CIS v1.4.0과 같은 특정 버전을 준수하려면ocp4-cis-1-4및ocp4-cis-node-1-4프로필을 사용합니다. - 노드 프로필은 관련 플랫폼 프로필과 함께 사용해야 합니다. 자세한 내용은 Compliance Operator 프로필 유형을 참조하십시오.
- CIS v1.4.0은 CIS v1.5.0에 의해 중첩되어 있습니다. 최신 프로필을 환경에 적용하는 것이 좋습니다.
- CIS OpenShift Container Platform v4 벤치마크를 찾으려면 CIS 벤치마크로 이동하여 최신 CIS 벤치마크 다운로드를 클릭합니다. 여기에서 등록하여 벤치마크를 다운로드할 수 있습니다.
5.6.1.1.2. Cryostat 프로파일 지원
| 프로필 | 프로필 제목 | 애플리케이션 | 산업 규정 준수 벤치마크 | 지원되는 아키텍처 | 지원되는 플랫폼 |
|---|---|---|---|---|---|
| ocp4-bsi [1] | BSI IT-Grundschutz(기본 보호) 빌딩 블록 SYS.1.6 및 APP.4.4 | 플랫폼 |
| ||
| ocp4-bsi-node [1] | BSI IT-Grundschutz(기본 보호) 빌딩 블록 SYS.1.6 및 APP.4.4 | 노드 [2] |
| ||
| ocp4-bsi-2022 [3] | BSI IT-Grundschutz(기본 보호) 빌딩 블록 SYS.1.6 및 APP.4.4 | 플랫폼 |
| ||
| ocp4-bsi-node-2022 [3] | BSI IT-Grundschutz(기본 보호) 빌딩 블록 SYS.1.6 및 APP.4.4 | 노드 [2] |
|
-
ocp4-bsi및ocp4-bsi-node프로필은 규정 준수 운영자에서 사용 가능해지는 BSI 기본 보호 프로필의 최신 버전을 유지합니다. BSI 2022와 같은 특정 버전을 준수하려면ocp4-bsi-2022및ocp4-bsi-node-2022프로필을 사용하세요. - 노드 프로필은 관련 플랫폼 프로필과 함께 사용해야 합니다. 자세한 내용은 규정 준수 운영자 프로필 유형을 참조하세요.
- 2022년판은 BSI IT-Grundschutz(기본 보호) 편람의 최신 영문판입니다. 최신 출판된 독일어 전집(2023년판)에서는 Building Blocks SYS.1.6과 APP.4.4에 대한 변경 사항이 없습니다.
자세한 내용은 BSI Quick Check를 참조하세요.
5.6.1.1.3. 필수 8가지 규정 준수 프로필
| 프로필 | 프로필 제목 | 애플리케이션 | 산업 규정 준수 벤치마크 | 지원되는 아키텍처 | 지원되는 플랫폼 |
|---|---|---|---|---|---|
| ocp4-e8 | Australian Cyber Security Centre (ACSC) Essential Eight | 플랫폼 |
| ||
| rhcos4-e8 | Australian Cyber Security Centre (ACSC) Essential Eight | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 |
5.6.1.1.4. FedRAMP 높은 규정 준수 프로필
service-sshd-disabled 규칙을 사용하는 rhcos4-stig 와 같은 모든 프로필에 자동 수정을 적용하면 sshd 서비스가 자동으로 비활성화됩니다. 이 상황에서는 제어 평면 노드와 컴퓨팅 노드에 대한 SSH 액세스가 차단됩니다. SSH 액세스를 활성화된 상태로 유지하려면 TailoredProfile 객체를 만들고 disableRules 매개변수에 대해 rhcos4-service-sshd-disabled 규칙 값을 설정합니다.
| 프로필 | 프로필 제목 | 애플리케이션 | 산업 규정 준수 벤치마크 | 지원되는 아키텍처 | 지원되는 플랫폼 |
|---|---|---|---|---|---|
| ocp4-high [1] | Red Hat OpenShift를 위한 NIST 800-53 고영향 기준 - 플랫폼 수준 | 플랫폼 |
| ||
| ocp4-high-node [1] | Red Hat OpenShift를 위한 NIST 800-53 고영향 기준선 - 노드 수준 | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-high-node-rev-4 | Red Hat OpenShift를 위한 NIST 800-53 고영향 기준선 - 노드 수준 | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-high-rev-4 | Red Hat OpenShift를 위한 NIST 800-53 고영향 기준 - 플랫폼 수준 | 플랫폼 |
| ||
| rhcos4-high [1] | Red Hat Enterprise Linux CoreOS를 위한 NIST 800-53 고영향 기준 | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| rhcos4-high-rev-4 | Red Hat Enterprise Linux CoreOS를 위한 NIST 800-53 고영향 기준 | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 |
-
ocp4-high,ocp4-high-node및rhcos4-high프로필은 Compliance Operator에서 제공되는 FedRAMP High 표준의 최신 버전을 유지합니다. FedRAMP high R4와 같은 특정 버전을 준수하려면ocp4-high-rev-4및ocp4-high-node-rev-4프로필을 사용하세요. - 노드 프로필은 관련 플랫폼 프로필과 함께 사용해야 합니다. 자세한 내용은 규정 준수 운영자 프로필 유형을 참조하세요.
5.6.1.1.5. FedRAMP 중간 준수 프로필
| 프로필 | 프로필 제목 | 애플리케이션 | 산업 규정 준수 벤치마크 | 지원되는 아키텍처 | 지원되는 플랫폼 |
|---|---|---|---|---|---|
| ocp4-moderate [1] | Red Hat OpenShift에 대한 NIST 800-53 중간 영향 기준 - 플랫폼 수준 | 플랫폼 |
| ||
| ocp4-moderate-node [1] | Red Hat OpenShift를 위한 NIST 800-53 중간 영향 기준 - 노드 수준 | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-moderate-node-rev-4 | Red Hat OpenShift를 위한 NIST 800-53 중간 영향 기준 - 노드 수준 | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-moderate-rev-4 | Red Hat OpenShift에 대한 NIST 800-53 중간 영향 기준 - 플랫폼 수준 | 플랫폼 |
| ||
| rhcos4-중간 [1] | Red Hat Enterprise Linux CoreOS에 대한 NIST 800-53 중간 영향 기준 | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| rhcos4-moderate-rev-4 | Red Hat Enterprise Linux CoreOS에 대한 NIST 800-53 중간 영향 기준 | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 |
-
ocp4-moderate,ocp4-moderate-node및rhcos4-moderate프로필은 Compliance Operator에서 제공되는 FedRAMP Moderate 표준의 최신 버전을 유지합니다. FedRAMP Moderate R4와 같은 특정 버전을 준수하려면ocp4-moderate-rev-4및ocp4-moderate-node-rev-4프로필을 사용하세요. - 노드 프로필은 관련 플랫폼 프로필과 함께 사용해야 합니다. 자세한 내용은 규정 준수 운영자 프로필 유형을 참조하세요.
5.6.1.1.6. NERC-CIP 규정 준수 프로필
| 프로필 | 프로필 제목 | 애플리케이션 | 산업 규정 준수 벤치마크 | 지원되는 아키텍처 | 지원되는 플랫폼 |
|---|---|---|---|---|---|
| ocp4-nerc-cip | OpenShift 컨테이너 플랫폼에 대한 북미 전기 신뢰성 기업(NERC)의 중요 인프라 보호(CIP) 사이버 보안 표준 프로필 - 플랫폼 수준 | 플랫폼 |
| ||
| ocp4-nerc-cip-node | OpenShift 컨테이너 플랫폼에 대한 북미 전기 신뢰성 기업(NERC)의 중요 인프라 보호(CIP) 사이버 보안 표준 프로필 - 노드 수준 | 노드 [1] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| rhcos4-nerc-cip | Red Hat Enterprise Linux CoreOS에 대한 North American Electric Reliability Corporation(NERC)의 CIP(Critical Infrastructure Protection) 사이버 보안 표준 프로필 | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 |
- 노드 프로필은 관련 플랫폼 프로필과 함께 사용해야 합니다. 자세한 내용은 규정 준수 운영자 프로필 유형을 참조하세요.
5.6.1.1.7. PCI-DSS 규정 준수 프로필
| 프로필 | 프로필 제목 | 애플리케이션 | 산업 규정 준수 벤치마크 | 지원되는 아키텍처 | 지원되는 플랫폼 |
|---|---|---|---|---|---|
| ocp4-pci-dss [1] | OpenShift Container Platform 4용 PCI-DSS v4 제어 기준 | 플랫폼 |
| ||
| ocp4-pci-dss-3-2 [3] | OpenShift Container Platform 4용 PCI-DSS v3.2.1 제어 기준 | 플랫폼 |
| ||
| ocp4-pci-dss-4-0 | OpenShift Container Platform 4용 PCI-DSS v4 제어 기준 | 플랫폼 |
| ||
| ocp4-pci-dss-node [1] | OpenShift Container Platform 4용 PCI-DSS v4 제어 기준 | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-pci-dss-node-3-2 [3] | OpenShift Container Platform 4용 PCI-DSS v3.2.1 제어 기준 | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-pci-dss-node-4-0 | OpenShift Container Platform 4용 PCI-DSS v4 제어 기준 | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 |
-
ocp4-pci-dss및ocp4-pci-dss-node프로필은 Compliance Operator에서 제공되는 PCI-DSS 표준의 최신 버전을 유지합니다. PCI-DSS v3.2.1과 같은 특정 버전을 준수하려면ocp4-pci-dss-3-2및ocp4-pci-dss-node-3-2프로필을 사용하세요. - 노드 프로필은 관련 플랫폼 프로필과 함께 사용해야 합니다. 자세한 내용은 규정 준수 운영자 프로필 유형을 참조하세요.
- PCI-DSS v3.2.1은 PCI-DSS v4로 대체되었습니다. 사용자 환경에 최신 프로필을 적용하는 것이 좋습니다.
5.6.1.1.8. STIG 규정 준수 프로필
service-sshd-disabled 규칙을 사용하는 rhcos4-stig 와 같은 모든 프로필에 자동 수정을 적용하면 sshd 서비스가 자동으로 비활성화됩니다. 이 상황에서는 제어 평면 노드와 컴퓨팅 노드에 대한 SSH 액세스가 차단됩니다. SSH 액세스를 활성화된 상태로 유지하려면 TailoredProfile 객체를 만들고 disableRules 매개변수에 대해 rhcos4-service-sshd-disabled 규칙 값을 설정합니다.
| 프로필 | 프로필 제목 | 애플리케이션 | 산업 규정 준수 벤치마크 | 지원되는 아키텍처 | 지원되는 플랫폼 |
|---|---|---|---|---|---|
| ocp4-stig [1] | Red Hat Openshift용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 플랫폼 |
| ||
| ocp4-stig-node [1] | Red Hat Openshift용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-stig-node-v1r1 [3] | Red Hat Openshift V1R1용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-stig-node-v2r1 | Red Hat Openshift V2R1용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-stig-node-v2r2 | Red Hat Openshift V2R2용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 노드 [2] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| ocp4-stig-v1r1 [3] | Red Hat Openshift V1R1용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 플랫폼 |
| ||
| ocp4-stig-v2r1 | Red Hat Openshift V2R1용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 플랫폼 |
| ||
| ocp4-stig-v2r2 | Red Hat Openshift V2R2용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 플랫폼 |
| ||
| rhcos4-stig | Red Hat Openshift용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| rhcos4-stig-v1r1 [3] | Red Hat Openshift V1R1용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 노드 | DISA-STIG [3] |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 |
| rhcos4-stig-v2r1 | Red Hat Openshift V2R1용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 | |
| rhcos4-stig-v2r2 | Red Hat Openshift V2R2용 국방정보시스템국 보안 기술 구현 가이드(DISA STIG) | 노드 |
| 호스팅된 제어 플레인(ROSA HCP)을 갖춘 AWS의 Red Hat OpenShift 서비스 |
-
ocp4-stig,ocp4-stig-node및rhcos4-stig프로필은 Compliance Operator에서 제공되는 DISA-STIG 벤치마크의 최신 버전을 유지합니다. DISA-STIG V2R1과 같은 특정 버전을 준수하려면ocp4-stig-v2r1및ocp4-stig-node-v2r1프로필을 사용하세요. - 노드 프로필은 관련 플랫폼 프로필과 함께 사용해야 합니다. 자세한 내용은 규정 준수 운영자 프로필 유형을 참조하세요.
- DISA-STIG V1R1은 DISA-STIG V2R1로 대체되었습니다. 사용자 환경에 최신 프로필을 적용하는 것이 좋습니다.
5.6.1.1.9. 확장된 규정 준수 프로필에 관하여
일부 규정 준수 프로필에는 업계 모범 사례를 따라야 하는 제어 기능이 있어 일부 프로필이 다른 프로필을 확장하게 되었습니다. 인터넷 보안 센터(CIS)의 모범 사례와 미국 국립표준기술원(NIST)의 보안 프레임워크를 결합하면 안전하고 규정을 준수하는 환경으로 나아가는 길이 마련됩니다.
예를 들어, NIST 고영향 및 중영향 프로필은 규정 준수를 달성하기 위해 CIS 프로필을 확장합니다. 결과적으로, 확장된 규정 준수 프로필을 사용하면 단일 클러스터에서 두 프로필을 모두 실행할 필요가 없습니다.
| 프로필 | 확장합니다 |
|---|---|
| ocp4-pci-dss | ocp4-cis |
| ocp4-pci-dss-node | ocp4-cis-node |
| ocp4-high | ocp4-cis |
| ocp4-high-node | ocp4-cis-node |
| ocp4-moderate | ocp4-cis |
| ocp4-moderate-node | ocp4-cis-node |
| ocp4-nerc-cip | ocp4-moderate |
| ocp4-nerc-cip-node | ocp4-moderate-node |
5.6.1.1.10. 규정 준수 운영자 프로필 유형
규정 준수 운영자 규칙은 프로필로 구성됩니다. 프로필은 OpenShift Container Platform의 플랫폼이나 노드를 타겟으로 할 수 있으며, 일부 벤치마크에는 rhcos4 노드 프로필이 포함됩니다.
- 플랫폼
- 플랫폼 프로필은 OpenShift Container Platform 클러스터 구성 요소를 평가합니다. 예를 들어, 플랫폼 수준 규칙은 APIServer 구성에서 강력한 암호화를 사용하는지 확인할 수 있습니다.
- 노드
-
노드 프로필은 각 호스트의 OpenShift 또는 RHCOS 구성을 평가합니다. 두 가지 노드 프로필을 사용할 수 있습니다.
ocp4노드 프로필과rhcos4노드 프로필입니다.ocp4노드 프로필은 각 호스트의 OpenShift 구성을 평가합니다. 예를 들어,kubeconfig파일에 규정 준수 기준을 충족하는 데 필요한 올바른 권한이 있는지 확인할 수 있습니다.rhcos4노드 프로필은 각 호스트의 Red Hat Enterprise Linux CoreOS(RHCOS) 구성을 평가합니다. 예를 들어, SSHD 서비스가 비밀번호 로그인을 비활성화하도록 구성되어 있는지 확인할 수 있습니다.
PCI-DSS와 같이 노드 및 플랫폼 프로필이 있는 벤치마크의 경우 OpenShift Container Platform 환경에서 두 프로필을 모두 실행해야 합니다.
FedRAMP High와 같이 ocp4 플랫폼, ocp4 노드 및 rhcos4 노드 프로필이 있는 벤치마크의 경우 OpenShift 컨테이너 플랫폼 환경에서 세 가지 프로필을 모두 실행해야 합니다.
많은 노드가 있는 클러스터에서는 ocp4 노드와 rhcos4 노드 스캔을 완료하는 데 시간이 오래 걸릴 수 있습니다.
5.6.2. Compliance Operator 검사
Compliance Operator를 사용하여 규정 준수 검사를 실행하도록 ScanSetting 및 ScanSettingBinding API를 사용하는 것이 좋습니다. 이러한 API 오브젝트에 대한 자세한 내용을 보려면 다음을 실행합니다.
oc explain scansettings
$ oc explain scansettings또는
oc explain scansettingbindings
$ oc explain scansettingbindings5.6.2.1. 규정 준수 검사 실행
CIS(Center for Internet Security) 프로필을 사용하여 검사를 실행할 수 있습니다. 편의를 위해 Compliance Operator는 시작 시 적절한 기본값을 사용하여 ScanSetting 오브젝트를 생성합니다. 이 ScanSetting 오브젝트의 이름은 default 입니다.
일체형 제어 평면 및 작업자 노드의 경우 규정 준수 검사는 작업자 및 제어 평면 노드에서 두 번 실행됩니다. 규정 준수 검사는 일관되지 않은 검사 결과를 생성할 수 있습니다. ScanSetting 개체에서 단일 역할만 정의하면 일관되지 않은 결과를 방지할 수 있습니다.
규정 준수 운영자는 제어 평면이 aarch64 또는 x86 CPU를 사용하는지 여부에 관계없이 다중 아키텍처 컴퓨팅 머신이 있는 클러스터에서 INCONSISTENT 보고서를 검사합니다. 이는 동일한 규칙이 아키텍처에 따라 다르게 동작하기 때문입니다. 이는 노드 스캔에만 적용되며, 여기서 규정 준수 운영자는 여러 노드의 결과를 단일 결과로 집계합니다.
일관되지 않은 검사 결과에 대한 자세한 내용은 준수 운영자가 작업자 노드에 일관되지 않은 검사 결과를 표시합니다를 참조하세요.
프로세스
다음 명령을 실행하여
ScanSetting개체를 검사합니다.oc describe scansettings default -n openshift-compliance
$ oc describe scansettings default -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Compliance Operator는 검사 결과가 포함된 PV(영구 볼륨)를 생성합니다. 기본적으로 PV는 Compliance Operator에서 클러스터에 구성된 스토리지 클래스에 대한 가정을 할 수 없기 때문에 액세스 모드
ReadWriteOnce를 사용합니다. 대부분의 클러스터에서ReadWriteOnce액세스 모드를 사용할 수 있습니다. 검사 결과를 가져오려면 볼륨을 바인딩하는 도우미 Pod를 사용하여 이를 수행할 수 있습니다.ReadWriteOnce액세스 모드를 사용하는 볼륨은 한 번에 하나의 Pod에서만 마운트할 수 있으므로 도우미 Pod를 삭제해야 합니다. 그러지 않으면 Compliance Operator가 후속 검사에 볼륨을 재사용할 수 없습니다. - 2
- Compliance Operator는 세 번의 후속 검사 결과를 볼륨에 보관합니다. 이전 검사는 순환됩니다.
- 3
- Compliance Operator는 검사 결과에 대해 1GB의 스토리지를 할당합니다.
- 4
scansetting.rawResultStorage.storageClassName필드는 원시 결과를 저장하기 위해PersistentVolumeClaim객체를 생성할 때 사용할storageClassName값을 지정합니다. 기본값은 null이며, 클러스터에 구성된 기본 저장소 클래스를 사용하려고 시도합니다. 기본 클래스가 지정되지 않은 경우 기본 클래스를 설정해야 합니다.- 5 6
- 검사 설정에서 클러스터 노드를 검사하는 프로필을 사용하는 경우 이러한 노드 역할을 검사합니다.
- 7
- 기본 검사 설정 오브젝트는 모든 노드를 검사합니다.
- 8
- 기본 검사 설정 오브젝트는 매일 01:00에 검사를 실행합니다.
기본 검사 설정 대신 다음과 같은 설정이 있는
default-auto-apply를 사용할 수 있습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기본
ScanSetting오브젝트에 바인딩하는ScanSettingBinding오브젝트를 생성하고cis및cis-node프로파일을 사용하여 클러스터를 검사합니다. 예를 들면 다음과 같습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음을 실행하여
ScanSettingBinding오브젝트를 생성합니다.oc create -f <file-name>.yaml -n openshift-compliance
$ oc create -f <file-name>.yaml -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 프로세스의 이 시점에서
ScanSettingBinding오브젝트는Binding및Bound설정을 기반으로 조정됩니다. Compliance Operator는ComplianceSuite오브젝트 및 관련ComplianceScan오브젝트를 생성합니다.다음을 실행하여 컴플라이언스 검사 진행 상황을 따르십시오.
oc get compliancescan -w -n openshift-compliance
$ oc get compliancescan -w -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 검사는 스캔 단계를 통해 진행되며 완료되면
DONE단계에 도달합니다. 대부분의 경우 검사 결과는NON-COMPLIANT입니다. 검사 결과를 검토하고 업데이트 적용 작업을 시작하여 클러스터를 준수하도록 할 수 있습니다. 자세한 내용은 규정 준수 운영자 수정 관리를 참조하세요.
5.6.2.2. 결과에 대한 사용자 정의 스토리지 크기 설정
ComplianceCheckResult와 같은 사용자 정의 리소스는 검사한 모든 노드에서 집계한 한 번의 점검 결과를 나타내지만 스캐너에서 생성한 원시 결과를 검토하는 것이 유용할 수 있습니다. 원시 결과는 ARF 형식으로 생성되며 크기가 클 수 있습니다(노드당 수십 메가바이트). 따라서 etcd 키-값 저장소에서 지원하는 Kubernetes 리소스에 저장하는 것은 비현실적입니다. 대신 검사할 때마다 기본 크기가 1GB인 영구 볼륨(PV)이 생성됩니다. 환경에 따라 적절하게 PV 크기를 늘릴 수 있습니다. 크기를 늘리려면 ScanSetting 및 ComplianceScan 리소스 모두에 노출되는 rawResultStorage.size 특성을 사용하면 됩니다.
관련 매개변수는 rawResultStorage.rotation으로, 이전 검사가 되풀이되기 전에 PV에 유지되는 검사 수를 조절합니다. 기본값은 3이며 되풀이 정책을 0으로 설정하면 되풀이가 비활성화됩니다. 기본 되풀이 정책과 원시 ARF 검사 보고서당 100MB의 추정치가 지정되면 환경에 적합한 PV 크기를 계산할 수 있습니다.
5.6.2.2.1. 사용자 정의 결과 스토리지 값 사용
OpenShift Container Platform은 다양한 퍼블릭 클라우드 또는 베어 메탈에 배포할 수 있으므로 Compliance Operator에서는 사용 가능한 스토리지 구성을 결정할 수 없습니다. 기본적으로 Compliance Operator는 클러스터의 기본 스토리지 클래스를 사용하여 결과를 저장하는 PV를 생성하지만 사용자 정의 스토리지 클래스는 rawResultStorage.StorageClassName 특성을 사용하여 구성할 수 있습니다.
클러스터에서 기본 스토리지 클래스를 지정하지 않는 경우 이 특성을 설정해야 합니다.
표준 스토리지 클래스를 사용하고 마지막 결과 10개를 유지하는 10GB 크기의 영구 볼륨을 만들도록 ScanSetting 사용자 정의 리소스를 구성합니다.
예제 ScanSetting CR
5.6.2.3. 작업자 노드에서 결과 서버 Pod 예약
결과 서버 포드는 원시 자산 보고 형식(ARF) 스캔 결과를 저장하는 영구 볼륨(PV)을 마운트합니다. nodeSelector 및 tolerations 속성을 사용하면 결과 서버 Pod의 위치를 구성할 수 있습니다.
이 기능은 제어 평면 노드가 영구 볼륨을 마운트할 수 없는 환경에서 유용합니다.
프로세스
규정 준수 운영자를 위한
ScanSetting사용자 정의 리소스(CR)를 만듭니다.ScanSettingCR을 정의하고 YAML 파일(예:rs-workers.yaml)을 저장합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow ScanSettingCR을 생성하려면 다음 명령을 실행하세요.oc create -f rs-workers.yaml
$ oc create -f rs-workers.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
ScanSetting개체가 생성되었는지 확인하려면 다음 명령을 실행하세요.oc get scansettings rs-on-workers -n openshift-compliance -o yaml
$ oc get scansettings rs-on-workers -n openshift-compliance -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.2.4. ScanSetting 사용자 정의 리소스
이제 ScanSetting 사용자 정의 리소스를 사용하면 스캔 제한 속성을 통해 스캐너 포드의 기본 CPU 및 메모리 제한을 재정의할 수 있습니다. 규정 준수 운영자는 스캐너 컨테이너에 500Mi 메모리와 100m CPU를 기본값으로 사용하고, api-resource-collector 컨테이너에 100m CPU와 200Mi 메모리를 기본값으로 사용합니다. Operator의 메모리 제한을 설정하려면 OLM을 통해 설치된 경우 구독 개체를 수정하고 Operator 배포 자체를 수정합니다.
Compliance Operator의 기본 CPU 및 메모리 한도를 늘리려면 Compliance Operator 리소스 한도 늘리기를 참조하세요.
기본 한도가 충분하지 않고 운영자 또는 스캐너 포드가 메모리 부족(OOM) 프로세스로 인해 종료된 경우, 규정 준수 운영자 또는 스캐너 포드의 메모리 한도를 늘려야 합니다. 자세한 내용은 규정 준수 운영자 리소스 한도 증가를 참조하세요.
5.6.2.5. 호스팅된 제어 평면 관리 클러스터 구성
자체 호스팅 제어 평면이나 Hypershift 환경을 호스팅하고 관리 클러스터에서 호스팅 클러스터를 스캔하려면 대상 호스팅 클러스터의 이름과 접두사 네임스페이스를 설정해야 합니다. TailoredProfile을 생성하면 이를 달성할 수 있습니다.
이 절차는 자체 호스팅 제어 평면 환경을 관리하는 사용자에게만 적용됩니다.
호스팅된 제어 평면 관리 클러스터에서는 ocp4-cis 및 ocp4-pci-dss 프로필만 지원됩니다.
사전 요구 사항
- 규정 준수 운영자는 관리 클러스터에 설치됩니다.
프로세스
다음 명령을 실행하여 스캔할 호스팅된 클러스터의
이름과네임스페이스를 가져옵니다.oc get hostedcluster -A
$ oc get hostedcluster -ACopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAMESPACE NAME VERSION KUBECONFIG PROGRESS AVAILABLE PROGRESSING MESSAGE local-cluster 79136a1bdb84b3c13217 4.13.5 79136a1bdb84b3c13217-admin-kubeconfig Completed True False The hosted control plane is available
NAMESPACE NAME VERSION KUBECONFIG PROGRESS AVAILABLE PROGRESSING MESSAGE local-cluster 79136a1bdb84b3c13217 4.13.5 79136a1bdb84b3c13217-admin-kubeconfig Completed True False The hosted control plane is availableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 관리 클러스터에서 스캔 프로필을 확장하는
TailoredProfile을 만들고 스캔할 호스팅 클러스터의 이름과 네임스페이스를 정의합니다.예제
management-tailoredprofile.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow TailoredProfile을 생성합니다.oc create -n openshift-compliance -f mgmt-tp.yaml
$ oc create -n openshift-compliance -f mgmt-tp.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.2.6. 리소스 요청 및 제한 적용
kubelet이 Pod의 일부로 컨테이너를 시작하면 kubelet은 해당 컨테이너의 메모리 및 CPU 요청과 제한을 컨테이너 런타임에 전달합니다. Linux에서 컨테이너 런타임은 사용자가 정의한 제한을 적용하고 강제하는 커널 cgroup을 구성합니다.
CPU 제한은 컨테이너가 사용할 수 있는 CPU 시간을 정의합니다. 각 스케줄링 간격 동안 Linux 커널은 이 제한이 초과되었는지 확인합니다. 그렇다면 커널은 cgroup이 실행을 재개할 때까지 기다립니다.
여러 개의 서로 다른 컨테이너(cgroup)가 경쟁 시스템에서 실행되려면 CPU 요청이 많은 작업에는 요청이 적은 작업보다 더 많은 CPU 시간이 할당됩니다. 메모리 요청은 Pod 예약 중에 사용됩니다. cgroups v2를 사용하는 노드에서 컨테이너 런타임은 메모리 요청을 힌트로 사용하여 memory.min 및 memory.low 값을 설정할 수 있습니다.
컨테이너가 이 한도를 초과하는 메모리를 할당하려고 하면 Linux 커널 메모리 부족 하위 시스템이 활성화되어 컨테이너에서 메모리를 할당하려고 시도한 프로세스 중 하나를 중지시켜 개입합니다. Pod 또는 컨테이너의 메모리 제한은 emptyDir과 같은 메모리 지원 볼륨의 페이지에도 적용될 수 있습니다.
kubelet은 로컬 임시 저장소가 아닌 컨테이너 메모리가 사용될 때 tmpfs emptyDir 볼륨을 추적합니다. 컨테이너가 메모리 요청을 초과하고 컨테이너가 실행되는 노드의 전체 메모리가 부족해지면 Pod의 컨테이너가 추방될 수 있습니다.
컨테이너는 장시간 동안 CPU 한도를 초과할 수 없습니다. 컨테이너 런타임은 과도한 CPU 사용으로 인해 Pod나 컨테이너를 멈추지 않습니다. 컨테이너를 예약할 수 없는지 또는 리소스 제한으로 인해 종료되는지 확인하려면 규정 준수 운영자 문제 해결을 참조하세요.
5.6.2.7. 컨테이너 리소스 요청으로 Pod 스케줄링
Pod가 생성되면 스케줄러는 Pod가 실행될 노드를 선택합니다. 각 노드는 Pod에 제공할 수 있는 CPU와 메모리 양에 따라 각 리소스 유형에 대한 최대 용량을 갖습니다. 스케줄러는 예약된 컨테이너의 리소스 요청 합계가 각 리소스 유형의 용량 노드보다 작도록 보장합니다.
노드의 메모리 또는 CPU 리소스 사용량이 매우 낮더라도, 용량 검사에서 노드의 리소스 부족을 방지하지 못하면 스케줄러가 노드에 Pod를 배치하는 것을 거부할 수 있습니다.
각 컨테이너에 대해 다음과 같은 리소스 제한과 요청을 지정할 수 있습니다.
개별 컨테이너에 대해서만 요청과 제한을 지정할 수 있지만, 포드에 대한 전체 리소스 요청과 제한을 고려하는 것도 유용합니다. 특정 리소스의 경우 컨테이너 리소스 요청 또는 제한은 포드의 각 컨테이너에 대한 해당 유형의 리소스 요청 또는 제한의 합계입니다.
컨테이너 리소스 요청 및 제한 예시
5.6.3. Compliance Operator 조정
Compliance Operator는 즉시 사용할 수 있는 프로필과 함께 제공되지만 조직의 필요 및 요구 사항에 맞게 수정해야 합니다. 프로필을 수정하는 프로세스를 조정이라고 합니다.
규정 준수 운영자는 프로필을 맞춤화하는 데 도움이 되는 TailoredProfile 객체를 제공합니다.
5.6.3.1. 새로운 맞춤형 프로필 만들기
TailoredProfile 객체를 사용하면 맞춤형 프로필을 처음부터 작성할 수 있습니다. 적절한 title 및 description을 설정하고 extends 필드를 비워 둡니다. 이 사용자 정의 프로필이 어떤 유형의 스캔을 생성할지 규정 준수 운영자에게 알려주세요.
- 노드 스캔: 운영 체제를 스캔합니다.
- 플랫폼 스캔: OpenShift 컨테이너 플랫폼 구성을 스캔합니다.
프로세스
-
TailoredProfile객체에 다음 주석을 설정합니다.
new-profile.yaml 예시
5.6.3.2. 맞춤형 프로필을 사용하여 기존 ProfileBundles 확장
TailoredProfile CR에서는 가장 일반적인 맞춤 작업을 수행할 수 있지만 XCCDF 표준을 사용하면 OpenSCAP 프로필 맞춤 시 유연성이 훨씬 더 향상됩니다. 또한 조직에서 이전에 OpenScap을 사용한 적이 있는 경우 기존 XCCDF 맞춤 파일이 있을 수 있으며 이 파일을 다시 사용할 수 있습니다.
ComplianceSuite 오브젝트에는 사용자 정의 맞춤 파일을 가리킬 수 있는 선택적 TailoringConfigMap 특성이 포함되어 있습니다. TailoringConfigMap 특성 값은 구성 맵의 이름으로, 이 맵에는 tailoring.xml이라는 키가 포함되어야 하며 이 키의 값은 맞춤 콘텐츠입니다.
프로세스
Red Hat Enterprise Linux CoreOS(RHCOS)
ProfileBundle에 사용 가능한 규칙을 찾아보세요.oc get rules.compliance -n openshift-compliance -l compliance.openshift.io/profile-bundle=rhcos4
$ oc get rules.compliance -n openshift-compliance -l compliance.openshift.io/profile-bundle=rhcos4Copy to Clipboard Copied! Toggle word wrap Toggle overflow 해당
ProfileBundle에서 사용 가능한 변수를 찾습니다.oc get variables.compliance -n openshift-compliance -l compliance.openshift.io/profile-bundle=rhcos4
$ oc get variables.compliance -n openshift-compliance -l compliance.openshift.io/profile-bundle=rhcos4Copy to Clipboard Copied! Toggle word wrap Toggle overflow nist-moderate-modified라는 이름의 맞춤형 프로필을 만듭니다.nist-moderate-modified맞춤형 프로필에 추가할 규칙을 선택하세요. 이 예제에서는 두 개의 규칙을 비활성화하고 하나의 값을 변경하여rhcos4-moderate프로필을 확장합니다.rationale값을 사용하여 이러한 변경이 이루어진 이유를 설명합니다.Example
new-profile-node.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow Expand 표 5.10. spec 변수의 속성 속성 설명 extends이
TailoredProfile이 빌드되는Profile오브젝트의 이름입니다.titleTailoredProfile의 사람이 읽을 수 있는 제목입니다.disableRules이름 및 이유 쌍 목록입니다. 각 이름은 비활성화할 규칙 오브젝트의 이름을 나타냅니다. 이유 값은 규칙이 비활성화된 이유를 설명하는 사람이 읽을 수 있는 텍스트입니다.
manualRules이름 및 이유 쌍 목록입니다. 수동 규칙이 추가되면 검사 결과 상태는 항상
수동이되고 수정 조치가 생성되지 않습니다. 이 속성은 자동이며 수동 규칙으로 설정되면 기본적으로 값이 없습니다.enableRules이름 및 이유 쌍 목록입니다. 각 이름은 활성화할 규칙 오브젝트의 이름을 나타냅니다. 이유 값은 규칙이 활성화된 이유를 설명하는 사람이 읽을 수 있는 텍스트입니다.
descriptionTailoredProfile을 설명하는 사람이 읽을 수 있는 텍스트입니다.setValues이름, 이유 및 값 그룹화 목록입니다. 각 이름은 설정된 값의 이름을 나타냅니다. 이유는 집합을 설명하는 사람이 읽을 수 있는 텍스트입니다. 값은 실제 설정입니다.
CustomizedProfile.spec.manualRules속성을 추가합니다.Example
tailoredProfile.spec.manualRules.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow TailoredProfile객체를 생성합니다.oc create -n openshift-compliance -f new-profile-node.yaml
$ oc create -n openshift-compliance -f new-profile-node.yaml1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
TailoredProfile객체는 기본openshift-compliance네임스페이스에 생성됩니다.
출력 예
tailoredprofile.compliance.openshift.io/nist-moderate-modified created
tailoredprofile.compliance.openshift.io/nist-moderate-modified createdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
ScanSettingBinding객체를 정의하여 새로운nist-moderate-modified맞춤형 프로필을 기본ScanSetting객체에 바인딩합니다.new-scansettingbinding.yaml예제Copy to Clipboard Copied! Toggle word wrap Toggle overflow ScanSettingBinding객체를 생성합니다.oc create -n openshift-compliance -f new-scansettingbinding.yaml
$ oc create -n openshift-compliance -f new-scansettingbinding.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
scansettingbinding.compliance.openshift.io/nist-moderate-modified created
scansettingbinding.compliance.openshift.io/nist-moderate-modified createdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.4. Compliance Operator 원시 결과 검색
OpenShift Container Platform 클러스터의 규정 준수를 입증할 때 감사 목적으로 검사 결과를 제공해야 할 수 있습니다.
5.6.4.1. 영구 볼륨에서 Compliance Operator 원시 결과 가져오기
프로세스
Compliance Operator는 원시 결과를 생성하여 영구 볼륨에 저장합니다. 이러한 결과는 자산 보고 형식(ARF)으로 되어 있습니다.
ComplianceSuite오브젝트를 살펴봅니다.oc get compliancesuites nist-moderate-modified \ -o json -n openshift-compliance | jq '.status.scanStatuses[].resultsStorage'
$ oc get compliancesuites nist-moderate-modified \ -o json -n openshift-compliance | jq '.status.scanStatuses[].resultsStorage'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 원시 결과에 액세스할 수 있는 영구 볼륨 클레임이 표시됩니다.
결과 중 하나의 이름과 네임스페이스를 사용하여 원시 데이터 위치를 확인합니다.
oc get pvc -n openshift-compliance rhcos4-moderate-worker
$ oc get pvc -n openshift-compliance rhcos4-moderate-workerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE rhcos4-moderate-worker Bound pvc-548f6cfe-164b-42fe-ba13-a07cfbc77f3a 1Gi RWO gp2 92m
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE rhcos4-moderate-worker Bound pvc-548f6cfe-164b-42fe-ba13-a07cfbc77f3a 1Gi RWO gp2 92mCopy to Clipboard Copied! Toggle word wrap Toggle overflow 볼륨을 마운트하는 Pod를 생성하고 결과를 복사하여 원시 결과를 가져옵니다.
oc create -n openshift-compliance -f pod.yaml
$ oc create -n openshift-compliance -f pod.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 예시 pod.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pod가 실행되면 결과를 다운로드합니다.
oc cp pv-extract:/workers-scan-results -n openshift-compliance .
$ oc cp pv-extract:/workers-scan-results -n openshift-compliance .Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요영구 볼륨을 마운트하는 Pod를 생성하면 클레임이
Bound로 유지됩니다. 사용 중인 볼륨의 스토리지 클래스에ReadWriteOnce로 설정된 권한이 있는 경우 한 번에 하나의 Pod에서만 볼륨을 마운트할 수 있습니다. 완료되면 Pod를 삭제해야 합니다. 그렇지 않으면 운영자가 Pod를 예약하고 이 위치에 결과를 계속 저장할 수 없습니다.추출이 완료되면 Pod를 삭제할 수 있습니다.
oc delete pod pv-extract -n openshift-compliance
$ oc delete pod pv-extract -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.5. 규정 준수 운영자 결과 및 수정 관리
각 ComplianceCheckResult는 하나의 규정 준수 규칙 검사 결과를 나타냅니다. 규칙을 자동으로 수정할 수 있는 경우 ComplianceCheckResult가 소유한 동일한 이름의 ComplianceRemediation 오브젝트가 생성됩니다. 요청하지 않는 경우 수정은 자동으로 적용되지 않으므로 OpenShift Container Platform 관리자는 수정을 통해 수행되는 작업을 검토하고 확인한 후에만 수정을 적용할 수 있습니다.
FIPS(Federal Information Processing Standards) 준수를 완전히 해결하려면 클러스터에 FIPS 모드를 활성화해야 합니다. FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 Red Hat Enterprise Linux(RHEL) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 FIPS 모드로 시스템 설치를 참조하세요.
FIPS 모드는 다음 아키텍처에서 지원됩니다.
-
x86_64 -
ppc64le -
s390x
5.6.5.1. 규정 준수 확인 결과에 대한 필터
기본적으로 ComplianceCheckResult 오브젝트에는 검사를 쿼리하고 결과가 생성된 후 다음 단계를 결정할 수 있는 몇 가지 유용한 레이블이 지정됩니다.
특정 제품군에 속하는 검사를 나열합니다.
oc get -n openshift-compliance compliancecheckresults \ -l compliance.openshift.io/suite=workers-compliancesuite
$ oc get -n openshift-compliance compliancecheckresults \
-l compliance.openshift.io/suite=workers-compliancesuite특정 검사에 속하는 검사를 나열합니다.
oc get -n openshift-compliance compliancecheckresults \ -l compliance.openshift.io/scan=workers-scan
$ oc get -n openshift-compliance compliancecheckresults \
-l compliance.openshift.io/scan=workers-scan
일부 ComplianceCheckResult 오브젝트가 ComplianceRemediation 오브젝트를 생성하는 것은 아닙니다. 자동으로 업데이트를 적용할 수 있는 ComplianceCheckResult 오브젝트만 해당합니다. ComplianceCheckResult 오브젝트에 compliance.openshift.io/automated-remediation 레이블이 지정된 경우 관련된 업데이트 적용이 있습니다. 업데이트 적용의 이름은 검사 이름과 동일합니다.
자동으로 업데이트를 적용할 수 있는 모든 실패한 검사를 나열합니다.
oc get -n openshift-compliance compliancecheckresults \ -l 'compliance.openshift.io/check-status=FAIL,compliance.openshift.io/automated-remediation'
$ oc get -n openshift-compliance compliancecheckresults \
-l 'compliance.openshift.io/check-status=FAIL,compliance.openshift.io/automated-remediation'심각도별로 정렬된 모든 실패 검사를 나열합니다.
oc get compliancecheckresults -n openshift-compliance \ -l 'compliance.openshift.io/check-status=FAIL,compliance.openshift.io/check-severity=high'
$ oc get compliancecheckresults -n openshift-compliance \
-l 'compliance.openshift.io/check-status=FAIL,compliance.openshift.io/check-severity=high'출력 예
수동으로 업데이트를 적용해야 하는 모든 실패한 검사를 나열합니다.
oc get -n openshift-compliance compliancecheckresults \ -l 'compliance.openshift.io/check-status=FAIL,!compliance.openshift.io/automated-remediation'
$ oc get -n openshift-compliance compliancecheckresults \
-l 'compliance.openshift.io/check-status=FAIL,!compliance.openshift.io/automated-remediation'
수동 업데이트 적용 단계는 일반적으로 ComplianceCheckResult 오브젝트의 description 속성에 저장됩니다.
| ComplianceCheckResult Status | 설명 |
|---|---|
| PASS | 규정 준수 검사가 완료되어 통과되었습니다. |
| FAIL | 규정 준수 검사가 완료되었지만 실패했습니다. |
| INFO | 규정 준수 검사를 완료한 결과, 오류로 간주할 만큼 심각하지 않은 사항이 발견되었습니다. |
| 수동 | 규정 준수 검사에서는 성공이나 실패를 자동으로 평가할 방법이 없으므로 수동으로 검사해야 합니다. |
| 일관성 없는 | 규정 준수 검사는 일반적으로 클러스터 노드를 비롯한 다양한 소스에서 다양한 결과를 보고합니다. |
| 오류 | 규정 준수 검사를 실행했지만 제대로 완료할 수 없습니다. |
| NOT-APPLICABLE | 해당 사항이 없거나 선택되지 않아 규정 준수 검사가 실행되지 않았습니다. |
5.6.5.2. 수정 검토
수정이 포함된 ComplianceRemediation 오브젝트 및 ComplianceCheckResult 오브젝트를 모두 검토합니다. ComplianceCheckResult 오브젝트에는 검사에서 수행하는 작업과 방지를 위한 강화 작업에 관해 사람이 있을 수 있는 설명과 심각도 및 관련 보안 제어와 같은 기타 메타데이터가 포함되어 있습니다. ComplianceRemediation 오브젝트는 ComplianceCheckResult에서 설명하는 문제를 해결하는 방법을 나타냅니다. 첫 번째 검사 후 MissingDependencies 상태에 대한 수정 사항을 확인합니다.
다음은 sysctl-net-ipv4-conf-all-accept-redirects라는 검사와 수정의 예입니다. 이 예는 spec 및 status만 표시하고 metadata는 생략하도록 수정되었습니다.
수정 페이로드는 spec.current 특성에 저장됩니다. 페이로드는 임의의 Kubernetes 오브젝트일 수 있지만 이 수정은 노드 검사를 통해 생성되었기 때문에 위 예의 수정 페이로드는 MachineConfig 오브젝트입니다. 플랫폼 검사의 경우 수정 페이로드는 종종 다른 종류의 오브젝트(예: ConfigMap 또는 Secret 오브젝트)에 해당하지만 일반적으로 이러한 수정을 적용하는 것은 관리자의 몫입니다. 그러지 않으면 일반 Kubernetes 오브젝트를 조작하기 위해 Compliance Operator에 매우 광범위한 권한이 있어야 하기 때문입니다. 플랫폼 검사를 수정하는 예는 본문 뒷부분에 있습니다.
수정 적용 시 수행되는 작업을 정확히 확인하기 위해 MachineConfig 오브젝트 콘텐츠에서는 구성에 Ignition 오브젝트를 사용합니다. 형식에 대한 자세한 내용은 Ignition 사양을 참조하십시오. 이 예에서 spec.config.storage.files[0].path 특성은 이 수정(/etc/sysctl.d/75-sysctl_net_ipv4_conf_all_accept_redirects.conf)으로 생성되는 파일을 지정하고, spec.config.storage.files[0].contents.source 특성은 해당 파일의 콘텐츠를 지정합니다.
파일 내용은 URL로 인코딩됩니다.
콘텐츠를 보려면 다음 Python 스크립트를 사용합니다.
echo "net.ipv4.conf.all.accept_redirects%3D0" | python3 -c "import sys, urllib.parse; print(urllib.parse.unquote(''.join(sys.stdin.readlines())))"
$ echo "net.ipv4.conf.all.accept_redirects%3D0" | python3 -c "import sys, urllib.parse; print(urllib.parse.unquote(''.join(sys.stdin.readlines())))"출력 예
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.all.accept_redirects=0규정 준수 운영자는 수정 작업 사이에 발생할 수 있는 종속성 문제를 자동으로 해결하지 않습니다. 정확한 결과를 얻으려면 사용자는 수정 사항을 적용한 후 다시 검사를 수행해야 합니다.
5.6.5.3. 사용자 지정 머신 구성 풀을 사용할 때 수정 적용
사용자 지정 MachineConfigPool을 생성할 때 KubeletConfig 에 있는 machineConfigPoolSelector 가 MachineConfigPool과 함께 레이블을 일치시킬 수 있도록 MachineConfigPool 에 레이블을 추가합니다.
KubeletConfig 파일에서 protectedKernelDefaults: false를 설정하지 마세요. 규정 준수 운영자가 수정 적용을 마친 후 MachineConfigPool 개체가 예기치 않게 일시 중지를 해제하지 못할 수 있습니다.
프로세스
노드를 나열하세요.
oc get nodes -n openshift-compliance
$ oc get nodes -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 노드에 라벨을 추가합니다.
oc -n openshift-compliance \ label node ip-10-0-166-81.us-east-2.compute.internal \ node-role.kubernetes.io/<machine_config_pool_name>=
$ oc -n openshift-compliance \ label node ip-10-0-166-81.us-east-2.compute.internal \ node-role.kubernetes.io/<machine_config_pool_name>=Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
node/ip-10-0-166-81.us-east-2.compute.internal labeled
node/ip-10-0-166-81.us-east-2.compute.internal labeledCopy to Clipboard Copied! Toggle word wrap Toggle overflow 사용자 정의
MachineConfigPoolCR을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
레이블필드는 MCP(머신 구성 풀)에 추가할 레이블 이름을 정의합니다.
MCP가 성공적으로 생성되었는지 확인하세요.
oc get mcp -w
$ oc get mcp -wCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.5.4. 기본 구성 값에 대해 KubeletConfig 규칙 평가
OpenShift Container Platform 인프라에는 런타임에 불완전한 구성 파일이 포함될 수 있으며, 노드는 누락된 구성 옵션에 대한 기본 구성 값을 가정합니다. 일부 구성 옵션은 명령줄 인수로 전달될 수 있습니다. 결과적으로 규정 준수 운영자는 규칙 검사에 사용된 옵션이 누락되었을 수 있으므로 노드의 구성 파일이 완전한지 확인할 수 없습니다.
기본 구성 값이 검사를 통과하는 경우 발생하는 거짓 부정 결과를 방지하기 위해 규정 준수 운영자는 노드/프록시 API를 사용하여 노드 풀의 각 노드에 대한 구성을 가져온 다음, 노드 풀의 모든 노드에서 일관된 모든 구성 옵션을 해당 노드 풀 내의 모든 노드에 대한 구성을 나타내는 파일에 저장합니다. 이렇게 하면 스캔 결과의 정확도가 높아집니다.
기본 마스터 및 워커 노드 풀 구성에서 이 기능을 사용하려면 추가적인 구성 변경이 필요하지 않습니다.
5.6.5.5. 사용자 정의 노드 풀 스캔
규정 준수 운영자는 각 노드 풀 구성의 사본을 유지하지 않습니다. 규정 준수 운영자는 단일 노드 풀 내의 모든 노드에 대한 일관된 구성 옵션을 구성 파일의 한 사본으로 집계합니다. 그런 다음 규정 준수 운영자는 특정 노드 풀의 구성 파일을 사용하여 해당 풀 내의 노드에 대한 규칙을 평가합니다.
프로세스
ScanSettingBindingCR에 저장될ScanSetting개체에예제역할을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow ScanSettingBindingCR을 사용하는 스캔을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
Platform KubeletConfig 규칙은
Node/Proxy객체를 통해 확인됩니다. 다음 명령을 실행하면 해당 규칙을 찾을 수 있습니다.oc get rules -o json | jq '.items[] | select(.checkType == "Platform") | select(.metadata.name | contains("ocp4-kubelet-")) | .metadata.name'$ oc get rules -o json | jq '.items[] | select(.checkType == "Platform") | select(.metadata.name | contains("ocp4-kubelet-")) | .metadata.name'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.5.6. KubeletConfig 하위 풀 수정
KubeletConfig 수정 레이블은 MachineConfigPool 하위 풀에 적용될 수 있습니다.
프로세스
하위 풀
MachineConfigPoolCR에 레이블을 추가합니다.oc label mcp <sub-pool-name> pools.operator.machineconfiguration.openshift.io/<sub-pool-name>=
$ oc label mcp <sub-pool-name> pools.operator.machineconfiguration.openshift.io/<sub-pool-name>=Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.5.7. 수정 적용
부울 특성 spec.apply는 Compliance Operator에서 수정을 적용해야 하는지를 제어합니다. 특성을 true로 설정하면 수정을 적용할 수 있습니다.
oc -n openshift-compliance \
patch complianceremediations/<scan-name>-sysctl-net-ipv4-conf-all-accept-redirects \
--patch '{"spec":{"apply":true}}' --type=merge
$ oc -n openshift-compliance \
patch complianceremediations/<scan-name>-sysctl-net-ipv4-conf-all-accept-redirects \
--patch '{"spec":{"apply":true}}' --type=merge
Compliance Operator에서 적용된 수정을 처리하면 status.ApplicationState 특성이 Applied로 변경되거나 잘못된 경우 Error로 변경됩니다. 시스템 구성 수정이 적용되면 적용된 기타 모든 수정과 함께 해당 수정이 75-$scan-name-$suite-name이라는 MachineConfig 오브젝트로 렌더링됩니다. 이후 Machine Config Operator에서 MachineConfig 오브젝트를 렌더링하고 마지막으로 각 노드에서 실행되는 머신 제어 데몬 인스턴스에서 머신 구성 풀의 모든 노드에 이 오브젝트를 적용합니다.
Machine Config Operator에서 새 MachineConfig 오브젝트를 풀의 노드에 적용하면 풀에 속하는 모든 노드가 재부팅됩니다. 이러한 방법은 복합적인 75-$scan-name-$suite-name MachineConfig 오브젝트를 각각 다시 렌더링하는 수정을 여러 번 적용할 때 불편할 수 있습니다. 수정을 즉시 적용하지 않으려면 MachineConfigPool 오브젝트의 .spec.paused 특성을 true로 설정하여 머신 구성 풀을 일시 중지하면 됩니다.
Compliance Operator는 수정을 자동으로 적용할 수 있습니다. ScanSetting 최상위 오브젝트에 autoApplyRemediations: true를 설정합니다.
수정 사항 자동 적용은 신중하게 고려해야 합니다.
규정 준수 운영자는 수정 작업 사이에 발생할 수 있는 종속성 문제를 자동으로 해결하지 않습니다. 정확한 결과를 얻으려면 사용자는 수정 사항을 적용한 후 다시 검사를 수행해야 합니다.
5.6.5.8. 플랫폼 점검 수동 수정
플랫폼 검사에 대한 점검은 일반적으로 다음 두 가지 이유로 관리자가 수동으로 수정해야 합니다.
- 설정해야 하는 값을 자동으로 결정할 수 없는 경우가 있습니다. 검사 중 하나를 통해 허용된 레지스트리 목록을 제공해야 하지만 스캐너에서는 조직이 허용하려는 레지스트리를 알 수 없습니다.
-
다양한 점검에서 여러 API 오브젝트를 수정하므로 클러스터의 오브젝트를 수정하려면
root또는 슈퍼 유저 액세스 권한을 가져오기 위해 자동 수정이 필요합니다. 이 방법은 바람직하지 않습니다.
프로세스
아래 예제에서는
ocp4-ocp-allowed-registries-for-import규칙을 사용하며 기본 OpenShift Container Platform 설치에서 실패합니다.oc get rule.compliance/ocp4-ocp-allowed-registries-for-import -oyaml규칙을 검사합니다. 이 규칙은allowedRegistriesForImport특성을 설정하여 사용자가 이미지를 가져올 수 있는 레지스트리를 제한합니다. 규칙의 warning 특성에는 점검된 API 오브젝트도 표시되므로 이를 수정하고 문제를 해결할 수 있습니다.oc edit image.config.openshift.io/cluster
$ oc edit image.config.openshift.io/clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 검사를 다시 실행합니다.
oc -n openshift-compliance \ annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=
$ oc -n openshift-compliance \ annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.5.9. 수정 업데이트
새 버전의 규정 준수 콘텐츠를 사용하는 경우 이전 버전과 다른 새 버전의 수정을 제공할 수 있습니다. Compliance Operator는 이전 버전의 수정을 적용한 상태로 유지됩니다. OpenShift Container Platform 관리자에게는 검토하고 적용할 새 버전에 대한 알림이 제공됩니다. 이전에 적용되었지만 업데이트된 ComplianceRemediation 오브젝트는 상태가 Outdated로 변경됩니다. 오래된 오브젝트는 쉽게 검색할 수 있도록 레이블이 지정됩니다.
이전에 적용된 수정 내용은 ComplianceRemediation 오브젝트의 spec.outdated 특성에 저장되고 새로 업데이트된 내용은 spec.current 특성에 저장됩니다. 콘텐츠가 최신 버전으로 업데이트되면 관리자는 수정을 검토해야 합니다. spec.outdated 특성이 존재하는 동안에는 결과 MachineConfig 오브젝트를 렌더링하는 데 사용됩니다. spec.outdated 특성이 제거되면 Compliance Operator에서 결과 MachineConfig 오브젝트를 다시 렌더링하고 이로 인해 Operator에서 구성을 노드로 푸시합니다.
프로세스
오래된 수정을 검색합니다.
oc -n openshift-compliance get complianceremediations \ -l complianceoperator.openshift.io/outdated-remediation=
$ oc -n openshift-compliance get complianceremediations \ -l complianceoperator.openshift.io/outdated-remediation=Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME STATE workers-scan-no-empty-passwords Outdated
NAME STATE workers-scan-no-empty-passwords OutdatedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 현재 적용된 수정은
Outdated특성에 저장되고 적용되지 않은 새 수정은Current특성에 저장됩니다. 새 버전에 만족한다면Outdated필드를 제거하십시오. 업데이트된 콘텐츠를 유지하려면Current및Outdated특성을 제거하십시오.최신 버전의 수정을 적용합니다.
oc -n openshift-compliance patch complianceremediations workers-scan-no-empty-passwords \ --type json -p '[{"op":"remove", "path":/spec/outdated}]'$ oc -n openshift-compliance patch complianceremediations workers-scan-no-empty-passwords \ --type json -p '[{"op":"remove", "path":/spec/outdated}]'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 수정 상태가
Outdated에서Applied로 전환됩니다.oc get -n openshift-compliance complianceremediations workers-scan-no-empty-passwords
$ oc get -n openshift-compliance complianceremediations workers-scan-no-empty-passwordsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME STATE workers-scan-no-empty-passwords Applied
NAME STATE workers-scan-no-empty-passwords AppliedCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 노드에 최신 수정 버전이 적용되고 노드가 재부팅됩니다.
규정 준수 운영자는 수정 작업 사이에 발생할 수 있는 종속성 문제를 자동으로 해결하지 않습니다. 정확한 결과를 얻으려면 사용자는 수정 사항을 적용한 후 다시 검사를 수행해야 합니다.
5.6.5.10. 수정 적용 취소
이전에 적용한 수정을 적용 취소해야 할 수 있습니다.
프로세스
적용플래그를false로 설정합니다.oc -n openshift-compliance \ patch complianceremediations/rhcos4-moderate-worker-sysctl-net-ipv4-conf-all-accept-redirects \ --patch '{"spec":{"apply":false}}' --type=merge$ oc -n openshift-compliance \ patch complianceremediations/rhcos4-moderate-worker-sysctl-net-ipv4-conf-all-accept-redirects \ --patch '{"spec":{"apply":false}}' --type=mergeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 수정 상태가
NotApplied로 변경되고 복합MachineConfig오브젝트가 수정을 포함하지 않도록 다시 렌더링됩니다.중요수정으로 영향을 받는 모든 노드가 재부팅됩니다.
규정 준수 운영자는 수정 작업 사이에 발생할 수 있는 종속성 문제를 자동으로 해결하지 않습니다. 정확한 결과를 얻으려면 사용자는 수정 사항을 적용한 후 다시 검사를 수행해야 합니다.
5.6.5.11. KubeletConfig 수정 제거
KubeletConfig 수정은 노드 수준 프로필에 포함됩니다. KubeletConfig 수정을 제거하려면 KubeletConfig 개체에서 수동으로 제거해야 합니다. 이 예제에서는 one-rule-tp-node-master-kubelet-eviction-thresholds-set-hard-imagefs-available 수정에 대한 규정 준수 검사를 제거하는 방법을 보여줍니다.
프로세스
one-rule-tp-node-master-kubelet-eviction-thresholds-set-hard-imagefs-available수정에 대한스캔 이름및 규정 준수 검사를 찾으세요.oc -n openshift-compliance get remediation \ one-rule-tp-node-master-kubelet-eviction-thresholds-set-hard-imagefs-available -o yaml
$ oc -n openshift-compliance get remediation \ one-rule-tp-node-master-kubelet-eviction-thresholds-set-hard-imagefs-available -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고수정 작업으로 인해
evictionHardkubelet 구성이 호출되는 경우memory.available,nodefs.available,nodefs.inodesFree,imagefs.available,imagefs.inodesFree등 모든evictionHard매개변수를 지정해야 합니다. 모든 매개변수를 지정하지 않으면 지정된 매개변수만 적용되며 수정 작업이 제대로 작동하지 않습니다.수정 사항을 제거합니다.
수정 개체에 대해
적용을false로 설정합니다.oc -n openshift-compliance patch \ complianceremediations/one-rule-tp-node-master-kubelet-eviction-thresholds-set-hard-imagefs-available \ -p '{"spec":{"apply":false}}' --type=merge$ oc -n openshift-compliance patch \ complianceremediations/one-rule-tp-node-master-kubelet-eviction-thresholds-set-hard-imagefs-available \ -p '{"spec":{"apply":false}}' --type=mergeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 스캔 이름을사용하여 수정이 적용된KubeletConfig객체를 찾습니다.oc -n openshift-compliance get kubeletconfig \ --selector compliance.openshift.io/scan-name=one-rule-tp-node-master
$ oc -n openshift-compliance get kubeletconfig \ --selector compliance.openshift.io/scan-name=one-rule-tp-node-masterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME AGE compliance-operator-kubelet-master 2m34s
NAME AGE compliance-operator-kubelet-master 2m34sCopy to Clipboard Copied! Toggle word wrap Toggle overflow KubeletConfig객체에서 수동으로 수정,imagefs.available: 10% 를제거합니다.oc edit -n openshift-compliance KubeletConfig compliance-operator-kubelet-master
$ oc edit -n openshift-compliance KubeletConfig compliance-operator-kubelet-masterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 중요수정으로 영향을 받는 모든 노드가 재부팅됩니다.
맞춤 프로필에서 자동으로 수정을 적용하는 모든 예약된 검사에서도 해당 규칙을 제외해야 합니다. 그렇지 않으면 다음에 예약된 검사에서 수정이 다시 적용됩니다.
5.6.5.12. Inconsistent ComplianceScan
ScanSetting 오브젝트는 ScanSetting 또는 ScanSettingBinding 오브젝트에서 생성한 규정 준수 검사에서 검사할 노드 역할을 나열합니다. 각 노드 역할은 일반적으로 머신 구성 풀에 매핑됩니다.
머신 구성 풀의 모든 머신이 동일하고 풀에 있는 노드의 모든 검사 결과가 동일해야 합니다.
일부 결과가 다른 결과와 다른 경우 Compliance Operator는 일부 노드에서 INCONSISTENT로 보고하는 ComplianceCheckResult 오브젝트에 플래그를 지정합니다. 또한 모든 ComplianceCheckResult 오브젝트에는 compliance.openshift.io/inconsistent-check 레이블이 지정됩니다.
풀의 머신 수가 상당히 많을 수 있기 때문에 Compliance Operator는 가장 일반적인 상태를 찾고 일반적인 상태와 다른 노드를 나열하려고 합니다. 가장 일반적인 상태는 compliance.openshift.io/most-common-status 주석에 저장되고 주석 compliance.openshift.io/inconsistent-source에는 가장 일반적인 상태와 다른 점검 상태의 hostname:status 쌍이 포함됩니다. 일반적인 상태를 찾을 수 없는 경우 모든 hostname:status 쌍이 compliance.openshift.io/inconsistent-source annotation에 나열됩니다.
가능한 경우 클러스터가 규정 준수 상태에 통합될 수 있도록 수정이 계속 생성됩니다. 그러나 이러한 통합이 항상 가능한 것은 아니며 노드 간 차이를 수동으로 수정해야 합니다. compliance.openshift.io/rescan= 옵션으로 검사에 주석을 달아 일관된 결과를 가져오도록 규정 준수 검사를 다시 실행해야 합니다.
oc -n openshift-compliance \ annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=
$ oc -n openshift-compliance \
annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=5.6.6. 고급 Compliance Operator 작업 수행
Compliance Operator에는 디버깅 또는 기존 툴과의 통합에 필요한 고급 사용자용 옵션이 포함되어 있습니다.
5.6.6.1. ComplianceSuite 및 ComplianceScan 오브젝트 직접 사용
사용자가 ScanSetting 및 ScanSettingBinding 오브젝트를 활용하여 모음과 검사를 정의하는 것이 바람직하지만 ComplianceSuite 오브젝트를 직접 정의하는 유효한 사용 사례가 있습니다.
-
검사할 단일 규칙만 지정합니다. 그러지 않으면 디버그 모드가 매우 상세하게 표시되는 경향이 있으므로 이 방법은 OpenSCAP 스캐너의 상세 수준을 높이는
debug: true특성과 함께 디버깅하는 데 유용할 수 있습니다. 테스트를 하나의 규칙으로 제한하면 디버그 정보의 양을 줄이는 데 도움이 됩니다. - 사용자 정의 nodeSelector를 제공합니다. 수정을 적용하려면 nodeSelector가 풀과 일치해야 합니다.
- 맞춤 파일을 사용하여 맞춤형 구성 맵을 검사합니다.
- 번들의 프로파일을 구문 분석하는 오버헤드가 필요하지 않은 경우의 테스트 또는 개발에 해당합니다.
다음 예제에서는 단일 규칙으로만 작업자 머신을 검사하는 ComplianceSuite를 보여줍니다.
위에서 언급한 ComplianceSuite 오브젝트 및 ComplianceScan 오브젝트는 여러 특성을 OpenSCAP에서 예상하는 형식으로 지정합니다.
프로필, 콘텐츠 또는 규칙 값을 찾으려면 ScanSetting 및 ScanSettingBinding에서 유사한 모음을 생성하여 시작하거나 규칙 또는 프로필과 같이 ProfileBundle 오브젝트에서 구문 분석한 오브젝트를 검사하면 됩니다. 이러한 오브젝트에는 ComplianceSuite에서 참조하는 데 사용할 수 있는 xccdf_org 식별자가 포함되어 있습니다.
5.6.6.2. ScanSetting 검사의 PriorityClass 설정
대규모 환경에서는 기본 PriorityClass 객체가 너무 낮아서 Pod가 제시간에 검사를 실행하도록 보장할 수 없습니다. 규정 준수를 유지하거나 자동 스캐닝을 보장해야 하는 클러스터의 경우 리소스가 제한된 상황에서도 규정 준수 운영자가 항상 우선순위를 갖도록 PriorityClass 변수를 설정하는 것이 좋습니다.
사전 요구 사항
-
선택 사항:
PriorityClass객체를 생성했습니다. 자세한 내용은 추가 리소스 의 "우선순위 및 선점 구성"을 참조하세요.
프로세스
PriorityClass변수를 설정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
ScanSetting에서 참조된PriorityClass를찾을 수 없는 경우 Operator는PriorityClass를비워두고 경고를 발행한 후PriorityClass없이 스캔 일정을 계속 예약합니다.
5.6.6.3. 원시 맞춤형 프로필 사용
TailoredProfile CR에서는 가장 일반적인 맞춤 작업을 수행할 수 있지만 XCCDF 표준을 사용하면 OpenSCAP 프로필 맞춤 시 유연성이 훨씬 더 향상됩니다. 또한 조직에서 이전에 OpenScap을 사용한 적이 있는 경우 기존 XCCDF 맞춤 파일이 있을 수 있으며 이 파일을 다시 사용할 수 있습니다.
ComplianceSuite 오브젝트에는 사용자 정의 맞춤 파일을 가리킬 수 있는 선택적 TailoringConfigMap 특성이 포함되어 있습니다. TailoringConfigMap 특성 값은 구성 맵의 이름으로, 이 맵에는 tailoring.xml이라는 키가 포함되어야 하며 이 키의 값은 맞춤 콘텐츠입니다.
프로세스
파일에서
ConfigMap오브젝트를 만듭니다.oc -n openshift-compliance \ create configmap nist-moderate-modified \ --from-file=tailoring.xml=/path/to/the/tailoringFile.xml
$ oc -n openshift-compliance \ create configmap nist-moderate-modified \ --from-file=tailoring.xml=/path/to/the/tailoringFile.xmlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 모음에 속하는 검사의 맞춤 파일을 참조합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.6.4. 재검사 수행
일반적으로 매주 월요일 또는 매일 등 정의된 일정에 따라 검사를 다시 실행하려고 할 것입니다. 노드 문제를 해결한 후 다시 한 번 검사를 실행하는 것도 유용할 수 있습니다. 단일 검사를 수행하려면 compliance.openshift.io/rescan= 옵션을 사용하여 검사에 주석을 답니다.
oc -n openshift-compliance \ annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=
$ oc -n openshift-compliance \
annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=
rescan은 rhcos-moderate 프로필에 대해 4개의 추가 mc 를 생성합니다.
oc get mc
$ oc get mc출력 예
75-worker-scan-chronyd-or-ntpd-specify-remote-server 75-worker-scan-configure-usbguard-auditbackend 75-worker-scan-service-usbguard-enabled 75-worker-scan-usbguard-allow-hid-and-hub
75-worker-scan-chronyd-or-ntpd-specify-remote-server
75-worker-scan-configure-usbguard-auditbackend
75-worker-scan-service-usbguard-enabled
75-worker-scan-usbguard-allow-hid-and-hub
검사 설정 default-auto-apply 레이블이 적용되면 수정 사항이 자동으로 적용되고 오래된 수정 사항이 자동으로 업데이트됩니다. 종속 항목 또는 오래된 수정 사항으로 인해 적용되지 않은 업데이트 적용이 있는 경우 다시 검사하면 업데이트가 적용되고 재부팅이 트리거될 수 있습니다. MachineConfig 오브젝트를 사용하는 업데이트 적용만 재부팅을 트리거합니다. 적용할 업데이트 또는 종속 항목이 없는 경우 재부팅이 수행되지 않습니다.
5.6.6.5. 결과에 대한 사용자 정의 스토리지 크기 설정
ComplianceCheckResult와 같은 사용자 정의 리소스는 검사한 모든 노드에서 집계한 한 번의 점검 결과를 나타내지만 스캐너에서 생성한 원시 결과를 검토하는 것이 유용할 수 있습니다. 원시 결과는 ARF 형식으로 생성되며 크기가 클 수 있습니다(노드당 수십 메가바이트). 따라서 etcd 키-값 저장소에서 지원하는 Kubernetes 리소스에 저장하는 것은 비현실적입니다. 대신 검사할 때마다 기본 크기가 1GB인 영구 볼륨(PV)이 생성됩니다. 환경에 따라 적절하게 PV 크기를 늘릴 수 있습니다. 크기를 늘리려면 ScanSetting 및 ComplianceScan 리소스 모두에 노출되는 rawResultStorage.size 특성을 사용하면 됩니다.
관련 매개변수는 rawResultStorage.rotation으로, 이전 검사가 되풀이되기 전에 PV에 유지되는 검사 수를 조절합니다. 기본값은 3이며 되풀이 정책을 0으로 설정하면 되풀이가 비활성화됩니다. 기본 되풀이 정책과 원시 ARF 검사 보고서당 100MB의 추정치가 지정되면 환경에 적합한 PV 크기를 계산할 수 있습니다.
5.6.6.5.1. 사용자 정의 결과 스토리지 값 사용
OpenShift Container Platform은 다양한 퍼블릭 클라우드 또는 베어 메탈에 배포할 수 있으므로 Compliance Operator에서는 사용 가능한 스토리지 구성을 결정할 수 없습니다. 기본적으로 Compliance Operator는 클러스터의 기본 스토리지 클래스를 사용하여 결과를 저장하는 PV를 생성하지만 사용자 정의 스토리지 클래스는 rawResultStorage.StorageClassName 특성을 사용하여 구성할 수 있습니다.
클러스터에서 기본 스토리지 클래스를 지정하지 않는 경우 이 특성을 설정해야 합니다.
표준 스토리지 클래스를 사용하고 마지막 결과 10개를 유지하는 10GB 크기의 영구 볼륨을 만들도록 ScanSetting 사용자 정의 리소스를 구성합니다.
예제 ScanSetting CR
5.6.6.6. 제품군 검사에서 생성된 수정 사항 적용
ComplianceSuite 오브젝트에서 autoApplyRemediations 부울 매개 변수를 사용할 수 있지만, 대신 compliance.openshift.io/apply-remediations로 오브젝트에 주석을 달 수 있습니다. 이를 통해 Operator는 생성된 모든 수정 사항을 적용할 수 있습니다.
프로세스
-
다음을 실행하여
compliance.openshift.io/apply-remediations주석을 적용합니다.
oc -n openshift-compliance \ annotate compliancesuites/workers-compliancesuite compliance.openshift.io/apply-remediations=
$ oc -n openshift-compliance \
annotate compliancesuites/workers-compliancesuite compliance.openshift.io/apply-remediations=5.6.6.7. 수정 사항 자동 업데이트
경우에 따라 최신 콘텐츠가 있는 검사에서 OUTDATED로 업데이트 적용을 표시할 수 있습니다. 관리자는 compliance.openshift.io/remove-outdated 주석을 적용하여 새 업데이트를 적용하고 오래된 항목을 제거할 수 있습니다.
프로세스
-
compliance.openshift.io/remove-outdated주석을 적용합니다.
oc -n openshift-compliance \ annotate compliancesuites/workers-compliancesuite compliance.openshift.io/remove-outdated=
$ oc -n openshift-compliance \
annotate compliancesuites/workers-compliancesuite compliance.openshift.io/remove-outdated=
또는 ScanSetting 또는 ComplianceSuite 오브젝트에 autoUpdateRemediations 플래그를 설정하여 수정 사항을 자동으로 업데이트합니다.
5.6.6.8. 규정 준수 운영자를 위한 사용자 정의 SCC 생성
일부 환경에서는 규정 준수 운영자 api-resource-collector 에 올바른 권한이 제공되는지 확인하기 위해 사용자 지정 보안 컨텍스트 제약 조건(SCC) 파일을 만들어야 합니다.
사전 요구 사항
-
admin권한이 있어야 합니다.
프로세스
restricted-adjusted-compliance.yaml이라는 YAML 파일에 SCC를 정의합니다.SecurityContextConstraints오브젝트 정의Copy to Clipboard Copied! Toggle word wrap Toggle overflow SCC를 만듭니다.
oc create -n openshift-compliance -f restricted-adjusted-compliance.yaml
$ oc create -n openshift-compliance -f restricted-adjusted-compliance.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
securitycontextconstraints.security.openshift.io/restricted-adjusted-compliance created
securitycontextconstraints.security.openshift.io/restricted-adjusted-compliance createdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
SCC가 생성되었는지 확인하세요.
oc get -n openshift-compliance scc restricted-adjusted-compliance
$ oc get -n openshift-compliance scc restricted-adjusted-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP PRIORITY READONLYROOTFS VOLUMES restricted-adjusted-compliance false <no value> MustRunAs MustRunAsRange MustRunAs RunAsAny 30 false ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]
NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP PRIORITY READONLYROOTFS VOLUMES restricted-adjusted-compliance false <no value> MustRunAs MustRunAsRange MustRunAs RunAsAny 30 false ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.7. 규정 준수 운영자 스캔 문제 해결
이 섹션에서는 Compliance Operator 문제 해결 방법에 대해 설명합니다. 이 정보는 문제를 진단하거나 버그 보고서에 정보를 제공하는 데 유용할 수 있습니다. 몇 가지 일반적인 정보:
Compliance Operator는 중요한 일이 발생할 때 Kubernetes 이벤트를 생성합니다. 다음 명령을 사용하여 클러스터의 모든 이벤트를 볼 수 있습니다.
oc get events -n openshift-compliance
$ oc get events -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 또는 다음 명령을 사용하여 검사와 같은 오브젝트 이벤트를 볼 수 있습니다.
oc describe -n openshift-compliance compliancescan/cis-compliance
$ oc describe -n openshift-compliance compliancescan/cis-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow Compliance Operator는 대략 API 오브젝트당 하나씩 여러 개의 컨트롤러로 구성됩니다. 문제가 있는 API 오브젝트에 해당하는 컨트롤러만 필터링하는 것이 유용할 수 있습니다.
ComplianceRemediation을 적용할 수 없는 경우remediationctrl컨트롤러의 메시지를 확인하십시오.jq를 사용하여 구문 분석하면 단일 컨트롤러의 메시지를 필터링할 수 있습니다.oc -n openshift-compliance logs compliance-operator-775d7bddbd-gj58f \ | jq -c 'select(.logger == "profilebundlectrl")'$ oc -n openshift-compliance logs compliance-operator-775d7bddbd-gj58f \ | jq -c 'select(.logger == "profilebundlectrl")'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 타임스탬프는 UTC의 UNIX epoch 이후의 초로 기록됩니다. 사람이 읽을 수 있는 날짜로 변환하려면
date -d @timestamp --utc를 사용하십시오. 예를 들면 다음과 같습니다.date -d @1596184628.955853 --utc
$ date -d @1596184628.955853 --utcCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
많은 사용자 정의 리소스 중에서도 가장 중요한
ComplianceSuite및ScanSetting에서는debug옵션을 설정할 수 있습니다. 이 옵션을 활성화하면 OpenSCAP 스캐너 Pod 및 기타 도우미 Pod의 상세 수준이 높아집니다. -
단일 규칙이 예기치 않게 통과 또는 실패하는 경우 해당 규칙만 사용하여 단일 스캔 또는 모음을 실행하고 해당
ComplianceCheckResult오브젝트에서 규칙 ID를 찾은 후 이를ScanCR에서rule특성 값으로 사용하는 것이 도움이 될 수 있습니다. 그러면debug옵션이 활성화된 상태에서 스캐너 Pod의scanner컨테이너 로그에 원시 OpenSCAP 로그가 표시됩니다.
5.6.7.1. 검사 구조
다음 섹션에서는 Compliance Operator 검사의 구성 요소 및 단계를 간략하게 설명합니다.
5.6.7.1.1. 규정 준수 소스
규정 준수 콘텐츠는 ProfileBundle 오브젝트에서 생성되는 Profile 오브젝트에 저장됩니다. Compliance Operator는 클러스터와 클러스터 노드에 대해 각각 하나의 ProfileBundle 오브젝트를 생성합니다.
oc get -n openshift-compliance profilebundle.compliance
$ oc get -n openshift-compliance profilebundle.complianceoc get -n openshift-compliance profile.compliance
$ oc get -n openshift-compliance profile.compliance
ProfileBundle 오브젝트는 Bundle이라는 이름으로 레이블이 지정된 배포에서 처리합니다. Bundle 문제를 해결하려면 배포를 찾은 후 해당 배포에서 Pod 로그를 보면 됩니다.
oc logs -n openshift-compliance -lprofile-bundle=ocp4 -c profileparser
$ oc logs -n openshift-compliance -lprofile-bundle=ocp4 -c profileparseroc get -n openshift-compliance deployments,pods -lprofile-bundle=ocp4
$ oc get -n openshift-compliance deployments,pods -lprofile-bundle=ocp4oc logs -n openshift-compliance pods/<pod-name>
$ oc logs -n openshift-compliance pods/<pod-name>oc describe -n openshift-compliance pod/<pod-name> -c profileparser
$ oc describe -n openshift-compliance pod/<pod-name> -c profileparser5.6.7.1.2. ScanSetting 및 ScanSettingBinding 오브젝트 라이프사이클 및 디버깅
유효한 준수 콘텐츠 소스를 사용하면 높은 수준의 ScanSetting 및 ScanSettingBinding 오브젝트를 사용하여 ComplianceSuite 및 ComplianceScan 오브젝트를 생성할 수 있습니다.
ScanSetting 및 ScanSettingBinding 오브젝트는 모두 logger=scansettingbindingctrl 태그가 지정된 동일한 컨트롤러에서 처리합니다. 이러한 오브젝트에는 상태가 없습니다. 모든 문제는 이벤트 형식으로 전달됩니다.
Events: Type Reason Age From Message ---- ------ ---- ---- ------- Normal SuiteCreated 9m52s scansettingbindingctrl ComplianceSuite openshift-compliance/my-companys-compliance-requirements created
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal SuiteCreated 9m52s scansettingbindingctrl ComplianceSuite openshift-compliance/my-companys-compliance-requirements created
이제 ComplianceSuite 오브젝트가 생성되었습니다. flow는 새로 생성된 ComplianceSuite를 계속 조정합니다.
5.6.7.1.3. ComplianceSuite 사용자 정의 리소스 라이프사이클 및 디버깅
ComplianceSuite CR은 ComplianceScan 관련 래퍼입니다. ComplianceSuite CR은 logger=suitectrl 태그가 지정된 컨트롤러에서 처리합니다. 이 컨트롤러는 모음의 검사 생성을 처리하고 개별 검사 상태를 단일 모음 상태로 조정 및 집계합니다. 모음이 주기적으로 실행되도록 설정된 경우에는 초기 실행이 완료된 후 suitectrl에서도 CronJob CR 생성을 처리합니다.
oc get cronjobs
$ oc get cronjobs출력 예
NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE <cron_name> 0 1 * * * False 0 <none> 151m
NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE
<cron_name> 0 1 * * * False 0 <none> 151m
가장 중요한 문제의 경우 이벤트가 생성됩니다. oc describe compliancesuites/<name>으로 문제를 확인하십시오. Suite 오브젝트에는 이 모음에 속한 Scan 오브젝트에서 Status 하위 리소스를 업데이트할 때 업데이트되는 Status 하위 리소스도 있습니다. 예상되는 모든 검사가 생성되면 제어가 검사 컨트롤러로 전달됩니다.
5.6.7.1.4. ComplianceScan 사용자 정의 리소스 라이프사이클 및 디버깅
ComplianceScan CR은 scanctrl 컨트롤러에 의해 처리됩니다. 여기에서 실제 검사가 발생하고 검사 결과가 생성됩니다. 각 검사는 여러 단계를 거칩니다.
5.6.7.1.4.1. 보류 단계
이 단계에서는 검사의 정확성을 확인합니다. 스토리지 크기와 같은 일부 매개변수가 잘못된 경우 검사가 ‘오류와 함께 완료’ 결과로 전환되고, 그러지 않으면 시작 단계가 진행됩니다.
5.6.7.1.4.2. 시작 단계
이 단계에서는 스캐너 Pod에 대한 환경이나 스캐너 Pod를 평가할 스크립트를 직접 포함하는 여러 구성 맵이 있습니다. 구성 맵을 나열합니다.
oc -n openshift-compliance get cm \ -l compliance.openshift.io/scan-name=rhcos4-e8-worker,complianceoperator.openshift.io/scan-script=
$ oc -n openshift-compliance get cm \
-l compliance.openshift.io/scan-name=rhcos4-e8-worker,complianceoperator.openshift.io/scan-script=이러한 구성 맵은 스캐너 Pod에서 사용합니다. 스캐너 동작을 수정하거나 스캐너 디버그 수준을 변경하거나 원시 결과를 출력해야 하는 경우 구성 맵을 수정하는 것이 좋습니다. 이후 원시 ARF 결과를 저장하기 위해 검사별 영구 볼륨 클레임이 생성됩니다.
oc get pvc -n openshift-compliance -lcompliance.openshift.io/scan-name=rhcos4-e8-worker
$ oc get pvc -n openshift-compliance -lcompliance.openshift.io/scan-name=rhcos4-e8-worker
PVC는 검사별 ResultServer 배포로 마운트됩니다. ResultServer는 개별 스캐너 Pod에서 전체 ARF 결과를 업로드하는 간단한 HTTP 서버입니다. 각 서버는 다른 노드에서 실행될 수 있습니다. 전체 ARF 결과는 매우 클 수 있으며 동시에 여러 노드에서 마운트할 수 있는 볼륨을 생성할 수 있다고 가정해서는 안 됩니다. 검사가 완료되면 ResultServer 배포가 축소됩니다. 원시 결과가 있는 PVC는 다른 사용자 정의 Pod에서 마운트할 수 있으며 결과를 가져오거나 검사할 수 있습니다. 스캐너 Pod와 ResultServer 간 트래픽은 상호 TLS 프로토콜로 보호됩니다.
마지막으로 이 단계에서는 스캐너 Pod가 시작되는데, Platform 검사 인스턴스용 스캐너 Pod 1개와 node 검사 인스턴스에 일치하는 노드당 스캐너 Pod 1개입니다. 노드별 Pod는 노드 이름으로 레이블이 지정됩니다. 각 Pod는 항상 ComplianceScan이라는 이름으로 레이블이 지정됩니다.
oc get pods -lcompliance.openshift.io/scan-name=rhcos4-e8-worker,workload=scanner --show-labels
$ oc get pods -lcompliance.openshift.io/scan-name=rhcos4-e8-worker,workload=scanner --show-labels출력 예
NAME READY STATUS RESTARTS AGE LABELS rhcos4-e8-worker-ip-10-0-169-90.eu-north-1.compute.internal-pod 0/2 Completed 0 39m compliance.openshift.io/scan-name=rhcos4-e8-worker,targetNode=ip-10-0-169-90.eu-north-1.compute.internal,workload=scanner
NAME READY STATUS RESTARTS AGE LABELS
rhcos4-e8-worker-ip-10-0-169-90.eu-north-1.compute.internal-pod 0/2 Completed 0 39m compliance.openshift.io/scan-name=rhcos4-e8-worker,targetNode=ip-10-0-169-90.eu-north-1.compute.internal,workload=scanner그런 다음 검사가 실행 중 단계로 진행됩니다.
5.6.7.1.4.3. 실행 단계
실행 단계는 스캐너 Pod가 종료될 때까지 대기합니다. 다음은 실행 단계에서 사용되는 용어 및 프로세스입니다.
-
init container:
content-container라는 하나의 init 컨테이너가 있습니다. contentImage 컨테이너를 실행하고 이 Pod의 다른 컨테이너와 공유하는/content디렉터리에 contentFile을 복사하는 단일 명령을 실행합니다. -
scanner: 이 컨테이너는 검사를 실행합니다. 노드 검사의 경우 컨테이너는 노드 파일 시스템을
/host로 마운트하고 init 컨테이너에서 제공하는 콘텐츠를 마운트합니다. 컨테이너는 또한 시작 단계에서 생성된entrypointConfigMap을 마운트하고 실행합니다. 진입점ConfigMap의 기본 스크립트는 OpenSCAP을 실행하고 Pod 컨테이너 간 공유하는/results디렉터리에 결과 파일을 저장합니다. 이 Pod의 로그를 보고 OpenSCAP 스캐너에서 점검한 사항을 확인할 수 있습니다. 더 자세한 출력 내용은debug플래그를 사용하여 볼 수 있습니다. logcollector: logcollector 컨테이너는 스캐너 컨테이너가 종료될 때까지 대기합니다. 그런 다음 전체 ARF 결과를
ResultServer에 업로드하고 XCCDF 결과를 검사 결과 및 OpenSCAP 결과 코드와 함께ConfigMap으로 별도로 업로드합니다. 이러한 결과 구성 맵에는 스캔 이름(compliance.openshift.io/scan-name=rhcos4-e8-worker)이 표시됩니다.oc describe cm/rhcos4-e8-worker-ip-10-0-169-90.eu-north-1.compute.internal-pod
$ oc describe cm/rhcos4-e8-worker-ip-10-0-169-90.eu-north-1.compute.internal-podCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Platform 검사를 위한 스캐너 Pod는 다음을 제외하고 비슷합니다.
-
api-resource-collector라는 하나의 추가 init 컨테이너가 있습니다. 이 컨테이너는 content-container init 컨테이너에서 제공하는 OpenSCAP 콘텐츠를 읽고, 해당 콘텐츠에서 검사해야 하는 API 리소스를 파악한 후scanner컨테이너에서 이러한 API 리소스를 읽는 공유 디렉터리에 저장합니다. -
scanner컨테이너는 호스트 파일 시스템을 마운트할 필요가 없습니다.
스캐너 Pod가 완료되면 검사가 집계 단계로 이동합니다.
5.6.7.1.4.4. 집계 단계
검사 컨트롤러는 집계 단계에서 집계기 Pod라는 또 다른 Pod를 생성합니다. 그 목적은 결과 ConfigMap 오브젝트를 가져와서 결과를 읽고 각 점검 결과에 해당하는 Kubernetes 오브젝트를 만드는 것입니다. 점검 실패를 자동으로 수정할 수 있는 경우 ComplianceRemediation 오브젝트가 생성됩니다. 또한 집계기 Pod는 사람이 읽을 수 있는 점검 및 수정용 메타데이터를 제공하기 위해 init 컨테이너를 사용하여 OpenSCAP 콘텐츠도 마운트합니다.
집계기 Pod에서 구성 맵을 처리하면 구성 맵에 compliance-remediations/processed라는 레이블이 지정됩니다. 이 단계의 결과는 ComplianceCheckResult 오브젝트
oc get compliancecheckresults -lcompliance.openshift.io/scan-name=rhcos4-e8-worker
$ oc get compliancecheckresults -lcompliance.openshift.io/scan-name=rhcos4-e8-worker출력 예
NAME STATUS SEVERITY rhcos4-e8-worker-accounts-no-uid-except-zero PASS high rhcos4-e8-worker-audit-rules-dac-modification-chmod FAIL medium
NAME STATUS SEVERITY
rhcos4-e8-worker-accounts-no-uid-except-zero PASS high
rhcos4-e8-worker-audit-rules-dac-modification-chmod FAIL medium
및 ComplianceRemediation 오브젝트입니다.
oc get complianceremediations -lcompliance.openshift.io/scan-name=rhcos4-e8-worker
$ oc get complianceremediations -lcompliance.openshift.io/scan-name=rhcos4-e8-worker출력 예
이러한 CR이 생성되면 집계기 Pod가 종료되고 검사가 완료 단계로 전환됩니다.
5.6.7.1.4.5. 완료 단계
최종 검사 단계에서는 필요한 경우 검사 리소스가 정리되고 ResultServer 배포가 축소되거나(검사가 1회인 경우) 삭제됩니다(검사가 계속되는 경우). 삭제하는 경우 다음 검사 인스턴스에서 배포를 다시 생성합니다.
또한 주석을 달아 완료 단계에서 검사 재실행을 트리거할 수도 있습니다.
oc -n openshift-compliance \ annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=
$ oc -n openshift-compliance \
annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=
autoApplyRemediations: true를 사용하여 수정을 자동 적용하도록 설정하지 않으면 검사가 완료 단계에 도달한 후 자체적으로 수행되는 작업이 없습니다. OpenShift Container Platform 관리자가 수정 사항을 검토하고 필요에 따라 적용합니다. 수정을 자동 적용하도록 설정하면 완료 단계에서 ComplianceSuite 컨트롤러에 설정이 전달되고, 이 컨트롤러에서 검사가 매핑되는 머신 구성 풀을 일시 중지한 후 모든 수정을 한 번에 적용합니다. 수정은 ComplianceRemediation 컨트롤러에서 대신 적용합니다.
5.6.7.1.5. ComplianceRemediation 컨트롤러 라이프사이클 및 디버깅
예제 검사에서 몇 가지 결과가 보고되었습니다. apply 특성을 true로 전환하여 수정 중 하나를 활성화할 수 있습니다.
oc patch complianceremediations/rhcos4-e8-worker-audit-rules-dac-modification-chmod --patch '{"spec":{"apply":true}}' --type=merge
$ oc patch complianceremediations/rhcos4-e8-worker-audit-rules-dac-modification-chmod --patch '{"spec":{"apply":true}}' --type=merge
ComplianceRemediation 컨트롤러(logger=remediationctrl)는 수정된 오브젝트를 조정합니다. 조정으로 인해 조정된 수정 오브젝트의 상태가 변경될 뿐만 아니라 적용된 모든 수정이 포함되는 렌더링된 모음별 MachineConfig 오브젝트도 변경됩니다.
MachineConfig 오브젝트는 항상 75-로 시작하며 검사 및 모음 이름을 따서 이름이 지정됩니다.
oc get mc | grep 75-
$ oc get mc | grep 75-출력 예
75-rhcos4-e8-worker-my-companys-compliance-requirements 3.2.0 2m46s
75-rhcos4-e8-worker-my-companys-compliance-requirements 3.2.0 2m46s
현재 mc가 구성되어 있는 수정이 머신 구성의 주석에 나열됩니다.
oc describe mc/75-rhcos4-e8-worker-my-companys-compliance-requirements
$ oc describe mc/75-rhcos4-e8-worker-my-companys-compliance-requirements출력 예
Name: 75-rhcos4-e8-worker-my-companys-compliance-requirements Labels: machineconfiguration.openshift.io/role=worker Annotations: remediation/rhcos4-e8-worker-audit-rules-dac-modification-chmod:
Name: 75-rhcos4-e8-worker-my-companys-compliance-requirements
Labels: machineconfiguration.openshift.io/role=worker
Annotations: remediation/rhcos4-e8-worker-audit-rules-dac-modification-chmod:
ComplianceRemediation 컨트롤러 알고리즘은 다음과 같이 작동합니다.
- 현재 적용된 모든 수정은 초기 수정 세트로 해석됩니다.
- 조정된 수정을 적용해야 하는 경우 이 세트에 추가됩니다.
-
MachineConfig오브젝트는 해당 세트에서 렌더링되고 세트의 수정 이름으로 주석이 달립니다. 세트가 비어 있는 경우(마지막 수정이 적용되지 않음) 렌더링된MachineConfig오브젝트가 제거됩니다. - 렌더링된 머신 구성이 클러스터에 이미 적용된 구성과 다른 경우에만 적용된 MC가 업데이트되거나 생성 또는 삭제됩니다.
-
MachineConfig오브젝트를 생성하거나 수정하면machineconfiguration.openshift.io/role레이블과 일치하는 노드의 재부팅이 트리거됩니다. 자세한 내용은 Machine Config Operator 설명서를 참조하십시오.
필요한 경우 렌더링된 머신 구성을 업데이트하고 조정된 수정 오브젝트 상태를 업데이트하면 수정 루프가 종료됩니다. 예제의 경우 수정을 적용하면 재부팅이 트리거됩니다. 재부팅 후 검사에 주석을 달아 다시 실행합니다.
oc -n openshift-compliance \ annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=
$ oc -n openshift-compliance \
annotate compliancescans/rhcos4-e8-worker compliance.openshift.io/rescan=검사가 실행되고 완료됩니다. 전달할 수정을 확인합니다.
oc -n openshift-compliance \ get compliancecheckresults/rhcos4-e8-worker-audit-rules-dac-modification-chmod
$ oc -n openshift-compliance \
get compliancecheckresults/rhcos4-e8-worker-audit-rules-dac-modification-chmod출력 예
NAME STATUS SEVERITY rhcos4-e8-worker-audit-rules-dac-modification-chmod PASS medium
NAME STATUS SEVERITY
rhcos4-e8-worker-audit-rules-dac-modification-chmod PASS medium5.6.7.1.6. 유용한 레이블
Compliance Operator에서 생성하는 각 Pod는 특별히 해당 Pod가 속하는 검사와 수행하는 작업을 사용하여 레이블이 지정됩니다. 검사 식별자는 compliance.openshift.io/scan-name으로 레이블이 지정됩니다. 워크로드 식별자는 workload로 레이블이 지정됩니다.
Compliance Operator는 다음 워크로드를 예약합니다.
- scanner: 적합성 검사를 수행합니다.
- resultserver: 준수 검사에 대한 원시 결과를 저장합니다.
- aggregator: 결과를 집계하고, 불일치를 감지하고, 결과 오브젝트를 출력합니다(검사 결과 및 수정).
- suitererunner: 재실행할 모음에 태그를 지정합니다(일정이 설정된 경우).
- profileparser: 데이터 스트림을 구문 분석하고 적절한 프로필, 규칙, 변수를 만듭니다.
특정 워크로드에 디버깅 및 로그가 필요한 경우 다음을 실행합니다.
oc logs -l workload=<workload_name> -c <container_name>
$ oc logs -l workload=<workload_name> -c <container_name>5.6.7.2. Compliance Operator 리소스 제한 증가
어떤 경우에는 규정 준수 운영자가 기본 한도에서 허용하는 것보다 더 많은 메모리를 요구할 수 있습니다. 이 문제를 완화하는 가장 좋은 방법은 사용자 지정 리소스 제한을 설정하는 것입니다.
스캐너 포드의 기본 메모리 및 CPU 제한을 늘리려면 `ScanSetting` 사용자 정의 리소스를 참조하세요.
프로세스
Operator의 메모리 제한을 500Mi로 늘리려면
co-memlimit-patch.yaml이라는 다음 패치 파일을 만듭니다.spec: config: resources: limits: memory: 500Mispec: config: resources: limits: memory: 500MiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 패치 파일을 적용합니다:
oc patch sub compliance-operator -nopenshift-compliance --patch-file co-memlimit-patch.yaml --type=merge
$ oc patch sub compliance-operator -nopenshift-compliance --patch-file co-memlimit-patch.yaml --type=mergeCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.7.3. Operator 리소스 제약 조건 구성
리소스 필드는 Operator Lifecycle Manager(OLM)가 생성한 Pod의 모든 컨테이너에 대한 리소스 제약 조건을 정의합니다.
이 프로세스에 적용된 리소스 제약은 기존 리소스 제약을 덮어씁니다.
프로세스
Subscription객체를 편집하여 각 컨테이너에 0.25 CPU와 64Mi의 메모리 요청을 주입하고, 0.5 CPU와 128Mi의 메모리 제한을 주입합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.7.4. ScanSetting 리소스 구성
500개 이상의 MachineConfig가 포함된 클러스터에서 Compliance Operator를 사용하는 경우 플랫폼 스캔을 수행할 때 ocp4-pci-dss-api-checks-pod 포드가 init 단계에서 일시 중지될 수 있습니다.
이 프로세스에 적용된 리소스 제약조건은 기존 리소스 제약조건을 덮어씁니다.
프로세스
ocp4-pci-dss-api-checks-pod포드가Init:OOMKilled상태에 갇혔는지 확인하세요.oc get pod ocp4-pci-dss-api-checks-pod -w
$ oc get pod ocp4-pci-dss-api-checks-pod -wCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE ocp4-pci-dss-api-checks-pod 0/2 Init:1/2 8 (5m56s ago) 25m ocp4-pci-dss-api-checks-pod 0/2 Init:OOMKilled 8 (6m19s ago) 26m
NAME READY STATUS RESTARTS AGE ocp4-pci-dss-api-checks-pod 0/2 Init:1/2 8 (5m56s ago) 25m ocp4-pci-dss-api-checks-pod 0/2 Init:OOMKilled 8 (6m19s ago) 26mCopy to Clipboard Copied! Toggle word wrap Toggle overflow ScanSettingCR에서scanLimits속성을 편집하여ocp4-pci-dss-api-checks-pod포드에 사용 가능한 메모리를 늘립니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 기본 설정은
500Mi입니다.
클러스터에
ScanSettingCR을 적용합니다.oc apply -f scansetting.yaml
$ oc apply -f scansetting.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.7.5. ScanSetting 시간 초과 구성
ScanSetting 개체에는 ComplianceScanSetting 개체에서 1h30m 과 같은 기간 문자열로 지정할 수 있는 시간 초과 옵션이 있습니다. 지정된 시간 제한 내에 검사가 완료되지 않으면 maxRetryOnTimeout 제한에 도달할 때까지 검사를 다시 시도합니다.
5.6.7.6. 지원 요청
이 문서에 설명된 절차 또는 일반적으로 OpenShift Container Platform에 문제가 발생하는 경우 Red Hat 고객 포털에 액세스하십시오.
고객 포털에서 다음을 수행할 수 있습니다.
- Red Hat 제품과 관련된 기사 및 솔루션에 대한 Red Hat 지식베이스를 검색하거나 살펴볼 수 있습니다.
- Red Hat 지원에 대한 지원 케이스 제출할 수 있습니다.
- 다른 제품 설명서에 액세스 가능합니다.
클러스터의 문제를 식별하려면 OpenShift Cluster Manager 의 Insights를 사용할 수 있습니다. Insights는 문제에 대한 세부 정보 및 문제 해결 방법에 대한 정보를 제공합니다.
이 문서를 개선하기 위한 제안이 있거나 오류를 발견한 경우, 가장 관련성 있는 문서 구성 요소에 대한 Jira 이슈를 제출하세요. 섹션 이름 및 OpenShift Container Platform 버전과 같은 구체적인 정보를 제공합니다.
5.6.8. oc-compliance 플러그인 사용
규정 준수 운영자는 클러스터의 많은 검사 및 수정 작업을 자동화하지만, 클러스터를 규정 준수 상태로 만드는 전체 프로세스에는 관리자가 규정 준수 운영자 API 및 기타 구성 요소와 상호 작용해야 하는 경우가 많습니다. oc-compliance 플러그인을 사용하면 프로세스가 더 쉬워집니다.
5.6.8.1. oc-compliance 플러그인 설치
프로세스
oc-compliance이미지를 추출하여oc-compliance바이너리를 가져옵니다.podman run --rm -v ~/.local/bin:/mnt/out:Z registry.redhat.io/compliance/oc-compliance-rhel8:stable /bin/cp /usr/bin/oc-compliance /mnt/out/
$ podman run --rm -v ~/.local/bin:/mnt/out:Z registry.redhat.io/compliance/oc-compliance-rhel8:stable /bin/cp /usr/bin/oc-compliance /mnt/out/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
W0611 20:35:46.486903 11354 manifest.go:440] Chose linux/amd64 manifest from the manifest list.
W0611 20:35:46.486903 11354 manifest.go:440] Chose linux/amd64 manifest from the manifest list.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이제
oc-compliance를 실행할 수 있습니다.
5.6.8.2. 원시 결과 가져오기
규정 준수 검사가 완료되면 결과 ComplianceCheckResult CR(사용자 정의 리소스)에 개별 검사 결과가 나열됩니다. 그러나 관리자 또는 감사자는 검사에 대한 전체 세부 정보가 필요할 수 있습니다. OpenSCAP 툴은 자세한 결과를 사용하여 AMQP(Advanced Recording Format) 포맷 파일을 생성합니다. 이 ARF 파일은 구성 맵 또는 기타 표준 Kubernetes 리소스에 저장하기에 너무 크므로 이를 포함할 영구 볼륨(PV)이 생성됩니다.
프로세스
Compliance Operator를 사용하여 PV에서 결과를 가져오는 작업은 4단계 프로세스입니다. 하지만
oc-compliance플러그인을 사용하면 단일 명령을 사용할 수 있습니다.oc compliance fetch-raw <object-type> <object-name> -o <output-path>
$ oc compliance fetch-raw <object-type> <object-name> -o <output-path>Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
<object-type>은 검사가 시작된 오브젝트에 따라scansettingbinding,compliancescan또는compliancesuite일 수 있습니다. <object-name>은 ARF 파일을 수집할 바인딩, 제품군 또는 검사 오브젝트의 이름이고<output-path>는 결과를 배치할 로컬 디렉터리입니다.예를 들면 다음과 같습니다.
oc compliance fetch-raw scansettingbindings my-binding -o /tmp/
$ oc compliance fetch-raw scansettingbindings my-binding -o /tmp/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
디렉터리에서 파일 목록을 확인합니다.
ls /tmp/ocp4-cis-node-master/
$ ls /tmp/ocp4-cis-node-master/출력 예
ocp4-cis-node-master-ip-10-0-128-89.ec2.internal-pod.xml.bzip2 ocp4-cis-node-master-ip-10-0-150-5.ec2.internal-pod.xml.bzip2 ocp4-cis-node-master-ip-10-0-163-32.ec2.internal-pod.xml.bzip2
ocp4-cis-node-master-ip-10-0-128-89.ec2.internal-pod.xml.bzip2 ocp4-cis-node-master-ip-10-0-150-5.ec2.internal-pod.xml.bzip2 ocp4-cis-node-master-ip-10-0-163-32.ec2.internal-pod.xml.bzip2결과를 추출합니다.
bunzip2 -c resultsdir/worker-scan/worker-scan-stage-459-tqkg7-compute-0-pod.xml.bzip2 > resultsdir/worker-scan/worker-scan-ip-10-0-170-231.us-east-2.compute.internal-pod.xml
$ bunzip2 -c resultsdir/worker-scan/worker-scan-stage-459-tqkg7-compute-0-pod.xml.bzip2 > resultsdir/worker-scan/worker-scan-ip-10-0-170-231.us-east-2.compute.internal-pod.xml결과를 확인합니다.
ls resultsdir/worker-scan/
$ ls resultsdir/worker-scan/출력 예
worker-scan-ip-10-0-170-231.us-east-2.compute.internal-pod.xml worker-scan-stage-459-tqkg7-compute-0-pod.xml.bzip2 worker-scan-stage-459-tqkg7-compute-1-pod.xml.bzip2
worker-scan-ip-10-0-170-231.us-east-2.compute.internal-pod.xml
worker-scan-stage-459-tqkg7-compute-0-pod.xml.bzip2
worker-scan-stage-459-tqkg7-compute-1-pod.xml.bzip25.6.8.3. 검사 재실행
예약된 작업으로 스캔을 실행할 수 있지만 수정을 적용한 후 또는 클러스터에 대한 기타 변경이 이루어진 경우 필요에 따라 검사를 다시 실행해야 합니다.
프로세스
규정 준수 연산자로 스캔을 다시 실행하려면 스캔 개체에 대한 주석을 사용해야 합니다. 하지만
oc-compliance플러그인을 사용하면 단일 명령으로 검사를 다시 실행할 수 있습니다. 다음 명령을 입력하여my-binding이라는ScanSettingBinding개체에 대한 스캔을 다시 실행합니다.oc compliance rerun-now scansettingbindings my-binding
$ oc compliance rerun-now scansettingbindings my-bindingCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Rerunning scans from 'my-binding': ocp4-cis Re-running scan 'openshift-compliance/ocp4-cis'
Rerunning scans from 'my-binding': ocp4-cis Re-running scan 'openshift-compliance/ocp4-cis'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.8.4. ScanSettingBinding 사용자 정의 리소스 사용
Compliance Operator에서 제공하는 ScanSetting 및 ScanSettingBinding CR(사용자 정의 리소스)을 사용하는 경우 schedule, machine roles, tolerations 등과 같은 공통 검사 옵션 세트를 사용하는 동안 여러 프로필 검사를 실행할 수 있습니다. 여러 ComplianceSuite 또는 ComplianceScan 오브젝트로 작업하는 것보다 쉽지만 새로운 사용자를 혼란스럽게 할 수 있습니다.
oc compliance bind 하위 명령은 ScanSettingBinding CR을 생성하는 데 도움이 됩니다.
프로세스
다음을 실행합니다.
oc compliance bind [--dry-run] -N <binding name> [-S <scansetting name>] <objtype/objname> [..<objtype/objname>]
$ oc compliance bind [--dry-run] -N <binding name> [-S <scansetting name>] <objtype/objname> [..<objtype/objname>]Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
-S플래그를 생략하면 Compliance Operator에서 제공하는default검사 설정이 사용됩니다. -
오브젝트 유형은 Kubernetes 오브젝트 유형으로
profile또는tailoredprofile일 수 있습니다. 두 개 이상의 오브젝트를 제공할 수 있습니다. -
오브젝트 이름은 Kubernetes 리소스의 이름입니다 (예:
.metadata.name). --dry-run옵션을 추가하여 생성된 오브젝트의 YAML 파일을 표시합니다.예를 들어 다음 프로필 및 검사 설정이 제공됩니다.
oc get profile.compliance -n openshift-compliance
$ oc get profile.compliance -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc get scansettings -n openshift-compliance
$ oc get scansettings -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME AGE default 10m default-auto-apply 10m
NAME AGE default 10m default-auto-apply 10mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
default설정을ocp4-cis및ocp4-cis-node프로필에 적용하려면 다음을 실행합니다.oc compliance bind -N my-binding profile/ocp4-cis profile/ocp4-cis-node
$ oc compliance bind -N my-binding profile/ocp4-cis profile/ocp4-cis-nodeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Creating ScanSettingBinding my-binding
Creating ScanSettingBinding my-bindingCopy to Clipboard Copied! Toggle word wrap Toggle overflow ScanSettingBindingCR이 생성된 후, 바인딩된 프로필은 관련 설정을 사용하여 두 프로필을 모두 스캔하기 시작합니다. 전반적으로 이것은 Compliance Operator로 스캔을 시작하는 가장 빠른 방법입니다.
5.6.8.5. 인쇄 제어
컴플라이언스 표준은 일반적으로 다음과 같이 계층 구조로 구성됩니다.
- 벤치마크는 특정 표준에 대한 제어 집합의 최상위 정의입니다. 예를 들어 FedRAMP Moderate 또는 Center for Internet Security (CIS) v.1.6.0입니다.
- 제어는 벤치마크를 준수하기 위해 충족되어야 하는 일련의 요구 사항을 설명합니다. 예: FedRAMP AC-01(액세스 제어 정책 및 절차)
- 규칙은 규정을 준수하는 시스템에 특정한 단일 검사이며 이러한 규칙 중 하나 이상이 제어에 매핑됩니다.
- Compliance Operator는 단일 벤치마크의 프로필로 규칙 그룹화를 처리합니다. 프로필의 규칙 집합이 충족되도록 제어하는 것을 결정하기 어려울 수 있습니다.
프로세스
oc compliancecontrol하위 명령은 표준에 대한 보고서를 제공하고 지정된 프로필이 충족되도록 제어합니다.oc compliance controls profile ocp4-cis-node
$ oc compliance controls profile ocp4-cis-nodeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.6.8.6. 컴플라이언스 수정 세부 정보 가져오기
Compliance Operator는 클러스터를 준수하는 데 필요한 변경 사항을 자동화하는 데 사용되는 수정 오브젝트를 제공합니다. fetch-fixes 하위 명령은 어떤 구성 수정이 사용되는지 정확하게 이해하는 데 도움이 될 수 있습니다. fetch-fixes 하위 명령을 사용하여 프로필, 규칙 또는 ComplianceRemediation 오브젝트에서 검사할 디렉터리로 수정 오브젝트를 추출합니다.
프로세스
프로필의 수정을 확인합니다.
oc compliance fetch-fixes profile ocp4-cis -o /tmp
$ oc compliance fetch-fixes profile ocp4-cis -o /tmpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 규칙을 자동으로 수정할 수 없거나 수정이 제공되지 않았기 때문에 프로필에 해당 수정 조치가 없는 규칙이 있을 때마다
No fixes to persist경고가 예상됩니다.
YAML 파일의 샘플을 볼 수 있습니다.
head명령은 처음 10행을 표시합니다.head /tmp/ocp4-api-server-audit-log-maxsize.yaml
$ head /tmp/ocp4-api-server-audit-log-maxsize.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 검사 후 생성된
ComplianceRemediation오브젝트에서 수정을 확인합니다.oc get complianceremediations -n openshift-compliance
$ oc get complianceremediations -n openshift-complianceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME STATE ocp4-cis-api-server-encryption-provider-cipher NotApplied ocp4-cis-api-server-encryption-provider-config NotApplied
NAME STATE ocp4-cis-api-server-encryption-provider-cipher NotApplied ocp4-cis-api-server-encryption-provider-config NotAppliedCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc compliance fetch-fixes complianceremediations ocp4-cis-api-server-encryption-provider-cipher -o /tmp
$ oc compliance fetch-fixes complianceremediations ocp4-cis-api-server-encryption-provider-cipher -o /tmpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Persisted compliance remediation fix to /tmp/ocp4-cis-api-server-encryption-provider-cipher.yaml
Persisted compliance remediation fix to /tmp/ocp4-cis-api-server-encryption-provider-cipher.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow YAML 파일의 샘플을 볼 수 있습니다.
head명령은 처음 10행을 표시합니다.head /tmp/ocp4-cis-api-server-encryption-provider-cipher.yaml
$ head /tmp/ocp4-cis-api-server-encryption-provider-cipher.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
수정을 직접 적용하기 전에 주의하십시오. 중간 프로파일의 usbguard 규칙과 같은 일부 수정 사항은 일괄적으로 적용되지 않을 수 있습니다. 이 경우 종속성을 해결하고 클러스터가 정상 상태로 유지되도록 Compliance Operator가 규칙을 적용하도록 허용합니다.
5.6.8.7. ComplianceCheckResult 오브젝트 세부 정보 보기
검사 실행이 완료되면 개별 검사 규칙에 대해 ComplianceCheckResult 오브젝트가 생성됩니다. view-result 하위 명령은 사용자가 읽을 수 있는 ComplianceCheckResult 오브젝트 세부 정보 출력을 제공합니다.
프로세스
다음을 실행합니다.
oc compliance view-result ocp4-cis-scheduler-no-bind-address
$ oc compliance view-result ocp4-cis-scheduler-no-bind-addressCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6장. File Integrity Operator
6.1. 파일 무결성 연산자 개요
파일 무결성 운영자는 클러스터 노드에서 지속적으로 파일 무결성 검사를 실행합니다. 각 노드에서 권한이 있는 AIDE( Advanced Intrusion Detection Environment ) 컨테이너를 초기화하고 실행하는 DaemonSet을 배포하여 DaemonSet 포드의 초기 실행 이후 수정된 파일의 로그를 제공합니다.
최신 업데이트는 File Integrity Operator 릴리스 노트를 참조하세요.
Custom File Integrity Operator 구성
6.2. 파일 무결성 운영자 릴리스 노트
OpenShift Container Platform용 파일 무결성 연산자는 RHCOS 노드에서 지속적으로 파일 무결성 검사를 실행합니다.
이 릴리스 노트는 OpenShift 컨테이너 플랫폼의 파일 무결성 연산자 개발 과정을 추적합니다.
파일 무결성 연산자에 대한 개요는 파일 무결성 연산자 이해를 참조하세요.
최신 릴리스에 액세스하려면 파일 무결성 연산자 업데이트를 참조하세요.
6.2.1. OpenShift 파일 무결성 연산자 1.3.6
다음 권고 사항은 OpenShift File Integrity Operator 1.3.6에 대해 제공됩니다.
6.2.1.1. 버그 수정
-
이전에는
oc annotate fileintegrities/<fileintegrity-name> file-integrity.openshift.io/re-init-on-failed=명령을 실행하면 모든 노드에서 재초기화가 트리거되었습니다. 이제는 오류가 발생한 노드만 다시 초기화합니다. (OCPBUGS-18933) -
이전에는 FIO를 재설정하면
NodeHasIntegrityFailure경고가 사라졌습니다. 이는메트릭 file_integrity_operator_node_failed설정도 재설정되었기 때문에 발생했습니다. 이 릴리스에서는 FIO를 다시 시작해도NodeHasIntegrityFailure경고에 영향을 미치지 않습니다. (OCPBUGS-42807) -
이전에는
머신셋객체를 확장하여 클러스터에 새 노드를 추가하면 FIO가 노드가 준비되기 전에 새 노드를실패로 표시했습니다. 이 릴리스에서는 FIO가 새 노드가 준비될 때까지 기다립니다. ( OCPBUGS-36483 ) - 이전에는 AIDE(Advanced Intrument Detection Environment) 데몬셋 포드가 AIDE 데이터베이스를 지속적으로 강제로 초기화했습니다. 이 릴리스에서는 FIO가 AIDE 데이터베이스를 한 번만 초기화합니다. (OCPBUGS-37300)
-
이전에는
/hostroot/etc/ipsec.d/openshift.conf및hostroot/etc/mco/internal-registry-pull-secret.json과 같은 Machine Config Operator(MCO) 구성의 일부 링크 경로가 MCO 업데이트 중에 수정되었습니다. 이로 인해 업데이트 후 노드에서 파일 무결성 검사가 실패하여 사용자 경험이 저하되었습니다. 이 업데이트를 통해 MCO 구성의 수정된 파일 링크 경로가 업데이트되었습니다. 이제 업데이트 후에 파일 무결성 검사를 통과하여 안정적인 클러스터를 보장하는 데 도움이 됩니다. ( OCPBUGS-41628 )
6.2.2. OpenShift 파일 무결성 연산자 1.3.5
다음 권고 사항은 OpenShift File Integrity Operator 1.3.5에 대해 제공됩니다.
이 업데이트에는 기본 이미지의 업그레이드된 종속성이 포함되어 있습니다.
6.2.3. OpenShift File Integrity Operator 1.3.4
다음 권고 사항은 OpenShift File Integrity Operator 1.3.4에 대해 제공됩니다.
6.2.3.1. 버그 수정
이전에는 파일 무결성 운영자가 다중 인증서 순환으로 인해 NodeHasIntegrityFailure 경고를 발행했습니다. 이 릴리스에서는 이제 경고 및 실패 상태가 올바르게 트리거됩니다. (OCPBUGS-31257)
6.2.4. OpenShift File Integrity Operator 1.3.3
OpenShift File Integrity Operator 1.3.3에서 다음 권고를 사용할 수 있습니다.
이 업데이트는 기본 종속성의 CVE를 해결합니다.
6.2.4.1. 새로운 기능 및 개선 사항
FIPS 모드에서 실행되는 OpenShift Container Platform 클러스터에서 File Integrity Operator를 설치하고 사용할 수 있습니다.
중요클러스터에 대해 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 Red Hat Enterprise Linux(RHEL) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환을 참조하세요.
FIPS 모드로 부팅된 Red Hat Enterprise Linux(RHEL) 또는 Red Hat Enterprise Linux CoreOS(RHCOS)를 실행할 때 OpenShift Container Platform 핵심 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 검증을 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
6.2.4.2. 버그 수정
-
이전에는
hostPath: path: /볼륨 마운트와 함께 개인 기본 마운트 전파가 있는 일부 FIO Pod에서 다중 경로를 사용하는 CSI 드라이버가 손상되었습니다. 이 문제가 해결되어 CSI 드라이버가 올바르게 작동합니다. (다중자가 사용 중인 경우 CSI 볼륨 마운트 해제를 차단하는 일부 OpenShift Operator Pod - 이번 업데이트에서는 CVE-2023-39325가 해결되었습니다. (CVE-2023-39325)
6.2.5. OpenShift File Integrity Operator 1.3.2
다음 권고 사항은 OpenShift File Integrity Operator 1.3.2에 대해 제공됩니다.
이 업데이트는 기본 종속성의 CVE를 해결합니다.
6.2.6. OpenShift File Integrity Operator 1.3.1
다음 권고 사항은 OpenShift File Integrity Operator 1.3.1에 대해 제공됩니다.
6.2.6.1. 새로운 기능 및 개선 사항
- FIO는 이제 kubelet 인증서를 기본 파일로 포함하며, OpenShift Container Platform에서 관리할 때 경고를 발행하지 않도록 제외합니다. (OCPBUGS-14348)
- FIO는 이제 Red Hat 기술 지원 주소로 이메일을 올바르게 전달합니다. (OCPBUGS-5023)
6.2.6.2. 버그 수정
-
이전에는 FIO가 클러스터에서 노드를 제거할 때
FileIntegrityNodeStatusCRD를 정리하지 않았습니다. FIO가 노드 제거 시 노드 상태 CRD를 올바르게 정리하도록 업데이트되었습니다. (OCPBUGS-4321) - 이전에는 FIO가 새로운 노드가 무결성 검사에 실패했다는 것을 잘못 표시하기도 했습니다. 클러스터에 새 노드를 추가할 때 노드 상태 CRD를 올바르게 표시하도록 FIO가 업데이트되었습니다. 이는 올바른 노드 상태 알림을 제공합니다. (OCPBUGS-8502)
-
이전에는 FIO가
FileIntegrityCRD를 조정할 때 조정이 완료될 때까지 스캐닝을 일시 중지했습니다. 이로 인해 조정의 영향을 받지 않는 노드에서 지나치게 공격적인 재시작 프로세스가 발생했습니다. 이 문제로 인해FileIntegrity가변경되는 것과 관련이 없는 머신 구성 풀에 대한 불필요한 데몬셋이 생성되었습니다. FIO는 이러한 경우를 올바르게 처리하고 파일 무결성 변경으로 영향을 받는 노드에 대해서만 AIDE 스캐닝을 일시 중지합니다. (CMP-1097)
6.2.6.3. 확인된 문제
FIO 1.3.1에서 IBM Z® 클러스터의 노드를 늘리면 파일 무결성 노드 상태가 실패할 수 있습니다. 자세한 내용은 IBM Power® 클러스터에 노드를 추가하면 파일 무결성 노드 상태가 실패할 수 있음을 참조하세요.
6.2.7. OpenShift File Integrity Operator 1.2.1
다음 권고 사항은 OpenShift File Integrity Operator 1.2.1에 대해 제공됩니다.
- RHBA-2023:1684 OpenShift 파일 무결성 연산자 버그 수정 업데이트
- 이 릴리스에는 업데이트된 컨테이너 종속성이 포함되어 있습니다.
6.2.8. OpenShift File Integrity Operator 1.2.0
다음 권고 사항은 OpenShift File Integrity Operator 1.2.0에 대해 제공됩니다.
6.2.8.1. 새로운 기능 및 개선 사항
-
파일 무결성 연산자 사용자 정의 리소스(CR)에는 이제 첫 번째 AIDE 무결성 검사를 시작하기 전에 기다리는 시간(초)을 지정하는
initialDelay기능이 포함되어 있습니다. 자세한 내용은 FileIntegrity 사용자 정의 리소스 만들기를 참조하세요. -
파일 무결성 연산자는 이제 안정적이며 릴리스 채널도
안정 버전으로 업그레이드되었습니다. 이후 릴리스에서는 의미적 버전이 적용될 예정입니다. 최신 릴리스에 액세스하려면 파일 무결성 연산자 업데이트를 참조하세요.
6.2.9. OpenShift File Integrity Operator 1.0.0
다음 권고 사항은 OpenShift File Integrity Operator 1.0.0에 대해 제공됩니다.
6.2.10. OpenShift File Integrity Operator 0.1.32
다음 권고 사항은 OpenShift File Integrity Operator 0.1.32에 대해 제공됩니다.
6.2.10.1. 버그 수정
- 이전에는 파일 무결성 운영자가 발행한 경고가 네임스페이스를 설정하지 않아 경고가 어느 네임스페이스에서 발생했는지 파악하기 어려웠습니다. 이제 Operator는 적절한 네임스페이스를 설정하여 알림에 대한 자세한 정보를 제공합니다. (BZ#2112394)
- 이전에는 파일 무결성 운영자가 운영자 시작 시 메트릭 서비스를 업데이트하지 않아 메트릭 대상에 도달할 수 없었습니다. 이 릴리스에서는 이제 File Integrity Operator가 Operator 시작 시 메트릭 서비스를 업데이트하도록 보장합니다. (BZ#2115821)
6.2.11. OpenShift File Integrity Operator 0.1.30
다음 권고 사항은 OpenShift File Integrity Operator 0.1.30에 대해 제공됩니다.
6.2.11.1. 새로운 기능 및 개선 사항
파일 무결성 연산자는 이제 다음 아키텍처에서 지원됩니다.
- IBM Power®
- IBM Z® 및 IBM® LinuxONE
6.2.11.2. 버그 수정
- 이전에는 파일 무결성 운영자가 발행한 경고가 네임스페이스를 설정하지 않아 경고가 발생한 위치를 파악하기 어려웠습니다. 이제 운영자는 적절한 네임스페이스를 설정하여 알림에 대한 이해를 높입니다. (BZ#2101393)
6.2.12. OpenShift File Integrity Operator 0.1.24
다음 권고 사항은 OpenShift File Integrity Operator 0.1.24에 대해 제공됩니다.
6.2.12.1. 새로운 기능 및 개선 사항
-
이제
config.maxBackups속성을 사용하여FileIntegrity사용자 정의 리소스(CR)에 저장되는 최대 백업 수를 구성할 수 있습니다. 이 속성은재초기화프로세스에서 남은 AIDE 데이터베이스 및 로그 백업의 수를 노드에 보관하도록 지정합니다. 구성된 개수를 넘어서는 오래된 백업은 자동으로 삭제됩니다. 기본값은 5개의 백업으로 설정됩니다.
6.2.12.2. 버그 수정
-
이전에는 Operator를 0.1.21 이전 버전에서 0.1.22 버전으로 업그레이드하면
재초기화기능이 실패할 수 있었습니다. 이는 운영자가configMap리소스 레이블을 업데이트하지 못한 결과입니다. 이제 최신 버전으로 업그레이드하면 리소스 라벨이 수정됩니다. (BZ#2049206) -
이전에는 기본
configMap스크립트 내용을 적용할 때 잘못된 데이터 키가 비교되었습니다. 이로 인해 운영자 업그레이드 후aide-reinit스크립트가 제대로 업데이트되지 않아re-init프로세스가 실패하게 되었습니다. 이제daemonSets가완료되고 AIDE 데이터베이스재초기화프로세스가 성공적으로 실행됩니다. (BZ#2072058)
6.2.13. OpenShift File Integrity Operator 0.1.22
다음 권고 사항은 OpenShift File Integrity Operator 0.1.22에 대해 제공됩니다.
6.2.13.1. 버그 수정
-
이전에는 파일 무결성 운영자가 설치된 시스템에서
/etc/kubernetes/aide.reinit파일로 인해 OpenShift 컨테이너 플랫폼 업데이트가 중단될 수 있었습니다. 이 문제는/etc/kubernetes/aide.reinit파일이 있었지만 나중에ostree검증 전에 제거된 경우에 발생했습니다. 이 업데이트를 통해/etc/kubernetes/aide.reinit가/run디렉토리로 이동되어 OpenShift Container Platform 업데이트와 충돌하지 않습니다. (BZ#2033311)
6.2.14. OpenShift File Integrity Operator 0.1.21
다음 권고 사항은 OpenShift File Integrity Operator 0.1.21에 대해 제공됩니다.
6.2.14.1. 새로운 기능 및 개선 사항
-
FileIntegrity검사 결과와 관련된 메트릭과 처리 메트릭은 웹 콘솔의 모니터링 대시보드에 표시됩니다. 결과에는file_integrity_operator_접두사가 지정됩니다. -
노드에 1초 이상 무결성 오류가 발생하면 운영자 네임스페이스에 제공된 기본
PrometheusRule이경고를 표시합니다. 다음 동적 Machine Config Operator 및 Cluster Version Operator 관련 파일 경로는 노드 업데이트 중에 거짓 양성 반응을 방지하기 위해 기본 AIDE 정책에서 제외됩니다.
- /etc/machine-config-daemon/currentconfig
- /etc/pki/ca-trust/extracted/java/cacerts
- /etc/cvo/updatepayloads
- /root/.kube
- AIDE 데몬 프로세스는 v0.1.16에 비해 안정성이 향상되었으며, AIDE 데이터베이스가 초기화될 때 발생할 수 있는 오류에 대한 복원력이 더 뛰어납니다.
6.2.14.2. 버그 수정
- 이전에는 Operator가 자동으로 업그레이드되었을 때 오래된 데몬 세트가 제거되지 않았습니다. 이 릴리스에서는 자동 업그레이드 중에 오래된 데몬 세트가 제거됩니다.
6.3. 파일 무결성 운영자 지원
6.3.1. 파일 무결성 운영자 수명 주기
파일 무결성 연산자는 "롤링 스트림" 연산자입니다. 즉, OpenShift Container Platform 릴리스에 대한 업데이트가 비동기적으로 제공됩니다. 자세한 내용은 Red Hat 고객 포털의 OpenShift Operator 수명 주기를 참조하세요.
6.3.2. 지원 요청
이 문서에 설명된 절차 또는 일반적으로 OpenShift Container Platform에 문제가 발생하는 경우 Red Hat 고객 포털에 액세스하십시오.
고객 포털에서 다음을 수행할 수 있습니다.
- Red Hat 제품과 관련된 기사 및 솔루션에 대한 Red Hat 지식베이스를 검색하거나 살펴볼 수 있습니다.
- Red Hat 지원에 대한 지원 케이스 제출할 수 있습니다.
- 다른 제품 설명서에 액세스 가능합니다.
클러스터의 문제를 식별하려면 OpenShift Cluster Manager 의 Insights를 사용할 수 있습니다. Insights는 문제에 대한 세부 정보 및 문제 해결 방법에 대한 정보를 제공합니다.
이 문서를 개선하기 위한 제안이 있거나 오류를 발견한 경우, 가장 관련성 있는 문서 구성 요소에 대한 Jira 이슈를 제출하세요. 섹션 이름 및 OpenShift Container Platform 버전과 같은 구체적인 정보를 제공합니다.
6.4. File Integrity Operator 설치
이 연산자가 제대로 작동하려면 모든 클러스터 노드에 동일한 릴리스 버전이 있어야 합니다. 예를 들어, RHCOS를 실행하는 노드의 경우 모든 노드는 동일한 RHCOS 버전을 가져야 합니다.
6.4.1. 웹 콘솔을 사용하여 File Integrity Operator 설치
사전 요구 사항
-
admin권한이 있어야 합니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Operator → OperatorHub로 이동합니다.
- File Integrity Operator 를 검색한 다음 설치를 클릭합니다.
-
기본 설치 모드 및 네임스페이스를 계속 선택하여 Operator가
openshift-file-integrity네임스페이스에 설치되도록 합니다. - 설치를 클릭합니다.
검증
설치에 성공했는지 확인하려면 다음을 수행하십시오.
- Operator → 설치된 Operator 페이지로 이동합니다.
-
Operator가
openshift-file-integrity네임스페이스에 설치되어 있고 해당 상태는Succeeded인지 확인합니다.
Operator가 성공적으로 설치되지 않은 경우 다음을 수행하십시오.
-
Operator → 설치된 Operator 페이지로 이동하여
Status열에 오류 또는 실패가 있는지 점검합니다. -
워크로드 → Pod 페이지로 전환하고
openshift-file-integrity프로젝트에서 문제를 보고하는 Pod의 로그를 확인합니다.
6.4.2. CLI를 사용하여 File Integrity Operator 설치
사전 요구 사항
-
admin권한이 있어야 합니다.
프로세스
다음을 실행하여
Namespace오브젝트 YAML 파일을 생성합니다.oc create -f <file-name>.yaml
$ oc create -f <file-name>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- OpenShift Container Platform 4.19에서는 네임스페이스 수준에서 Pod 보안 레이블을
특권으로 설정해야 합니다.
OperatorGroup오브젝트 YAML 파일을 생성합니다.oc create -f <file-name>.yaml
$ oc create -f <file-name>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Subscription오브젝트 YAML 파일을 생성합니다.oc create -f <file-name>.yaml
$ oc create -f <file-name>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
CSV 파일을 검사하여 설치에 성공했는지 확인합니다.
oc get csv -n openshift-file-integrity
$ oc get csv -n openshift-file-integrityCopy to Clipboard Copied! Toggle word wrap Toggle overflow File Integrity Operator가 실행 중인지 확인합니다.
oc get deploy -n openshift-file-integrity
$ oc get deploy -n openshift-file-integrityCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6.5. 파일 무결성 연산자 업데이트
클러스터 관리자는 OpenShift Container Platform 클러스터에서 파일 무결성 운영자를 업데이트할 수 있습니다.
6.5.1. 운영자 업데이트 준비
설치된 운영자의 구독은 운영자에 대한 업데이트를 추적하고 수신하는 업데이트 채널을 지정합니다. 업데이트 채널을 변경하여 새로운 채널에서 업데이트를 추적하고 받을 수 있습니다.
구독의 업데이트 채널 이름은 운영자마다 다를 수 있지만, 명명 체계는 일반적으로 주어진 운영자 내에서 공통된 규칙을 따릅니다. 예를 들어 채널 이름은 Operator(1.2, 1.3) 또는 릴리스 빈도(stable, fast)에서 제공하는 애플리케이션의 마이너 릴리스 업데이트 스트림을 따를 수 있습니다.
설치된 운영자를 현재 채널보다 오래된 채널로 변경할 수 없습니다.
Red Hat 고객 포털 랩에는 관리자가 운영자를 업데이트할 준비를 하는 데 도움이 되는 다음과 같은 애플리케이션이 포함되어 있습니다.
이 애플리케이션을 사용하면 Operator Lifecycle Manager 기반 Operator를 검색하고 다양한 버전의 OpenShift Container Platform에서 업데이트 채널별로 사용 가능한 Operator 버전을 확인할 수 있습니다. 클러스터 버전 연산자 기반 연산자는 포함되지 않습니다.
6.5.2. Operator의 업데이트 채널 변경
OpenShift Container Platform 웹 콘솔을 사용하여 운영자의 업데이트 채널을 변경할 수 있습니다.
서브스크립션의 승인 전략이 자동으로 설정된 경우 선택한 채널에서 새 Operator 버전을 사용할 수 있는 즉시 업데이트 프로세스가 시작됩니다. 승인 전략이 수동으로 설정된 경우 보류 중인 업데이트를 수동으로 승인해야 합니다.
사전 요구 사항
- OLM(Operator Lifecycle Manager)을 사용하여 이전에 설치한 Operator입니다.
프로세스
- 웹 콘솔의 관리자 화면에서 Operator → Installed Operators로 이동합니다.
- 업데이트 채널을 변경할 Operator 이름을 클릭합니다.
- 서브스크립션 탭을 클릭합니다.
- 업데이트 채널 아래에서 업데이트 채널 의 이름을 클릭합니다.
- 변경할 최신 업데이트 채널을 클릭한 다음 저장을 클릭합니다.
자동 승인 전략이 있는 구독의 경우 업데이트가 자동으로 시작됩니다. 업데이트 진행 상황을 모니터링하려면 운영자 → 설치된 운영자 페이지로 돌아가세요. 완료되면 상태가 성공 및 최신으로 변경됩니다.
수동 승인 전략이 있는 구독의 경우 구독 탭에서 업데이트를 수동으로 승인할 수 있습니다.
6.5.3. 보류 중인 운영자 업데이트 수동 승인
설치된 Operator의 서브스크립션에 있는 승인 전략이 수동으로 설정된 경우 새 업데이트가 현재 업데이트 채널에 릴리스될 때 업데이트를 수동으로 승인해야 설치가 시작됩니다.
사전 요구 사항
- OLM(Operator Lifecycle Manager)을 사용하여 이전에 설치한 Operator입니다.
절차
- OpenShift Container Platform 웹 콘솔의 관리자 관점에서 Operator → 설치된 Operator로 이동합니다.
- 보류 중인 업데이트가 있는 운영자는 '업그레이드 가능' 상태를 표시합니다. 업데이트하려는 운영자의 이름을 클릭하세요.
- 서브스크립션 탭을 클릭합니다. 승인이 필요한 업데이트는 업그레이드 상태 옆에 표시됩니다. 예를 들어 1 승인 필요가 표시될 수 있습니다.
- 1 승인 필요를 클릭한 다음 설치 계획 프리뷰를 클릭합니다.
- 업데이트 가능한 것으로 나열된 리소스를 검토하세요. 문제가 없는 경우 승인을 클릭합니다.
- 업데이트 진행 상황을 모니터링하려면 운영자 → 설치된 운영자 페이지로 돌아가세요. 완료되면 상태가 성공 및 최신으로 변경됩니다.
6.6. File Integrity Operator 이해
File Integrity Operator는 클러스터 노드에서 파일 무결성 검사를 지속적으로 실행하는 OpenShift Container Platform Operator입니다. 이 Operator는 각 노드에서 권한 있는 AIDE(고급 침입 탐지 환경) 컨테이너를 초기화 및 실행하는 데몬 세트를 배포하여 데몬 세트 Pod 초기 실행 중 수정된 파일의 로그를 상태 오브젝트에 제공합니다.
현재는 Red Hat Enterprise Linux CoreOS(RHCOS) 노드만 지원됩니다.
6.6.1. FileIntegrity 사용자 정의 리소스 만들기
FileIntegrity 사용자 정의 리소스(CR) 인스턴스는 하나 이상의 노드에 대한 연속적인 파일 무결성 검사 세트를 나타냅니다.
각 FileIntegrity CR은 FileIntegrity CR 사양과 일치하는 노드에서 AIDE를 실행하는 데몬 세트에서 지원합니다.
프로세스
작업자 노드에서 검사를 활성화하려면 다음 예제
FileIntegrityCR(worker-fileintegrity.yaml)을 만듭니다.FileIntegrity CR의 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 노드 스캔 일정을 위한 선택기를 정의합니다.
- 2
- 사용자 정의 테인트가 있는 노드에 예약할
tolerations를 지정합니다. 지정하지 않으면 기본 노드와 인프라 노드에서 실행할 수 있는 기본 허용 범위가 적용됩니다. - 3
- 사용할 AIDE 구성을 포함하는
ConfigMap을정의합니다. - 4
- AIDE 무결성 검사 사이에 일시 중지하는 시간(초)입니다. 노드에서 AIDE를 자주 검사하면 리소스가 많이 소모될 수 있으므로 더 긴 간격을 지정하는 것이 유용할 수 있습니다. 기본값은 900초(15분)입니다.
- 5
- 노드에 보관할 AIDE 데이터베이스 및 로그 백업(재초기화 프로세스에서 남은 것)의 최대 수입니다. 이 개수를 넘어서는 오래된 백업은 데몬에 의해 자동으로 제거됩니다. 기본값은 5로 설정되어 있습니다.
- 6
- 첫 번째 AIDE 무결성 검사를 시작하기 전에 기다리는 시간(초)입니다. 기본값은 0으로 설정됩니다.
- 7
FileIntegrity인스턴스의 실행 상태입니다. 상태는초기화,보류,활성입니다.
초기화 중FileIntegrity객체는 현재 AIDE 데이터베이스를 초기화하거나 다시 초기화하고 있습니다.보류 중FileIntegrity배포가 아직 생성 중입니다.활성검사는 활발하게 진행 중입니다.
YAML 파일을
openshift-file-integrity네임스페이스에 적용합니다.oc apply -f worker-fileintegrity.yaml -n openshift-file-integrity
$ oc apply -f worker-fileintegrity.yaml -n openshift-file-integrityCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여
FileIntegrity개체가 성공적으로 생성되었는지 확인하세요.oc get fileintegrities -n openshift-file-integrity
$ oc get fileintegrities -n openshift-file-integrityCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME AGE worker-fileintegrity 14s
NAME AGE worker-fileintegrity 14sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6.6.2. FileIntegrity 사용자 정의 리소스 상태 확인
FileIntegrity 사용자 정의 리소스(CR)는 .status.phase 하위 리소스를 통해 해당 상태를 보고합니다.
프로세스
FileIntegrityCR 상태를 쿼리하려면 다음을 실행합니다.oc get fileintegrities/worker-fileintegrity -o jsonpath="{ .status.phase }"$ oc get fileintegrities/worker-fileintegrity -o jsonpath="{ .status.phase }"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Active
ActiveCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6.6.3. FileIntegrity 사용자 정의 리소스 단계
-
Pending- 사용자 정의 리소스(CR)가 생성된 후 단계입니다. -
Active- 백업 데몬 세트가 설정되어 실행되는 단계입니다. -
Initializing- AIDE 데이터베이스가 다시 초기화되는 단계입니다.
6.6.4. FileIntegrityNodeStatuses 오브젝트 이해
FileIntegrity CR의 검사 결과는 FileIntegrityNodeStatuses라는 다른 오브젝트에 보고됩니다.
oc get fileintegritynodestatuses
$ oc get fileintegritynodestatuses출력 예
NAME AGE worker-fileintegrity-ip-10-0-130-192.ec2.internal 101s worker-fileintegrity-ip-10-0-147-133.ec2.internal 109s worker-fileintegrity-ip-10-0-165-160.ec2.internal 102s
NAME AGE
worker-fileintegrity-ip-10-0-130-192.ec2.internal 101s
worker-fileintegrity-ip-10-0-147-133.ec2.internal 109s
worker-fileintegrity-ip-10-0-165-160.ec2.internal 102s
FileIntegrityNodeStatus 개체 결과가 나오기까지 시간이 걸릴 수 있습니다.
노드당 하나의 결과 오브젝트가 있습니다. 각 FileIntegrityNodeStatus 오브젝트의 nodeName 특성은 검사 중인 노드에 해당합니다. 파일 무결성 검사의 상태는 results 배열에 표시되며 여기에는 검사 조건이 포함됩니다.
oc get fileintegritynodestatuses.fileintegrity.openshift.io -ojsonpath='{.items[*].results}' | jq
$ oc get fileintegritynodestatuses.fileintegrity.openshift.io -ojsonpath='{.items[*].results}' | jq
fileintegritynodestatus 오브젝트는 AIDE 실행의 최신 상태를 보고하고 status 필드에 Failed, Succeeded, Errored로 표시합니다.
oc get fileintegritynodestatuses -w
$ oc get fileintegritynodestatuses -w출력 예
6.6.5. FileIntegrityNodeStatus CR 상태 유형
이러한 조건은 해당 FileIntegrityNodeStatus CR 상태의 결과 배열에 보고됩니다.
-
Succeeded- 무결성 검사를 통과했습니다. 데이터베이스가 마지막으로 초기화된 이후 AIDE 검사에 포함된 파일과 디렉터리가 수정되지 않았습니다. -
Failed- 무결성 검사에 실패했습니다. 데이터베이스가 마지막으로 초기화된 이후 AIDE 검사에 포함된 일부 파일 또는 디렉터리가 수정되었습니다. -
Errored- AIDE 스캐너에 내부 오류가 발생했습니다.
6.6.5.1. FileIntegrityNodeStatus CR 성공 상태의 예
성공 상태가 있는 조건의 출력 예
이 경우 세 가지 검사가 모두 성공했으며 지금까지 다른 조건이 없습니다.
6.6.5.2. FileIntegrityNodeStatus CR 실패 상태의 예
실패 조건을 시뮬레이션하려면 AIDE가 추적하는 파일 중 하나를 수정하십시오. 예를 들어 작업자 노드 중 하나에서 /etc/resolv.conf를 수정합니다.
oc debug node/ip-10-0-130-192.ec2.internal
$ oc debug node/ip-10-0-130-192.ec2.internal출력 예
잠시 후 해당 FileIntegrityNodeStatus 오브젝트의 결과 배열에 Failed 조건이 보고되었습니다. 이전의 Succeeded 조건이 유지되므로 검사가 실패한 시간을 정확히 찾을 수 있습니다.
oc get fileintegritynodestatuses.fileintegrity.openshift.io/worker-fileintegrity-ip-10-0-130-192.ec2.internal -ojsonpath='{.results}' | jq -r
$ oc get fileintegritynodestatuses.fileintegrity.openshift.io/worker-fileintegrity-ip-10-0-130-192.ec2.internal -ojsonpath='{.results}' | jq -r또는 오브젝트 이름을 언급하지 않는 경우 다음을 실행합니다.
oc get fileintegritynodestatuses.fileintegrity.openshift.io -ojsonpath='{.items[*].results}' | jq
$ oc get fileintegritynodestatuses.fileintegrity.openshift.io -ojsonpath='{.items[*].results}' | jq출력 예
Failed 조건은 정확히 무엇이 실패하고 왜 실패했는지에 대한 자세한 정보를 제공하는 구성 맵을 가리킵니다.
oc describe cm aide-ds-worker-fileintegrity-ip-10-0-130-192.ec2.internal-failed
$ oc describe cm aide-ds-worker-fileintegrity-ip-10-0-130-192.ec2.internal-failed출력 예
구성 맵 데이터 크기 제한으로 인해 1MB 이상의 AIDE 로그가 실패 구성 맵에 base64로 인코딩된 gzip 아카이브로 추가됩니다. 다음 명령을 사용하여 로그를 추출합니다.
oc get cm <failure-cm-name> -o json | jq -r '.data.integritylog' | base64 -d | gunzip
$ oc get cm <failure-cm-name> -o json | jq -r '.data.integritylog' | base64 -d | gunzip
압축 로그는 구성 맵에 file-integrity.openshift.io/compressed 주석 키가 있는 것으로 표시됩니다.
6.6.6. 이벤트 이해
FileIntegrity 및 FileIntegrityNodeStatus 오브젝트의 상태의 전환은 이벤트에서 기록됩니다. 이벤트 생성 시간은 Active로 Initializing과 같은 최신 전환을 반영하며 반드시 최신 검사 결과가 반영되는 것은 아닙니다. 그러나 최신 이벤트는 항상 최근 상태를 반영합니다.
oc get events --field-selector reason=FileIntegrityStatus
$ oc get events --field-selector reason=FileIntegrityStatus출력 예
LAST SEEN TYPE REASON OBJECT MESSAGE 97s Normal FileIntegrityStatus fileintegrity/example-fileintegrity Pending 67s Normal FileIntegrityStatus fileintegrity/example-fileintegrity Initializing 37s Normal FileIntegrityStatus fileintegrity/example-fileintegrity Active
LAST SEEN TYPE REASON OBJECT MESSAGE
97s Normal FileIntegrityStatus fileintegrity/example-fileintegrity Pending
67s Normal FileIntegrityStatus fileintegrity/example-fileintegrity Initializing
37s Normal FileIntegrityStatus fileintegrity/example-fileintegrity Active
노드 검사에 실패하면 add/changed/removed 및 config map 정보를 사용하여 이벤트가 생성됩니다.
oc get events --field-selector reason=NodeIntegrityStatus
$ oc get events --field-selector reason=NodeIntegrityStatus출력 예
추가, 변경 또는 제거된 파일의 수를 변경하면 노드 상태가 전환되지 않은 경우에도 새 이벤트가 생성됩니다.
oc get events --field-selector reason=NodeIntegrityStatus
$ oc get events --field-selector reason=NodeIntegrityStatus출력 예
6.7. Custom File Integrity Operator 구성
6.7.1. FileIntegrity 오브젝트 특성 보기
모든 Kubernetes 사용자 정의 리소스(CR)와 마찬가지로 oc explain fileintegrity를 실행하면 다음을 사용하여 개별 특성을 볼 수 있습니다.
oc explain fileintegrity.spec
$ oc explain fileintegrity.specoc explain fileintegrity.spec.config
$ oc explain fileintegrity.spec.config6.7.2. 중요한 특성
| 속성 | 설명 |
|---|---|
|
|
해당 노드에 AIDE Pod를 예약하기 위해서는 노드의 레이블과 일치해야 하는 키-값 쌍에 대한 맵입니다. 일반적인 용도는 |
|
|
부울 특성입니다. |
|
| 사용자 정의 테인트가 있는 노드에 예약할 허용 오차를 지정합니다. 지정하지 않으면 기본 허용 오차가 적용되므로 컨트롤 플레인 노드에서 허용 오차가 실행될 수 있습니다. |
|
|
AIDE 무결성 검사 사이에 일시 중지하는 시간(초)입니다. 노드에 대한 빈번한 AIDE 검사는 리소스 집약적일 수 있으므로 간격을 길게 지정하는 것이 유용할 수 있습니다. 기본값은 |
|
|
노드에 보관하기 위해 |
|
| 사용자 지정 AIDE 구성이 포함된 configMap의 이름입니다. 생략하면 기본 구성이 생성됩니다. |
|
| 사용자 지정 AIDE 구성이 포함된 configMap의 네임스페이스입니다. 설정하지 않으면 FIO는 RHCOS 시스템에 적합한 기본 구성을 생성합니다. |
|
|
|
|
| 첫 번째 AIDE 무결성 검사를 시작하기 전에 기다리는 시간(초)입니다. 기본값은 0으로 설정됩니다. 이 속성은 선택 사항입니다. |
6.7.3. 기본 구성 검사
기본 File Integrity Operator 구성은 FileIntegrity CR과 동일한 이름으로 구성 맵에 저장됩니다.
프로세스
기본 구성을 검토하려면 다음을 실행합니다.
oc describe cm/worker-fileintegrity
$ oc describe cm/worker-fileintegrityCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6.7.4. 기본 File Integrity Operator 구성 이해
다음은 구성 맵의 aide.conf 키에서 발췌한 것입니다.
FileIntegrity 인스턴스의 기본 구성은 다음 디렉터리의 파일에 대한 적용 범위를 제공합니다.
-
/root -
/boot -
/usr -
/etc
다음 디렉터리에는 적용되지 않습니다.
-
/var -
/opt -
/etc/아래의 일부 OpenShift Container Platform 관련 디렉터리는 제외됩니다.
6.7.5. 사용자 정의 AIDE 구성 제공
DBDIR, LOGDIR, database, database_out과 같은 AIDE 내부 동작을 구성하는 모든 항목을 Operator에서 덮어씁니다. Operator는 무결성 변경을 확인할 모든 경로 앞에 /hostroot/ 접두사를 추가합니다. 그러면 대부분 컨테이너화된 환경에 맞게 조정되지 않고 루트 디렉터리에서 더 쉽게 시작할 수 있는 기존 AIDE 구성이 재사용됩니다.
/hostroot는 AIDE를 실행하는 Pod에서 호스트의 파일 시스템을 마운트하는 디렉터리입니다. 구성을 변경하면 데이터베이스가 다시 초기화됩니다.
6.7.6. 사용자 정의 File Integrity Operator 구성 정의
이 예제에서는 worker-fileintegrity CR에 제공된 기본 구성을 기반으로 컨트롤 플레인 노드에서 실행되는 스캐너의 사용자 정의 구성을 정의하는 데 중점을 둡니다. 이 워크플로는 데몬 세트로 실행되는 사용자 정의 소프트웨어를 배포하고 컨트롤 플레인 노드의 /opt/mydaemon에 데이터를 저장하려는 경우 유용할 수 있습니다.
프로세스
- 기본 구성을 복사합니다.
- 확인 또는 제외해야 하는 파일을 사용하여 기본 구성을 편집합니다.
- 편집한 내용을 새 구성 맵에 저장합니다.
-
spec.config의 특성을 통해FileIntegrity오브젝트를 새 구성 맵으로 지정합니다. 기본 구성을 추출합니다.
oc extract cm/worker-fileintegrity --keys=aide.conf
$ oc extract cm/worker-fileintegrity --keys=aide.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 그러면 편집할 수 있는
aide.conf라는 파일이 생성됩니다. Operator에서 경로를 후처리하는 방법을 설명하기 위해 이 예제에서는 접두사 없이 제외 디렉터리를 추가합니다.vim aide.conf
$ vim aide.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 컨트롤 플레인 노드 관련 경로를 제외합니다.
!/opt/mydaemon/
!/opt/mydaemon/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다른 내용은
/etc에 저장합니다./hostroot/etc/ CONTENT_EX
/hostroot/etc/ CONTENT_EXCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 파일을 기반으로 구성 맵을 생성합니다.
oc create cm master-aide-conf --from-file=aide.conf
$ oc create cm master-aide-conf --from-file=aide.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 구성 맵을 참조하는
FileIntegrityCR 매니페스트를 정의합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow Operator는 제공된 구성 맵 파일을 처리하고 결과를
FileIntegrity오브젝트와 동일한 이름의 구성 맵에 저장합니다.oc describe cm/master-fileintegrity | grep /opt/mydaemon
$ oc describe cm/master-fileintegrity | grep /opt/mydaemonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
!/hostroot/opt/mydaemon
!/hostroot/opt/mydaemonCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6.7.7. 사용자 정의 파일 무결성 구성 변경
파일 무결성 구성을 변경하려면 생성된 구성 맵을 변경하지 마십시오. 대신 spec.name, namespace, key 특성을 통해 FileIntegrity 오브젝트에 연결된 구성 맵을 변경하십시오.
6.8. 고급 Custom File Integrity Operator 작업 수행
6.8.1. 데이터베이스 다시 초기화
File Integrity Operator에서 계획된 변경을 감지하면 데이터베이스를 다시 초기화해야 할 수 있습니다.
프로세스
file-integrity.openshift.io/re-init로FileIntegrity사용자 정의 리소스(CR)에 주석을 답니다.oc annotate fileintegrities/worker-fileintegrity file-integrity.openshift.io/re-init=
$ oc annotate fileintegrities/worker-fileintegrity file-integrity.openshift.io/re-init=Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 데이터베이스 및 로그 파일이 백업되고 새 데이터베이스가 초기화됩니다.
oc debug를 사용하여 생성된 Pod의 다음 출력에서 볼 수 있듯이 이전 데이터베이스 및 로그는/ etc/kubernetes아래의 노드에 보관됩니다.출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 일부 레코드 영구성을 제공하기 위해 결과 구성 맵은
FileIntegrity오브젝트에 속하지 않으므로 수동 정리가 필요합니다. 그 결과FileIntegrityNodeStatus오브젝트에 이전의 무결성 실패가 계속 표시됩니다.
6.8.2. 머신 구성 통합
OpenShift Container Platform 4에서 클러스터 노드 구성은 MachineConfig 오브젝트를 통해 제공됩니다. MachineConfig 오브젝트로 인해 파일 변경이 예상되며 이러한 변경으로 파일 무결성 검사가 실패하지 않아야 합니다. MachineConfig 오브젝트 업데이트로 인한 파일 변경을 억제하기 위해 File Integrity Operator에서 노드 오브젝트를 감시합니다. 노드가 업데이트될 때 업데이트 기간 동안 AIDE 검사가 일시 중단됩니다. 업데이트가 완료되면 데이터베이스가 다시 초기화되고 검사가 다시 시작됩니다.
이러한 일시 중지 및 재개 논리는 노드 오브젝트 주석에 반영되므로 MachineConfig API를 통한 업데이트에만 적용됩니다.
6.8.3. 데몬 세트 탐색
각 FileIntegrity 오브젝트는 여러 노드에 대한 검사를 나타냅니다. 검사 자체는 데몬 세트에서 관리하는 Pod에서 수행합니다.
FileIntegrity 오브젝트를 나타내는 데몬 세트를 찾으려면 다음을 실행하십시오.
oc -n openshift-file-integrity get ds/aide-worker-fileintegrity
$ oc -n openshift-file-integrity get ds/aide-worker-fileintegrity해당 데몬 세트의 Pod를 나열하려면 다음을 실행합니다.
oc -n openshift-file-integrity get pods -lapp=aide-worker-fileintegrity
$ oc -n openshift-file-integrity get pods -lapp=aide-worker-fileintegrity
단일 AIDE Pod의 로그를 보려면 Pod 중 하나에서 oc logs를 호출합니다.
oc -n openshift-file-integrity logs pod/aide-worker-fileintegrity-mr8x6
$ oc -n openshift-file-integrity logs pod/aide-worker-fileintegrity-mr8x6출력 예
Starting the AIDE runner daemon initializing AIDE db initialization finished running aide check ...
Starting the AIDE runner daemon
initializing AIDE db
initialization finished
running aide check
...
AIDE 데몬에서 생성한 구성 맵은 보관되지 않으며 File Integrity Operator에서 처리한 후 삭제됩니다. 그러나 실패 및 오류 시에는 이러한 구성 맵의 내용이 FileIntegrityNodeStatus 오브젝트가 가리키는 구성 맵에 복사됩니다.
6.9. File Integrity Operator 문제 해결
6.9.1. 일반 문제 해결
- 문제
- File Integrity Operator의 일반적인 문제를 해결하려고 합니다.
- 해결
-
FileIntegrity오브젝트에서 디버그 플래그를 활성화합니다.debug플래그를 사용하면DaemonSetPod에서 실행되며 AIDE 검사를 실행하는 데몬의 상세 수준이 높아집니다.
6.9.2. AIDE 구성 확인
- 문제
- AIDE 구성을 확인하려고 합니다.
- 해결
-
AIDE 구성은
FileIntegrity오브젝트와 동일한 이름으로 구성 맵에 저장됩니다. 모든 AIDE 구성의 구성 맵에는file-integrity.openshift.io/aide-conf레이블이 지정됩니다.
6.9.3. FileIntegrity 오브젝트의 단계 확인
- 문제
-
FileIntegrity오브젝트가 있는지 파악하고 현재 상태를 확인하려고 합니다. - 해결
FileIntegrity오브젝트의 현재 상태를 보려면 다음을 실행합니다.oc get fileintegrities/worker-fileintegrity -o jsonpath="{ .status }"$ oc get fileintegrities/worker-fileintegrity -o jsonpath="{ .status }"Copy to Clipboard Copied! Toggle word wrap Toggle overflow FileIntegrity오브젝트와 백업 데몬 세트가 생성되면 상태가Active로 전환되어야 합니다. 그러지 않으면 Operator Pod 로그를 확인하십시오.
6.9.4. 데몬 세트의 Pod가 예상 노드에서 실행 중인지 확인
- 문제
- 데몬 세트가 존재하고 해당 Pod가 실행되어야 하는 노드에서 실행되고 있는지 확인하려고 합니다.
- 해결
다음을 실행합니다.
oc -n openshift-file-integrity get pods -lapp=aide-worker-fileintegrity
$ oc -n openshift-file-integrity get pods -lapp=aide-worker-fileintegrityCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고-owide를추가하면 Pod가 실행 중인 노드의 IP 주소가 포함됩니다.데몬 포드의 로그를 확인하려면
oc logs 를실행하세요.AIDE 명령의 반환 값을 확인하여 검사가 통과 또는 실패했는지 확인하십시오.
6.10. 파일 무결성 운영자 제거
OpenShift Container Platform 웹 콘솔을 사용하여 클러스터에서 파일 무결성 연산자를 제거할 수 있습니다.
6.10.1. 웹 콘솔을 사용하여 File Integrity Operator 제거
파일 무결성 연산자를 제거하려면 먼저 모든 네임스페이스에서 FileIntegrity 객체를 삭제해야 합니다. 객체를 제거한 후에는 Operator와 해당 네임스페이스를 제거할 수 있습니다.
사전 요구 사항
-
클러스터 관리자권한이 있는 계정을 사용하는 OpenShift Container Platform 클러스터에 액세스할 수 있습니다. - 파일 무결성 운영자가 설치되었습니다.
프로세스
- 운영자 → 설치된 운영자 → 파일 무결성 운영자 페이지로 이동합니다.
-
파일 무결성 탭에서 모든 네임스페이스의 모든
FileIntegrity개체를 나열하려면 피연산자 표시: 모든 네임 스페이스 기본값 옵션이 선택되어 있는지 확인합니다. -
옵션 메뉴를 클릭하세요
그런 다음 FileIntegrity 삭제를 클릭하여
FileIntegrity개체를 삭제합니다. 모든FileIntegrity개체가 삭제되었는지 확인하세요. - 관리 → 운영자 → 설치된 운영자 페이지로 이동합니다.
-
옵션 메뉴를 클릭하세요
파일 무결성 운영자 항목을 선택하고 운영자 제거를 선택합니다.
- 홈 → 프로젝트 페이지로 이동하세요.
-
openshift-file-integrity를검색하세요. -
옵션 메뉴를 클릭하세요
openshift-file-integrity 프로젝트 항목을 선택한 다음 프로젝트 삭제를 클릭합니다. 웹 콘솔에서 프로젝트 삭제 대화 상자가 열립니다.
검증
-
프로젝트 삭제 대화 상자에
openshift-file-integrity를입력한 다음 삭제 버튼을 클릭합니다.
7장. 보안 프로필 운영자
7.1. 보안 프로필 운영자 개요
OpenShift Container Platform 보안 프로필 운영자(SPO)는 보안 컴퓨팅( seccomp ) 프로필과 SELinux 프로필을 사용자 정의 리소스로 정의하고 지정된 네임스페이스의 모든 노드에 프로필을 동기화하는 방법을 제공합니다. 최신 업데이트는 릴리스 노트 를 참조하십시오.
SPO는 각 노드에 사용자 정의 리소스를 배포할 수 있으며, 조정 루프를 통해 프로필이 최신 상태로 유지됩니다. 보안 프로필 운영자 이해를 참조하세요.
SPO는 네임스페이스 워크로드에 대한 SELinux 정책과 seccomp 프로필을 관리합니다. 자세한 내용은 보안 프로필 운영자 활성화를 참조하세요.
seccomp 및 SELinux 프로필을 만들고, 정책을 Pod에 바인딩하고, 작업 부하를 기록하고, 네임스페이스의 모든 워커 노드를 동기화할 수 있습니다.
고급 보안 프로필 운영자 작업을 사용하여 로그 강화 기능을 활성화하고, 웹후크와 메트릭을 구성하거나 프로필을 단일 네임스페이스로 제한합니다.
필요에 따라 보안 프로필 운영자의 문제를 해결하거나 Red Hat 지원에 문의하세요.
Operator를 제거하기 전에 Security Profiles Operator를 제거하면 Security Profiles Operator를 제거 할 수 있습니다.
7.2. 보안 프로필 운영자 릴리스 노트
보안 프로필 운영자는 보안 컴퓨팅( seccomp ) 및 SELinux 프로필을 사용자 정의 리소스로 정의하고 지정된 네임스페이스의 모든 노드에 프로필을 동기화하는 방법을 제공합니다.
이 릴리스 노트는 OpenShift Container Platform의 Security Profiles Operator 개발 과정을 추적합니다.
보안 프로필 운영자에 대한 개요는 보안 프로필 운영자 개요를 참조하세요.
7.2.1. 보안 프로필 운영자 0.9.0
다음 권고 사항은 Security Profiles Operator 0.9.0에 대해 제공됩니다. RHBA-2025:15655 - OpenShift Security Profiles Operator 업데이트
이 업데이트는 네임스페이스 리소스가 아닌 클러스터 전체 리소스로 보안 프로필을 관리합니다. Security Profiles Operator를 0.8.6 이후 버전으로 업데이트하려면 수동 마이그레이션이 필요합니다. 마이그레이션 지침은 Security Profiles Operator 0.9.0 업데이트 마이그레이션 가이드를 참조하세요.
7.2.1.1. 버그 수정
-
이 업데이트 이전에는 semanage 구성 파일을 구문 분석하는 중 오류로 인해 spod pod가 시작되지 않고
CrashLoopBackOff상태에 들어갈 수 있었습니다. 이 문제는 OpenShift Container Platform 4.19부터 RHEL 9 이미지 명명 규칙이 변경되어 발생합니다. ( OCPBUGS-55829 ) -
이 업데이트 이전에는 보안 프로필 운영자가 조정자 유형 불일치 오류로 인해 새로 추가된 노드에
RawSelinuxProfile을적용하지 못했습니다. 이 업데이트를 통해 운영자는 이제RawSelinuxProfile객체를 올바르게 처리하고 정책이 예상대로 모든 노드에 적용됩니다. ( OCPBUGS-33718 )
7.2.2. 보안 프로필 운영자 0.8.6
다음 권고 사항은 Security Profiles Operator 0.8.6에 대해 제공됩니다.
이 업데이트에는 기본 이미지의 업그레이드된 종속성이 포함되어 있습니다.
7.2.3. 보안 프로필 운영자 0.8.5
다음 권고 사항은 Security Profiles Operator 0.8.5에 대해 제공됩니다.
7.2.3.1. 버그 수정
- 웹 콘솔에서 Security Profile Operator를 설치하려고 할 때, 네임스페이스에 대해 Operator가 권장하는 클러스터 모니터링을 활성화하는 옵션을 사용할 수 없었습니다. 이 업데이트를 통해 이제 네임스페이스에서 운영자가 권장하는 클러스터 모니터링을 활성화할 수 있습니다. (OCPBUGS-37794)
- 이전에는 Security Profiles Operator가 OperatorHub에 간헐적으로 표시되지 않아 웹 콘솔을 통해 Operator를 설치하는 데 제한이 있었습니다. 이 업데이트를 통해 Security Profiles Operator가 OperatorHub에 추가되었습니다.
7.2.4. 보안 프로필 운영자 0.8.4
다음 권고 사항은 Security Profiles Operator 0.8.4에 대해 제공됩니다.
이 업데이트는 기본 종속성의 CVE를 해결합니다.
7.2.4.1. 새로운 기능 및 개선 사항
-
이제 와일드카드를 설정하여
ProfileBinding개체의이미지속성에 기본 보안 프로필을 지정할 수 있습니다. 자세한 내용은 ProfileBindings를 사용하여 워크로드를 프로파일에 바인딩(SELinux) 및 ProfileBindings를 사용하여 워크로드를 프로파일에 바인딩(Seccomp)을 참조하세요.
7.2.5. 보안 프로필 운영자 0.8.2
다음 권고 사항은 Security Profiles Operator 0.8.2에 대해 제공됩니다.
7.2.5.1. 버그 수정
-
이전에는
SELinuxProfile객체가 동일한 네임스페이스에서 사용자 정의 속성을 상속하지 않았습니다. 이 업데이트를 통해 문제가 해결되었고SELinuxProfile개체 속성이 예상대로 동일한 네임스페이스에서 상속됩니다. (OCPBUGS-17164) -
이전에는 RawSELinuxProfiles가 생성 프로세스 중에 중단되어
설치됨상태에 도달하지 못했습니다. 이 업데이트를 통해 문제가 해결되었고 RawSELinuxProfiles가 성공적으로 생성되었습니다. (OCPBUGS-19744) -
이전에는
enableLogEnricher를true로 패치하면seccompProfilelog-enricher-trace포드가보류상태에 갇혔습니다. 이 업데이트를 통해log-enricher-trace포드가 예상대로설치됨상태에 도달합니다. (OCPBUGS-22182) 이전에는 Security Profiles Operator가 높은 카디널리티 메트릭을 생성하여 Prometheus Pod가 많은 양의 메모리를 사용하게 했습니다. 이 업데이트를 통해 다음 메트릭은 더 이상 Security Profiles Operator 네임스페이스에 적용되지 않습니다.
-
rest_client_request_duration_seconds -
rest_client_request_size_bytes rest_client_response_size_bytes
-
7.2.6. 보안 프로필 운영자 0.8.0
다음 권고 사항은 Security Profiles Operator 0.8.0에 대해 제공됩니다.
7.2.6.1. 버그 수정
- 이전에는 연결이 끊긴 클러스터에 Security Profiles Operator를 설치하려고 했을 때 SHA 재레이블링 문제로 인해 제공된 보안 해시가 올바르지 않았습니다. 이 업데이트를 통해 SHA가 연결이 끊긴 환경에서도 일관되게 작동합니다. (OCPBUGS-14404)
7.2.7. Security Profiles Operator Cryostat.1
Security Profiles Operator Cryostat.1에 대해 다음 권고를 사용할 수 있습니다.
7.2.7.1. 새로운 기능 및 개선 사항
이제 SPO(Security Profiles Operator)가 RHEL 8 및 9 기반 RHCOS 시스템에 적합한
selinuxd이미지를 자동으로 선택합니다.중요연결이 끊긴 환경에 대한 이미지를 미러링하는 사용자는 Security Profiles Operator가 제공한 두
selinuxd이미지를 모두 미러링해야 합니다.이제
spod데몬 내에서 메모리 최적화를 활성화할 수 있습니다. 자세한 내용은 spod 데몬에서 메모리 최적화 활성화를 참조하세요.참고SPO 메모리 최적화는 기본적으로 활성화되어 있지 않습니다.
- 이제 데몬 리소스 요구 사항을 구성할 수 있습니다. 자세한 내용은 데몬 리소스 요구 사항 사용자 정의를 참조하세요.
-
우선 순위 클래스 이름을 이제
spod구성에서 구성할 수 있습니다. 자세한 내용은 spod 데몬 Pod에 대한 사용자 정의 우선 순위 클래스 이름 설정을 참조하세요.
7.2.7.2. 사용되지 않거나 삭제된 기능
-
기본
nginx-1.19.1seccomp 프로필은 이제 Security Profiles Operator 배포에서 제거되었습니다.
7.2.7.3. 버그 수정
- 이전에는 SPO(Security Profiles Operator) SELinux 정책이 컨테이너 템플릿에서 저수준 정책 정의를 상속하지 않았습니다. net_container와 같은 다른 템플릿을 선택하면 컨테이너 템플릿에만 존재하는 저수준 정책 정의가 필요하기 때문에 정책이 작동하지 않습니다. 이 문제는 SPO SELinux 정책이 SELinux 정책을 SPO 사용자 지정 형식에서 CIL(Common Intermediate Language) 형식으로 변환하려고 시도할 때 발생했습니다. 이 업데이트를 사용하면 컨테이너 템플릿이 SPO에서 CIL로 변환이 필요한 모든 SELinux 정책에 추가됩니다. 또한 SPO SELinux 정책은 지원되는 모든 정책 템플릿에서 저수준 정책 정의를 상속할 수 있습니다. (OCPBUGS-12879)
7.2.7.4. 알려진 문제
-
Security Profiles Operator를 제거해도
MutatingWebhookConfiguration개체는 삭제되지 않으므로 수동으로 제거해야 합니다. 해결 방법으로, Security Profiles Operator를 제거한 후MutatingWebhookConfiguration객체를 삭제합니다. 이러한 단계는 Security Profiles Operator 제거 에 정의되어 있습니다. (OCPBUGS-4687)
7.2.8. 보안 프로필 운영자 0.5.2
다음 권고 사항은 Security Profiles Operator 0.5.2에 대해 제공됩니다.
이 업데이트는 기본 종속성의 CVE를 해결합니다.
7.2.8.1. 알려진 문제
-
Security Profiles Operator를 제거해도
MutatingWebhookConfiguration개체는 삭제되지 않으므로 수동으로 제거해야 합니다. 해결 방법으로, Security Profiles Operator를 제거한 후MutatingWebhookConfiguration객체를 삭제합니다. 이러한 단계는 Security Profiles Operator 제거 에 정의되어 있습니다. (OCPBUGS-4687)
7.2.9. 보안 프로필 운영자 0.5.0
다음 권고 사항은 Security Profiles Operator 0.5.0에 대해 제공됩니다.
7.2.9.1. 알려진 문제
-
Security Profiles Operator를 제거해도
MutatingWebhookConfiguration개체는 삭제되지 않으므로 수동으로 제거해야 합니다. 해결 방법으로, Security Profiles Operator를 제거한 후MutatingWebhookConfiguration객체를 삭제합니다. 이러한 단계는 Security Profiles Operator 제거 에 정의되어 있습니다. (OCPBUGS-4687)
7.3. 보안 프로필 운영자 지원
7.3.1. 보안 프로필 운영자 수명주기
보안 프로필 운영자는 "롤링 스트림" 운영자입니다. 즉, OpenShift 컨테이너 플랫폼 릴리스에 대한 업데이트가 비동기적으로 제공됩니다. 자세한 내용은 Red Hat 고객 포털의 OpenShift Operator 수명 주기를 참조하세요.
7.3.2. 지원 요청
이 문서에 설명된 절차 또는 일반적으로 OpenShift Container Platform에 문제가 발생하는 경우 Red Hat 고객 포털에 액세스하십시오.
고객 포털에서 다음을 수행할 수 있습니다.
- Red Hat 제품과 관련된 기사 및 솔루션에 대한 Red Hat 지식베이스를 검색하거나 살펴볼 수 있습니다.
- Red Hat 지원에 대한 지원 케이스 제출할 수 있습니다.
- 다른 제품 설명서에 액세스 가능합니다.
클러스터의 문제를 식별하려면 OpenShift Cluster Manager 의 Insights를 사용할 수 있습니다. Insights는 문제에 대한 세부 정보 및 문제 해결 방법에 대한 정보를 제공합니다.
이 문서를 개선하기 위한 제안이 있거나 오류를 발견한 경우, 가장 관련성 있는 문서 구성 요소에 대한 Jira 이슈를 제출하세요. 섹션 이름 및 OpenShift Container Platform 버전과 같은 구체적인 정보를 제공합니다.
7.4. 보안 프로필 운영자 이해
OpenShift Container Platform 관리자는 Security Profiles Operator를 사용하여 클러스터에서 강화된 보안 조치를 정의할 수 있습니다.
Security Profiles Operator는 Red Hat Enterprise Linux CoreOS(RHCOS) 워커 노드만 지원합니다. Red Hat Enterprise Linux(RHEL) 노드는 지원되지 않습니다.
7.4.1. 보안 프로필 정보
보안 프로필을 사용하면 클러스터의 컨테이너 수준에서 보안을 강화할 수 있습니다.
Seccomp 보안 프로필은 프로세스가 수행할 수 있는 시스템 호출을 나열합니다. SELinux보다 권한이 더 광범위하여 사용자는 쓰기 등 시스템 전체의 작업을 제한할 수 있습니다.
SELinux 보안 프로필은 시스템 내 프로세스, 애플리케이션 또는 파일에 대한 액세스와 사용을 제한하는 레이블 기반 시스템을 제공합니다. 환경 내의 모든 파일에는 권한을 정의하는 레이블이 있습니다. SELinux 프로필은 디렉토리와 같은 주어진 구조 내에서 액세스를 정의할 수 있습니다.
7.5. 보안 프로필 운영자 활성화
보안 프로필 연산자를 사용하려면 먼저 연산자가 클러스터에 배포되었는지 확인해야 합니다.
이 연산자가 제대로 작동하려면 모든 클러스터 노드에 동일한 릴리스 버전이 있어야 합니다. 예를 들어, RHCOS를 실행하는 노드의 경우 모든 노드는 동일한 RHCOS 버전을 가져야 합니다.
Security Profiles Operator는 Red Hat Enterprise Linux CoreOS(RHCOS) 워커 노드만 지원합니다. Red Hat Enterprise Linux(RHEL) 노드는 지원되지 않습니다.
Security Profiles Operator는 x86_64 아키텍처만 지원합니다.
7.5.1. 보안 프로필 운영자 설치
사전 요구 사항
-
클러스터 관리자권한이 있는 사용자로 웹 콘솔에 액세스할 수 있어야 합니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Operator → OperatorHub로 이동합니다.
- Security Profiles Operator를 검색한 후 설치를 클릭합니다.
-
Operator가
openshift-security-profiles네임스페이스에 설치되도록 하려면 설치 모드 와 네임스페이스 의 기본 선택을 유지하세요. - 설치를 클릭합니다.
검증
설치에 성공했는지 확인하려면 다음을 수행하십시오.
- Operator → 설치된 Operator 페이지로 이동합니다.
-
Security Profiles Operator가
openshift-security-profiles네임스페이스에 설치되었고 상태가Succeeded인지 확인하세요.
Operator가 성공적으로 설치되지 않은 경우 다음을 수행하십시오.
-
Operator → 설치된 Operator 페이지로 이동하여
Status열에 오류 또는 실패가 있는지 점검합니다. -
워크로드 → 포드 페이지로 이동하여 문제를 보고하는
openshift-security-profiles프로젝트의 모든 포드에서 로그를 확인합니다.
7.5.2. CLI를 사용하여 보안 프로필 운영자 설치
사전 요구 사항
-
cluster-admin권한이 있어야 합니다.
프로세스
네임스페이스객체를 정의합니다.예제
namespace-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow Namespace오브젝트를 생성합니다.oc create -f namespace-object.yaml
$ oc create -f namespace-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow OperatorGroup객체를 정의합니다.예제
operator-group-object.yamlapiVersion: operators.coreos.com/v1 kind: OperatorGroup metadata: name: security-profiles-operator namespace: openshift-security-profiles
apiVersion: operators.coreos.com/v1 kind: OperatorGroup metadata: name: security-profiles-operator namespace: openshift-security-profilesCopy to Clipboard Copied! Toggle word wrap Toggle overflow OperatorGroup개체를 생성합니다.oc create -f operator-group-object.yaml
$ oc create -f operator-group-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 구독객체를 정의합니다.subscription-object.yaml예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow Subscription오브젝트를 생성합니다.oc create -f subscription-object.yaml
$ oc create -f subscription-object.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
글로벌 스케줄러 기능을 설정하고 defaultNodeSelector를 활성화하는 경우 네임스페이스를 수동으로 생성하고 openshift.io/node-selector: “”를 사용하여 openshift-security-profiles 네임스페이스 또는 Security Profiles Operator가 설치된 네임스페이스의 주석을 업데이트해야 합니다. 이렇게 하면 기본 노드 선택기가 제거되고 배포 실패가 발생하지 않습니다.
검증
다음 CSV 파일을 검사하여 설치가 성공했는지 확인하세요.
oc get csv -n openshift-security-profiles
$ oc get csv -n openshift-security-profilesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Security Profiles Operator가 작동하는지 확인하세요.
oc get deploy -n openshift-security-profiles
$ oc get deploy -n openshift-security-profilesCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.5.3. 로깅 상세도 구성
보안 프로필 운영자는 기본 로깅 상세 정보 0 과 향상된 상세 정보 1을 지원합니다.
프로세스
향상된 로깅 세부 정보를 활성화하려면
spod구성을 패치하고 다음 명령을 실행하여 값을 조정하세요.oc -n openshift-security-profiles patch spod \ spod --type=merge -p '{"spec":{"verbosity":1}}'$ oc -n openshift-security-profiles patch spod \ spod --type=merge -p '{"spec":{"verbosity":1}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
securityprofilesoperatordaemon.security-profiles-operator.x-k8s.io/spod patched
securityprofilesoperatordaemon.security-profiles-operator.x-k8s.io/spod patchedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.6. seccomp 프로필 관리
seccomp 프로필을 생성 및 관리하고 이를 워크로드에 연결합니다.
Security Profiles Operator는 Red Hat Enterprise Linux CoreOS(RHCOS) 워커 노드만 지원합니다. Red Hat Enterprise Linux(RHEL) 노드는 지원되지 않습니다.
7.6.1. seccomp 프로필 생성
SeccompProfile 객체를 사용하여 프로필을 만듭니다.
SeccompProfile 객체는 컨테이너 내의 시스템 호출을 제한하여 애플리케이션의 액세스를 제한할 수 있습니다.
프로세스
다음 명령을 실행하여 프로젝트를 만듭니다.
oc new-project my-namespace
$ oc new-project my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow SeccompProfile객체를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
seccomp 프로필은 /var/lib/kubelet/seccomp/operator/<namespace>/<name>.json 에 저장됩니다.
init 컨테이너는 루트 그룹이나 사용자 ID 권한 없이 Security Profiles Operator를 실행하기 위해 Security Profiles Operator의 루트 디렉토리를 생성합니다. 루트가 없는 프로필 저장소 /var/lib/openshift-security-profiles 에서 kubelet 루트 /var/lib/kubelet/seccomp/operator 내부의 기본 seccomp 루트 경로로 심볼릭 링크가 생성됩니다.
7.6.2. 포드에 seccomp 프로파일 적용
생성된 프로필 중 하나를 적용하기 위해 포드를 생성합니다.
프로세스
securityContext를정의하는 Pod 객체를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
seccompProfile.localhostProfile속성의 프로필 경로를 확인하세요.oc get seccompprofile profile1 --output wide
$ oc get seccompprofile profile1 --output wideCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME STATUS AGE SECCOMPPROFILE.LOCALHOSTPROFILE profile1 Installed 14s operator/profile1.json
NAME STATUS AGE SECCOMPPROFILE.LOCALHOSTPROFILE profile1 Installed 14s operator/profile1.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 localhost 프로필 경로를 확인하세요.
oc get sp profile1 --output=jsonpath='{.status.localhostProfile}'$ oc get sp profile1 --output=jsonpath='{.status.localhostProfile}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
operator/profile1.json
operator/profile1.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow localhostProfile출력을 패치 파일에 적용합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
배포개체와 같은 다른 워크로드에 프로필을 적용합니다.oc -n my-namespace patch deployment myapp --patch-file patch.yaml --type=merge
$ oc -n my-namespace patch deployment myapp --patch-file patch.yaml --type=mergeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
deployment.apps/myapp patched
deployment.apps/myapp patchedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 프로필이 올바르게 적용되었는지 확인하세요.
oc -n my-namespace get deployment myapp --output=jsonpath='{.spec.template.spec.securityContext}' | jq .$ oc -n my-namespace get deployment myapp --output=jsonpath='{.spec.template.spec.securityContext}' | jq .Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.6.2.1. ProfileBindings를 사용하여 프로파일에 워크로드 바인딩
ProfileBinding 리소스를 사용하면 보안 프로필을 컨테이너의 SecurityContext 에 바인딩할 수 있습니다.
프로세스
quay.io/security-profiles-operator/test-nginx-unprivileged:1.21이미지를 사용하는 포드를 예제SeccompProfile프로필에 바인딩하려면 포드와SeccompProfile개체가 있는 동일한 네임스페이스에ProfileBinding개체를 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요이미지 사용: "*"와일드카드 속성은 지정된 네임스페이스의 기본 보안 프로필에 모든 새 포드를 바인딩합니다.다음 명령을 실행하여 네임스페이스에
enable-binding=true라는레이블을 지정합니다.oc label ns my-namespace spo.x-k8s.io/enable-binding=true
$ oc label ns my-namespace spo.x-k8s.io/enable-binding=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow test-pod.yaml이라는 이름의 Pod를 정의합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pod를 생성합니다.
oc create -f test-pod.yaml
$ oc create -f test-pod.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고포드가 이미 존재하는 경우 바인딩이 제대로 작동하도록 포드를 다시 만들어야 합니다.
검증
다음 명령을 실행하여 Pod가
ProfileBinding을상속하는지 확인하세요.oc get pod test-pod -o jsonpath='{.spec.containers[*].securityContext.seccompProfile}'$ oc get pod test-pod -o jsonpath='{.spec.containers[*].securityContext.seccompProfile}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
{"localhostProfile":"operator/profile.json","type":"Localhost"}{"localhostProfile":"operator/profile.json","type":"Localhost"}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.6.3. 워크로드에서 프로필 기록
보안 프로필 운영자는 ProfileRecording 객체를 사용하여 시스템 호출을 기록할 수 있으므로 애플리케이션에 대한 기준 프로필을 더 쉽게 만들 수 있습니다.
seccomp 프로필을 기록하기 위해 로그 강화기를 사용할 때 로그 강화기 기능이 활성화되어 있는지 확인하세요. 자세한 내용은 추가 자료를 참조하세요.
권한이 있는 컨테이너: 진정한 보안 컨텍스트 제한으로 인해 로그 기반 기록이 방지됩니다. 특권 컨테이너는 seccomp 정책의 적용을 받지 않으며, 로그 기반 기록은 특수한 seccomp 프로필을 사용하여 이벤트를 기록합니다.
프로세스
다음 명령을 실행하여 프로젝트를 만듭니다.
oc new-project my-namespace
$ oc new-project my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 네임스페이스에
enable-recording=true라는레이블을 지정합니다.oc label ns my-namespace spo.x-k8s.io/enable-recording=true
$ oc label ns my-namespace spo.x-k8s.io/enable-recording=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 레코더: 로그변수를 포함하는ProfileRecording객체를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기록할 작업 부하를 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 입력하여 Pod가
실행상태인지 확인하세요.oc -n my-namespace get pods
$ oc -n my-namespace get podsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE my-pod 2/2 Running 0 18s
NAME READY STATUS RESTARTS AGE my-pod 2/2 Running 0 18sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 강화자가 해당 컨테이너에 대한 감사 로그를 수신한다는 것을 나타내는지 확인하세요.
oc -n openshift-security-profiles logs --since=1m --selector name=spod -c log-enricher
$ oc -n openshift-security-profiles logs --since=1m --selector name=spod -c log-enricherCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
I0523 14:19:08.747313 430694 enricher.go:445] log-enricher "msg"="audit" "container"="redis" "executable"="/usr/local/bin/redis-server" "namespace"="my-namespace" "node"="xiyuan-23-5g2q9-worker-eastus2-6rpgf" "pid"=656802 "pod"="my-pod" "syscallID"=0 "syscallName"="read" "timestamp"="1684851548.745:207179" "type"="seccomp"
I0523 14:19:08.747313 430694 enricher.go:445] log-enricher "msg"="audit" "container"="redis" "executable"="/usr/local/bin/redis-server" "namespace"="my-namespace" "node"="xiyuan-23-5g2q9-worker-eastus2-6rpgf" "pid"=656802 "pod"="my-pod" "syscallID"=0 "syscallName"="read" "timestamp"="1684851548.745:207179" "type"="seccomp"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
포드를 제거하세요:
oc -n my-namespace delete pod my-pod
$ oc -n my-namespace delete pod my-podCopy to Clipboard Copied! Toggle word wrap Toggle overflow 보안 프로필 운영자가 두 개의 seccomp 프로필을 조정하는지 확인하세요.
oc get seccompprofiles -lspo.x-k8s.io/recording-id=test-recording
$ oc get seccompprofiles -lspo.x-k8s.io/recording-id=test-recordingCopy to Clipboard Copied! Toggle word wrap Toggle overflow seccompprofile 출력 예
NAME STATUS AGE test-recording-nginx Installed 2m48s test-recording-redis Installed 2m48s
NAME STATUS AGE test-recording-nginx Installed 2m48s test-recording-redis Installed 2m48sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.6.3.1. 컨테이너별 프로필 인스턴스 병합
기본적으로 각 컨테이너 인스턴스는 별도의 프로필에 기록됩니다. 보안 프로필 운영자는 컨테이너별 프로필을 단일 프로필로 병합할 수 있습니다. ReplicaSet 또는 배포 객체를 사용하여 애플리케이션을 배포할 때 프로필을 병합하는 것이 유용합니다.
프로세스
ProfileRecording객체를 편집하여mergeStrategy:containers변수를 포함합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 네임스페이스에 레이블을 지정합니다.
oc label ns my-namespace security.openshift.io/scc.podSecurityLabelSync=false pod-security.kubernetes.io/enforce=privileged pod-security.kubernetes.io/audit=privileged pod-security.kubernetes.io/warn=privileged --overwrite=true
$ oc label ns my-namespace security.openshift.io/scc.podSecurityLabelSync=false pod-security.kubernetes.io/enforce=privileged pod-security.kubernetes.io/audit=privileged pod-security.kubernetes.io/warn=privileged --overwrite=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 YAML을 사용하여 워크로드를 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 개별 프로필을 기록하려면 다음 명령을 실행하여 배포를 삭제하세요.
oc delete deployment nginx-deploy -n my-namespace
$ oc delete deployment nginx-deploy -n my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 프로필을 병합하려면 다음 명령을 실행하여 프로필 기록을 삭제하세요.
oc delete profilerecording test-recording -n my-namespace
$ oc delete profilerecording test-recording -n my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 병합 작업을 시작하고 결과 프로필을 생성하려면 다음 명령을 실행하세요.
oc get seccompprofiles -lspo.x-k8s.io/recording-id=test-recording -n my-namespace
$ oc get seccompprofiles -lspo.x-k8s.io/recording-id=test-recording -n my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow seccompprofiles 출력 예
NAME STATUS AGE test-recording-nginx-record Installed 55s
NAME STATUS AGE test-recording-nginx-record Installed 55sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 컨테이너에서 사용되는 권한을 보려면 다음 명령을 실행하세요.
oc get seccompprofiles test-recording-nginx-record -o yaml
$ oc get seccompprofiles test-recording-nginx-record -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.7. SELinux 프로필 관리
SELinux 프로필을 만들고 관리하며 이를 워크로드에 연결합니다.
Security Profiles Operator는 Red Hat Enterprise Linux CoreOS(RHCOS) 워커 노드만 지원합니다. Red Hat Enterprise Linux(RHEL) 노드는 지원되지 않습니다.
7.7.1. SELinux 프로필 생성
SelinuxProfile 객체를 사용하여 프로필을 만듭니다.
SelinuxProfile 객체에는 보안 강화와 가독성 향상을 위한 여러 가지 기능이 있습니다.
-
상속할 프로필을 현재 네임스페이스나 시스템 전체 프로필로 제한합니다. 일반적으로 시스템에 많은 프로필이 설치되어 있지만 클러스터 워크로드에서는 하위 집합만 사용해야 하므로 상속 가능한 시스템 프로필은
spec.selinuxOptions.allowedSystemProfiles의spod인스턴스에 나열됩니다. - 권한, 클래스, 레이블에 대한 기본적인 검증을 수행합니다.
-
정책을 사용하는 프로세스를 설명하는 새로운 키워드
@self를추가합니다. 이를 통해 정책 사용이 이름과 네임스페이스를 기반으로 하므로 워크로드와 네임스페이스 간에 정책을 쉽게 재사용할 수 있습니다. - SELinux CIL 언어로 프로필을 직접 작성하는 것에 비해 보안을 강화하고 가독성을 높이는 기능을 추가합니다.
프로세스
다음 명령을 실행하여 프로젝트를 만듭니다.
oc new-project nginx-deploy
$ oc new-project nginx-deployCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음
SelinuxProfile객체를 만들어 권한이 없는 작업 부하와 함께 사용할 수 있는 정책을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
selinuxd가정책을 설치할 때까지 기다리세요.oc wait --for=condition=ready selinuxprofile nginx-secure
$ oc wait --for=condition=ready selinuxprofile nginx-secureCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
selinuxprofile.security-profiles-operator.x-k8s.io/nginx-secure condition met
selinuxprofile.security-profiles-operator.x-k8s.io/nginx-secure condition metCopy to Clipboard Copied! Toggle word wrap Toggle overflow 정책은 Security Profiles Operator가 소유한 컨테이너의
emptyDir에 배치됩니다. 정책은/etc/selinux.d/<name>_<namespace>.cil에 CIL(Common Intermediate Language) 형식으로 저장됩니다.다음 명령을 실행하여 포드에 액세스하세요.
oc -n openshift-security-profiles rsh -c selinuxd ds/spod
$ oc -n openshift-security-profiles rsh -c selinuxd ds/spodCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여
cat으로 파일 내용을 확인하세요.cat /etc/selinux.d/nginx-secure_.cil
$ cat /etc/selinux.d/nginx-secure_.cilCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 정책이 설치되었는지 확인하세요.
semodule -l | grep nginx-secure
$ semodule -l | grep nginx-secureCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
nginx-secure_
nginx-secure_Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.7.2. 포드에 SELinux 프로필 적용
생성된 프로필 중 하나를 적용하기 위해 포드를 생성합니다.
SELinux 프로필의 경우, 권한 있는 작업을 허용하려면 네임스페이스에 레이블을 지정해야 합니다.
프로세스
다음 명령을 실행하여
nginx-deploy네임스페이스에scc.podSecurityLabelSync=false레이블을 적용합니다.oc label ns nginx-deploy security.openshift.io/scc.podSecurityLabelSync=false
$ oc label ns nginx-deploy security.openshift.io/scc.podSecurityLabelSync=falseCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
nginx-deploy네임스페이스에권한레이블을 적용합니다.oc label ns nginx-deploy --overwrite=true pod-security.kubernetes.io/enforce=privileged
$ oc label ns nginx-deploy --overwrite=true pod-security.kubernetes.io/enforce=privilegedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SELinux 프로필 사용 문자열을 얻습니다.
oc get selinuxprofile.security-profiles-operator.x-k8s.io/nginx-secure -ojsonpath='{.status.usage}'$ oc get selinuxprofile.security-profiles-operator.x-k8s.io/nginx-secure -ojsonpath='{.status.usage}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
nginx-secure_.process
nginx-secure_.processCopy to Clipboard Copied! Toggle word wrap Toggle overflow .spec.containers[].securityContext.seLinuxOptions특성의 작업 매니페스트에 출력 문자열을 적용합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요SELinux
유형은워크로드를 생성하기 전에 존재해야 합니다.
7.7.2.1. SELinux 로그 정책 적용
정책 위반이나 AVC 거부를 기록하려면 SElinuxProfile 프로필을 permissive 로 설정합니다.
이 절차에서는 로깅 정책을 정의합니다. 이는 시행 정책을 설정하지 않습니다.
프로세스
SElinuxProfile에permissive: true를추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.7.2.2. ProfileBindings를 사용하여 프로파일에 워크로드 바인딩
ProfileBinding 리소스를 사용하면 보안 프로필을 컨테이너의 SecurityContext 에 바인딩할 수 있습니다.
프로세스
quay.io/security-profiles-operator/test-nginx-unprivileged:1.21이미지를 사용하는 포드를 예제SelinuxProfile프로필에 바인딩하려면 포드와SelinuxProfile개체가 있는 동일한 네임스페이스에ProfileBinding개체를 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요이미지 사용: "*"와일드카드 속성은 지정된 네임스페이스의 기본 보안 프로필에 모든 새 포드를 바인딩합니다.다음 명령을 실행하여 네임스페이스에
enable-binding=true라는레이블을 지정합니다.oc label ns my-namespace spo.x-k8s.io/enable-binding=true
$ oc label ns my-namespace spo.x-k8s.io/enable-binding=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow test-pod.yaml이라는 이름의 Pod를 정의합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pod를 생성합니다.
oc create -f test-pod.yaml
$ oc create -f test-pod.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고포드가 이미 존재하는 경우 바인딩이 제대로 작동하도록 포드를 다시 만들어야 합니다.
검증
다음 명령을 실행하여 Pod가
ProfileBinding을상속하는지 확인하세요.oc get pod test-pod -o jsonpath='{.spec.containers[*].securityContext.seLinuxOptions.type}'$ oc get pod test-pod -o jsonpath='{.spec.containers[*].securityContext.seLinuxOptions.type}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
profile_.process
profile_.processCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.7.2.3. 컨트롤러 및 SecurityContextConstraints 복제
배포나 데몬 세트와 같은 컨트롤러 복제를 위한 SELinux 정책을 배포하는 경우, 컨트롤러에서 생성된 Pod 객체가 워크로드를 생성한 사용자의 ID로 실행되지 않는다는 점에 유의하세요. ServiceAccount를 선택하지 않으면 포드는 사용자 지정 보안 정책을 사용할 수 없는 제한된 SecurityContextConstraints (SCC)를 다시 사용하게 될 수 있습니다.
프로세스
다음 명령을 실행하여 프로젝트를 만듭니다.
oc new-project nginx-secure
$ oc new-project nginx-secureCopy to Clipboard Copied! Toggle word wrap Toggle overflow SELinux 정책을
nginx-secure네임스페이스에서 사용할 수 있도록 다음RoleBinding객체를 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 역할객체를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow ServiceAccount객체를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 배포객체를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 배포가 생성되기 전에
.seLinuxOptions.type이 존재해야 합니다.
참고SELinux 유형은 작업 부하에 지정되지 않으며 SCC에서 처리합니다. 배포와
ReplicaSet을통해 포드가 생성되면 포드는 적절한 프로필로 실행됩니다.
SCC가 올바른 서비스 계정에서만 사용 가능한지 확인하세요. 자세한 내용은 추가 자료 를 참조하세요.
7.7.3. 워크로드에서 프로필 기록
보안 프로필 운영자는 ProfileRecording 객체를 사용하여 시스템 호출을 기록할 수 있으므로 애플리케이션에 대한 기준 프로필을 더 쉽게 만들 수 있습니다.
SELinux 프로필을 기록하기 위해 로그 인리치더를 사용할 때 로그 인리치더 기능이 활성화되어 있는지 확인하세요. 자세한 내용은 추가 자료를 참조하세요.
권한이 있는 컨테이너: 진정한 보안 컨텍스트 제한으로 인해 로그 기반 기록이 방지됩니다. 특권 컨테이너는 SELinux 정책의 적용을 받지 않으며, 로그 기반 기록은 특별한 SELinux 프로필을 사용하여 이벤트를 기록합니다.
프로세스
다음 명령을 실행하여 프로젝트를 만듭니다.
oc new-project my-namespace
$ oc new-project my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 네임스페이스에
enable-recording=true라는레이블을 지정합니다.oc label ns my-namespace spo.x-k8s.io/enable-recording=true
$ oc label ns my-namespace spo.x-k8s.io/enable-recording=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 레코더: 로그변수를 포함하는ProfileRecording객체를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 기록할 작업 부하를 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 입력하여 Pod가
실행상태인지 확인하세요.oc -n my-namespace get pods
$ oc -n my-namespace get podsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE my-pod 2/2 Running 0 18s
NAME READY STATUS RESTARTS AGE my-pod 2/2 Running 0 18sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 강화자가 해당 컨테이너에 대한 감사 로그를 수신한다는 것을 나타내는지 확인하세요.
oc -n openshift-security-profiles logs --since=1m --selector name=spod -c log-enricher
$ oc -n openshift-security-profiles logs --since=1m --selector name=spod -c log-enricherCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
I0517 13:55:36.383187 348295 enricher.go:376] log-enricher "msg"="audit" "container"="redis" "namespace"="my-namespace" "node"="ip-10-0-189-53.us-east-2.compute.internal" "perm"="name_bind" "pod"="my-pod" "profile"="test-recording_redis_6kmrb_1684331729" "scontext"="system_u:system_r:selinuxrecording.process:s0:c4,c27" "tclass"="tcp_socket" "tcontext"="system_u:object_r:redis_port_t:s0" "timestamp"="1684331735.105:273965" "type"="selinux"
I0517 13:55:36.383187 348295 enricher.go:376] log-enricher "msg"="audit" "container"="redis" "namespace"="my-namespace" "node"="ip-10-0-189-53.us-east-2.compute.internal" "perm"="name_bind" "pod"="my-pod" "profile"="test-recording_redis_6kmrb_1684331729" "scontext"="system_u:system_r:selinuxrecording.process:s0:c4,c27" "tclass"="tcp_socket" "tcontext"="system_u:object_r:redis_port_t:s0" "timestamp"="1684331735.105:273965" "type"="selinux"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
포드를 제거하세요:
oc -n my-namespace delete pod my-pod
$ oc -n my-namespace delete pod my-podCopy to Clipboard Copied! Toggle word wrap Toggle overflow 보안 프로필 운영자가 두 개의 SELinux 프로필을 조정하는지 확인하세요.
oc get selinuxprofiles -lspo.x-k8s.io/recording-id=test-recording
$ oc get selinuxprofiles -lspo.x-k8s.io/recording-id=test-recordingCopy to Clipboard Copied! Toggle word wrap Toggle overflow selinuxprofile의 출력 예
NAME USAGE STATE test-recording-nginx test-recording-nginx_.process Installed test-recording-redis test-recording-redis_.process Installed
NAME USAGE STATE test-recording-nginx test-recording-nginx_.process Installed test-recording-redis test-recording-redis_.process InstalledCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.7.3.1. 컨테이너별 프로필 인스턴스 병합
기본적으로 각 컨테이너 인스턴스는 별도의 프로필에 기록됩니다. 보안 프로필 운영자는 컨테이너별 프로필을 단일 프로필로 병합할 수 있습니다. ReplicaSet 또는 배포 객체를 사용하여 애플리케이션을 배포할 때 프로필을 병합하는 것이 유용합니다.
프로세스
ProfileRecording객체를 편집하여mergeStrategy:containers변수를 포함합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 네임스페이스에 레이블을 지정합니다.
oc label ns my-namespace security.openshift.io/scc.podSecurityLabelSync=false pod-security.kubernetes.io/enforce=privileged pod-security.kubernetes.io/audit=privileged pod-security.kubernetes.io/warn=privileged --overwrite=true
$ oc label ns my-namespace security.openshift.io/scc.podSecurityLabelSync=false pod-security.kubernetes.io/enforce=privileged pod-security.kubernetes.io/audit=privileged pod-security.kubernetes.io/warn=privileged --overwrite=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 YAML을 사용하여 워크로드를 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 개별 프로필을 기록하려면 다음 명령을 실행하여 배포를 삭제합니다.
oc delete deployment nginx-deploy -n my-namespace
$ oc delete deployment nginx-deploy -n my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 프로필을 병합하려면 다음 명령을 실행하여 프로필 레코딩을 삭제합니다.
oc delete profilerecording test-recording -n my-namespace
$ oc delete profilerecording test-recording -n my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 병합 작업을 시작하고 결과 프로필을 생성하려면 다음 명령을 실행합니다.
oc get selinuxprofiles -lspo.x-k8s.io/recording-id=test-recording -n my-namespace
$ oc get selinuxprofiles -lspo.x-k8s.io/recording-id=test-recording -n my-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow selinuxprofiles의 출력 예
NAME USAGE STATE test-recording-nginx-record test-recording-nginx-record_.process Installed
NAME USAGE STATE test-recording-nginx-record test-recording-nginx-record_.process InstalledCopy to Clipboard Copied! Toggle word wrap Toggle overflow 컨테이너에서 사용하는 권한을 보려면 다음 명령을 실행합니다.
oc get selinuxprofiles test-recording-nginx-record -o yaml
$ oc get selinuxprofiles test-recording-nginx-record -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.7.3.2. About seLinuxContext: RunAsAny
SELinux 정책 기록은 기록 중인 포드에 특수 SELinux 유형을 삽입하는 Webhook를 사용하여 구현됩니다. SELinux 유형은 pod를 허용 모드로 실행하고 모든 AVC 거부를 audit.log 에 기록합니다. 기본적으로 워크로드는 사용자 지정 SELinux 정책으로 실행할 수 없지만 자동 생성 유형을 사용합니다.
워크로드를 기록하려면 Webhook에서 허용 SELinux 유형을 삽입할 수 있는 SCC를 사용할 수 있는 권한이 있는 서비스 계정을 사용해야 합니다. 권한 있는 SCC에는 seLinuxContext: RunAsAny 가 포함되어 있습니다.
또한 privileged Pod 보안 표준 에서만 사용자 정의 SELinux 정책을 사용할 수 있으므로 클러스터가 Pod Security Admission 을 활성화하는 경우 pod-security.kubernetes.io/enforce: privileged 로 네임스페이스에 라벨을 지정해야 합니다.
7.8. Advanced Security Profiles Operator 작업
고급 작업을 사용하여 메트릭을 활성화하거나 Webhook를 구성하거나 syscall을 제한합니다.
7.8.1. seccomp 프로필에서 허용되는 syscalls 제한
Security Profiles Operator는 기본적으로 seccomp 프로필 의 syscall 을 제한하지 않습니다. spod 구성에서 허용된 syscall 목록을 정의할 수 있습니다.
프로세스
allowedSyscalls목록을 정의하려면 다음 명령을 실행하여spec매개변수를 조정합니다.oc -n openshift-security-profiles patch spod spod --type merge \ -p '{"spec":{"allowedSyscalls": ["exit", "exit_group", "futex", "nanosleep"]}}'$ oc -n openshift-security-profiles patch spod spod --type merge \ -p '{"spec":{"allowedSyscalls": ["exit", "exit_group", "futex", "nanosleep"]}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Operator는 허용된 목록에 정의된 syscall의 하위 집합이 있는 seccomp 프로필만 설치합니다. 이 규칙 세트를 준수하지 않는 모든 프로필이 거부됩니다.
spod 구성에서 허용되는 syscall 목록이 수정되면 Operator는 준수하지 않는 이미 설치된 프로필을 확인하고 자동으로 제거합니다.
7.8.2. 컨테이너 런타임의 기본 syscall
baseProfileName 속성을 사용하여 지정된 런타임에서 컨테이너를 시작하는 데 필요한 최소 syscall 을 설정할 수 있습니다.
프로세스
SeccompProfilekind 오브젝트를 편집하고baseProfileName: runc-v1.0.0을spec필드에 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.8.3. spod 데몬에서 메모리 최적화 활성화
spod 데몬 프로세스 내에서 실행 중인 컨트롤러는 프로파일 레코딩이 활성화된 경우 클러스터에서 사용 가능한 모든 Pod를 감시합니다. 이로 인해 대규모 클러스터에서 메모리 사용량이 매우 높아져 spod 데몬이 메모리가 부족하거나 충돌할 수 있습니다.
충돌을 방지하기 위해 spod 데몬은 프로파일 레코딩용으로 레이블이 지정된 Pod만 캐시 메모리에 로드하도록 구성할 수 있습니다.
SPO 메모리 최적화는 기본적으로 활성화되어 있지 않습니다.
프로세스
다음 명령을 실행하여 메모리 최적화를 활성화합니다.
oc -n openshift-security-profiles patch spod spod --type=merge -p '{"spec":{"enableMemoryOptimization":true}}'$ oc -n openshift-security-profiles patch spod spod --type=merge -p '{"spec":{"enableMemoryOptimization":true}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pod의 보안 프로필을 기록하려면 Pod에
spo.x-k8s.io/enable-recording: "true"로 레이블이 지정되어야 합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.8.4. 데몬 리소스 요구 사항 사용자 정의
데몬 컨테이너의 기본 리소스 요구 사항은 spod 구성의 daemonResourceRequirements 필드를 사용하여 조정할 수 있습니다.
프로세스
데몬 컨테이너의 메모리 및 cpu 요청 및 제한을 지정하려면 다음 명령을 실행합니다.
oc -n openshift-security-profiles patch spod spod --type merge -p \ '{"spec":{"daemonResourceRequirements": { \ "requests": {"memory": "256Mi", "cpu": "250m"}, \ "limits": {"memory": "512Mi", "cpu": "500m"}}}}'$ oc -n openshift-security-profiles patch spod spod --type merge -p \ '{"spec":{"daemonResourceRequirements": { \ "requests": {"memory": "256Mi", "cpu": "250m"}, \ "limits": {"memory": "512Mi", "cpu": "500m"}}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.8.5. spod 데몬 Pod의 사용자 정의 우선순위 클래스 이름 설정
spod 데몬 Pod의 기본 우선순위 클래스 이름은 system-node-critical 로 설정됩니다. priorityClassName 필드에 값을 설정하여 사용자 정의 우선순위 클래스 이름을 spod 구성에 구성할 수 있습니다.
프로세스
다음 명령을 실행하여 우선순위 클래스 이름을 구성합니다.
oc -n openshift-security-profiles patch spod spod --type=merge -p '{"spec":{"priorityClassName":"my-priority-class"}}'$ oc -n openshift-security-profiles patch spod spod --type=merge -p '{"spec":{"priorityClassName":"my-priority-class"}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
securityprofilesoperatordaemon.openshift-security-profiles.x-k8s.io/spod patched
securityprofilesoperatordaemon.openshift-security-profiles.x-k8s.io/spod patchedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.8.6. 메트릭 사용
openshift-security-profiles 네임스페이스는 kube-rbac-proxy 컨테이너에서 보안되는 메트릭 끝점을 제공합니다. 모든 메트릭은 openshift-security-profiles 네임스페이스 내에서 메트릭 서비스에 의해 노출됩니다.
보안 프로필 운영자에는 클러스터 역할과 해당 바인딩 spo-metrics-client가 포함되어 클러스터 내에서 메트릭을 검색합니다. 사용 가능한 메트릭 경로는 두 가지입니다.
-
metrics.openshift-security-profiles/metrics: 컨트롤러 런타임 메트릭용 -
metrics.openshift-security-profiles/metrics-spod: 운영자 데몬 메트릭용
프로세스
메트릭 서비스의 상태를 보려면 다음 명령을 실행하세요.
oc get svc/metrics -n openshift-security-profiles
$ oc get svc/metrics -n openshift-security-profilesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE metrics ClusterIP 10.0.0.228 <none> 443/TCP 43s
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE metrics ClusterIP 10.0.0.228 <none> 443/TCP 43sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 메트릭을 검색하려면 다음 명령을 실행하여
openshift-security-profiles네임스페이스의 기본ServiceAccount토큰을 사용하여 서비스 엔드포인트를 쿼리합니다.oc run --rm -i --restart=Never --image=registry.fedoraproject.org/fedora-minimal:latest \ -n openshift-security-profiles metrics-test -- bash -c \ 'curl -ks -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" https://metrics.openshift-security-profiles/metrics-spod'$ oc run --rm -i --restart=Never --image=registry.fedoraproject.org/fedora-minimal:latest \ -n openshift-security-profiles metrics-test -- bash -c \ 'curl -ks -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" https://metrics.openshift-security-profiles/metrics-spod'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
HELP security_profiles_operator_seccomp_profile_total Counter about seccomp profile operations. TYPE security_profiles_operator_seccomp_profile_total counter
# HELP security_profiles_operator_seccomp_profile_total Counter about seccomp profile operations. # TYPE security_profiles_operator_seccomp_profile_total counter security_profiles_operator_seccomp_profile_total{operation="delete"} 1 security_profiles_operator_seccomp_profile_total{operation="update"} 2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다른 네임스페이스에서 메트릭을 검색하려면 다음 명령을 실행하여
ServiceAccount를spo-metrics-clientClusterRoleBinding에 연결합니다.oc get clusterrolebinding spo-metrics-client -o wide
$ oc get clusterrolebinding spo-metrics-client -o wideCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME ROLE AGE USERS GROUPS SERVICEACCOUNTS spo-metrics-client ClusterRole/spo-metrics-client 35m openshift-security-profiles/default
NAME ROLE AGE USERS GROUPS SERVICEACCOUNTS spo-metrics-client ClusterRole/spo-metrics-client 35m openshift-security-profiles/defaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.8.6.1. 컨트롤러-런타임 메트릭
컨트롤러-런타임 메트릭 과 DaemonSet 엔드포인트 메트릭-spod는 기본 메트릭 세트를 제공합니다. 데몬은 추가 메트릭을 제공하는데, 이 메트릭에는 항상 security_profiles_operator_ 라는 접두사가 붙습니다.
| 미터법 키 | 가능한 라벨 | 유형 | 목적 |
|---|---|---|---|
|
|
| 카운터 | seccomp 프로파일 작업의 양. |
|
|
| 카운터 | seccomp 프로파일 감사 작업의 양. 로그 강화 기능을 활성화해야 합니다. |
|
|
| 카운터 | seccomp 프로파일 bpf 작업의 양. bpf 레코더를 활성화해야 합니다. |
|
|
| 카운터 | seccomp 프로파일 오류의 양. |
|
|
| 카운터 | SELinux 프로필 작업의 양. |
|
|
| 카운터 | SELinux 프로필 감사 작업의 양. 로그 강화 기능을 활성화해야 합니다. |
|
|
| 카운터 | SELinux 프로필 오류의 양. |
7.8.7. 로그 강화기 사용
Security Profiles Operator에는 로그 강화 기능이 포함되어 있지만 기본적으로 비활성화되어 있습니다. 로그 강화 컨테이너는 로컬 노드에서 감사 로그를 읽을 수 있는 권한으로 실행됩니다. 로그 인리치더는 호스트 PID 네임스페이스인 hostPID 내에서 실행됩니다.
로그 강화기에는 호스트 프로세스를 읽을 수 있는 권한이 있어야 합니다.
프로세스
다음 명령을 실행하여 로그 강화기를 활성화하도록
spod구성을 패치합니다.oc -n openshift-security-profiles patch spod spod \ --type=merge -p '{"spec":{"enableLogEnricher":true}}'$ oc -n openshift-security-profiles patch spod spod \ --type=merge -p '{"spec":{"enableLogEnricher":true}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
securityprofilesoperatordaemon.security-profiles-operator.x-k8s.io/spod patched
securityprofilesoperatordaemon.security-profiles-operator.x-k8s.io/spod patchedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고보안 프로필 운영자는
spod데몬 세트를 자동으로 다시 배포합니다.다음 명령을 실행하여 감사 로그를 확인하세요.
oc -n openshift-security-profiles logs -f ds/spod log-enricher
$ oc -n openshift-security-profiles logs -f ds/spod log-enricherCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
I0623 12:51:04.257814 1854764 deleg.go:130] setup "msg"="starting component: log-enricher" "buildDate"="1980-01-01T00:00:00Z" "compiler"="gc" "gitCommit"="unknown" "gitTreeState"="clean" "goVersion"="go1.16.2" "platform"="linux/amd64" "version"="0.4.0-dev" I0623 12:51:04.257890 1854764 enricher.go:44] log-enricher "msg"="Starting log-enricher on node: 127.0.0.1" I0623 12:51:04.257898 1854764 enricher.go:46] log-enricher "msg"="Connecting to local GRPC server" I0623 12:51:04.258061 1854764 enricher.go:69] log-enricher "msg"="Reading from file /var/log/audit/audit.log" 2021/06/23 12:51:04 Seeked /var/log/audit/audit.log - &{Offset:0 Whence:2}I0623 12:51:04.257814 1854764 deleg.go:130] setup "msg"="starting component: log-enricher" "buildDate"="1980-01-01T00:00:00Z" "compiler"="gc" "gitCommit"="unknown" "gitTreeState"="clean" "goVersion"="go1.16.2" "platform"="linux/amd64" "version"="0.4.0-dev" I0623 12:51:04.257890 1854764 enricher.go:44] log-enricher "msg"="Starting log-enricher on node: 127.0.0.1" I0623 12:51:04.257898 1854764 enricher.go:46] log-enricher "msg"="Connecting to local GRPC server" I0623 12:51:04.258061 1854764 enricher.go:69] log-enricher "msg"="Reading from file /var/log/audit/audit.log" 2021/06/23 12:51:04 Seeked /var/log/audit/audit.log - &{Offset:0 Whence:2}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.8.7.1. 로그 인리치러를 사용하여 애플리케이션 추적
Security Profiles Operator 로그 강화 도구를 사용하면 애플리케이션을 추적할 수 있습니다.
프로세스
애플리케이션을 추적하려면
SeccompProfile로깅 프로필을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 프로필을 사용하려면 Pod 객체를 생성하세요.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 로그 강화기 출력을 검토하세요.
oc -n openshift-security-profiles logs -f ds/spod log-enricher
$ oc -n openshift-security-profiles logs -f ds/spod log-enricherCopy to Clipboard Copied! Toggle word wrap Toggle overflow 예 7.1. 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.8.8. 웹훅 구성
프로필 바인딩 및 프로필 기록 개체는 웹훅을 사용할 수 있습니다. 프로필 바인딩 및 기록 개체 구성은 Security Profiles Operator가 관리하는 MutatingWebhookConfiguration CR입니다.
웹훅 구성을 변경하기 위해 spod CR은 failurePolicy , namespaceSelector , objectSelector 변수를 수정할 수 있는 webhookOptions 필드를 노출합니다. 이를 통해 웹훅을 "소프트 실패"로 설정하거나 네임스페이스의 하위 집합으로 제한할 수 있으므로 웹훅이 실패하더라도 다른 네임스페이스나 리소스는 영향을 받지 않습니다.
프로세스
다음 패치 파일을 만들어
recording.spo.io웹훅 구성을spo-record=true로 레이블이 지정된 포드만 녹음하도록 설정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
spod/spod인스턴스에 패치를 적용하세요.oc -n openshift-security-profiles patch spod \ spod -p $(cat /tmp/spod-wh.patch) --type=merge$ oc -n openshift-security-profiles patch spod \ spod -p $(cat /tmp/spod-wh.patch) --type=mergeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 결과
MutatingWebhookConfiguration객체를 보려면 다음 명령을 실행하세요.oc get MutatingWebhookConfiguration \ spo-mutating-webhook-configuration -oyaml$ oc get MutatingWebhookConfiguration \ spo-mutating-webhook-configuration -oyamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.9. 보안 프로필 운영자 문제 해결
보안 프로필 운영자의 문제를 해결하여 문제를 진단하거나 버그 보고서에 정보를 제공합니다.
7.9.1. seccomp 프로필 검사
손상된 seccomp 프로필로 인해 워크로드가 손상될 수 있습니다. 다른 워크로드가 /var/lib/kubelet/seccomp/operator 경로의 어떤 부분도 매핑하지 못하도록 하여 사용자가 시스템을 남용할 수 없도록 합니다.
프로세스
다음 명령을 실행하여 프로필이 조정되었는지 확인하세요.
oc -n openshift-security-profiles logs openshift-security-profiles-<id>
$ oc -n openshift-security-profiles logs openshift-security-profiles-<id>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예 7.2. 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
seccomp프로필이 올바른 경로에 저장되었는지 확인합니다.oc exec -t -n openshift-security-profiles openshift-security-profiles-<id> \ -- ls /var/lib/kubelet/seccomp/operator/my-namespace/my-workload$ oc exec -t -n openshift-security-profiles openshift-security-profiles-<id> \ -- ls /var/lib/kubelet/seccomp/operator/my-namespace/my-workloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
profile-block.json profile-complain.json
profile-block.json profile-complain.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.10. 보안 프로필 운영자 제거
OpenShift Container Platform 웹 콘솔을 사용하여 클러스터에서 Security Profiles Operator를 제거할 수 있습니다.
7.10.1. 웹 콘솔을 사용하여 Security Profiles Operator 제거
Security Profiles Operator를 제거하려면 먼저 seccomp 및 SELinux 프로필을 삭제해야 합니다. 프로필을 제거한 후에는 openshift-security-profiles 프로젝트를 삭제하여 Operator와 해당 네임스페이스를 제거할 수 있습니다.
사전 요구 사항
-
클러스터 관리자권한이 있는 사용자로 웹 콘솔에 액세스할 수 있습니다. - 보안 프로필 운영자가 설치되었습니다.
프로세스
OpenShift Container Platform 웹 콘솔을 사용하여 Security Profiles Operator를 제거하려면:
- Operator → 설치된 Operator 페이지로 이동합니다.
-
모든
seccomp프로필, SELinux 프로필 및 웹훅 구성을 삭제합니다. - 관리 → Operator → 설치된 Operator 페이지로 전환합니다.
-
옵션 메뉴를 클릭하세요
보안 프로필 운영자 항목에서 운영자 제거를 선택합니다.
- 홈 → 프로젝트 페이지로 전환합니다.
-
security profiles을 검색합니다. 옵션 메뉴를 클릭하세요
openshift-security-profiles 프로젝트 옆에 있는 '프로젝트 삭제'를 선택합니다.
-
대화 상자에
openshift-security-profiles를입력하여 삭제를 확인하고 삭제를 클릭합니다.
-
대화 상자에
다음 명령을 실행하여
MutatingWebhookConfiguration객체를 삭제합니다.oc delete MutatingWebhookConfiguration spo-mutating-webhook-configuration
$ oc delete MutatingWebhookConfiguration spo-mutating-webhook-configurationCopy to Clipboard Copied! Toggle word wrap Toggle overflow
8장. NBDE Tang 서버 운영자
8.1. NBDE Tang 서버 운영자 개요
네트워크 바인딩 디스크 암호화(NBDE)는 하나 이상의 전용 네트워크 바인딩 서버를 사용하여 LUKS로 암호화된 볼륨의 잠금을 자동으로 해제합니다. NBDE의 클라이언트 측은 Clevis 복호화 정책 프레임워크라고 하며, 서버 측은 Tang으로 표현됩니다.
NBDE Tang Server Operator를 사용하면 OpenShift Container Platform(OCP) 환경에서 하나 또는 여러 개의 Tang 서버를 배포하는 작업을 자동화할 수 있습니다.
8.2. NBDE Tang 서버 운영자 릴리스 노트
다음 릴리스 노트는 OpenShift Container Platform의 NBDE Tang Server Operator 개발 과정을 추적합니다.
- RHEA-2023:7491
- NBDE Tang Server Operator 1.0이 Red Hat OpenShift Enterprise 4 카탈로그에 출시되었습니다.
- RHEA-2024:0854
-
NBDE Tang Server Operator 1.0.1이
알파채널에서안정채널로 이동되었습니다. - RHBA-2024:8681
- 1.0.2 업데이트에는 NBDE Tang Server Operator를 사용하여 배포된 컨테이너의 컨테이너 상태 지수를 최고 등급으로 높이는 수정 사항이 포함되어 있습니다.
- RHEA-2024:10970
- 1.0.3 업데이트에는 컨테이너 상태 지수를 최고 등급으로 다시 높이는 변경 사항이 포함되어 있습니다.
- RHBA-2025:0663
-
NBDE Tang Server Operator 1.1에는
golang패키지 버전 1.23.2와golang.org/x/net/html패키지 버전 0.33.0이 포함되어 있습니다. 업데이트를 통해 컨테이너 건강 지수가 개선되었습니다. - RHBA-2025:4453
- 1.1.1 업데이트는 CVE-2025-22866 에 대한 수정 사항을 제공합니다.
8.3. NBDE Tang 서버 운영자 이해
NBDE Tang Server Operator를 사용하면 네트워크 바운드 디스크 암호화(NBDE)가 내부적으로 필요한 OpenShift Container Platform 클러스터에서 Tang 서버의 배포를 자동화할 수 있으며, OpenShift Container Platform이 제공하는 도구를 활용하여 이러한 자동화를 달성할 수 있습니다.
NBDE Tang Server Operator는 설치 프로세스를 간소화하고 다중 복제본 배포, 확장, 트래픽 부하 분산 등 OpenShift Container Platform 환경이 제공하는 기본 기능을 사용합니다. 또한 운영자는 수동으로 수행할 경우 오류가 발생하기 쉬운 특정 작업의 자동화를 제공합니다.예를 들어:
- 서버 배포 및 구성
- 키 회전
- 숨겨진 키 삭제
NBDE Tang Server Operator는 Operator SDK를 사용하여 구현되며 사용자 정의 리소스 정의(CRD)를 통해 OpenShift에 하나 이상의 Tang 서버를 배포할 수 있습니다.
8.4. NBDE Tang 서버 운영자 설치
웹 콘솔을 사용하거나 CLI에서 oc 명령을 사용하여 NBDE Tang Operator를 설치할 수 있습니다.
8.4.1. 웹 콘솔을 사용하여 NBDE Tang Server Operator 설치
웹 콘솔을 사용하여 OperatorHub에서 NBDE Tang Server Operator를 설치할 수 있습니다.
사전 요구 사항
-
OpenShift Container Platform 클러스터에 대한
클러스터 관리자권한이 있어야 합니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Operator → OperatorHub로 이동합니다.
NBDE Tang 서버 운영자를 검색하세요:
- 설치를 클릭합니다.
- 운영자 설치 화면에서 업데이트 채널 , 버전 , 설치 모드 , 설치된 네임스페이스 및 업데이트 승인 필드를 기본값으로 유지합니다.
설치를 클릭하여 설치 옵션을 확인한 후 콘솔에 설치 확인이 표시됩니다.
검증
- Operator → 설치된 Operator 페이지로 이동합니다.
NBDE Tang Server Operator가 설치되었고 상태가
Succeeded인지 확인하세요.
8.4.2. CLI를 사용하여 NBDE Tang Server Operator 설치
CLI를 사용하여 OperatorHub에서 NBDE Tang Server Operator를 설치할 수 있습니다.
사전 요구 사항
-
OpenShift Container Platform 클러스터에 대한
클러스터 관리자권한이 있어야 합니다. -
OpenShift CLI(
oc)가 설치되어 있습니다.
프로세스
다음 명령을 사용하여 OperatorHub에서 사용 가능한 연산자를 나열하고 출력을 Tang 관련 결과로 제한합니다.
oc get packagemanifests -n openshift-marketplace | grep tang
$ oc get packagemanifests -n openshift-marketplace | grep tangCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
tang-operator Red Hat
tang-operator Red HatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 경우, 해당 패키지 매니페스트 이름은
tang-operator입니다.예를 들어
tang-operator.yaml과 같이 NBDE Tang Server Operator에 네임스페이스를 구독하기 위해구독개체 YAML 파일을 만듭니다.tang-operator에 대한 예제 구독 YAML
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 클러스터에
구독을적용합니다.oc apply -f tang-operator.yaml
$ oc apply -f tang-operator.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
NBDE Tang Server Operator 컨트롤러가
openshift-operators네임스페이스에서 실행되는지 확인하세요.oc -n openshift-operators get pods
$ oc -n openshift-operators get podsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE tang-operator-controller-manager-694b754bd6-4zk7x 2/2 Running 0 12s
NAME READY STATUS RESTARTS AGE tang-operator-controller-manager-694b754bd6-4zk7x 2/2 Running 0 12sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
8.5. NBDE Tang Server Operator를 사용하여 Tang 서버 구성 및 관리
NBDE Tang Server Operator를 사용하면 Tang 서버를 배포하고 빠르게 구성할 수 있습니다. 배포된 Tang 서버에서 기존 키를 나열하고 이를 순환할 수 있습니다.
8.5.1. NBDE Tang Server Operator를 사용하여 Tang 서버 배포
웹 콘솔에서 NBDE Tang Server Operator를 사용하여 하나 이상의 Tang 서버를 배포하고 빠르게 구성할 수 있습니다.
사전 요구 사항
-
OpenShift Container Platform 클러스터에 대한
클러스터 관리자권한이 있어야 합니다. - OCP 클러스터에 NBDE Tang Server Operator를 설치했습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Operator → OperatorHub로 이동합니다.
프로젝트를 선택하고 프로젝트 생성을 클릭합니다.
프로젝트 생성페이지에서 다음과 같이 필요한 정보를 입력합니다.- 생성을 클릭합니다.
NBDE Tang Server 복제본에는 암호화 키를 저장하기 위한 PVC(영구 볼륨 클레임)가 필요합니다. 웹 콘솔에서 Storage → PersistentVolumeClaims 로 이동합니다.
-
다음
PersistentVolumeClaims화면에서 PersistentVolumeClaim 만들기를 클릭합니다. PersistentVolumeClaim 생성페이지에서 배포 시나리오에 맞는 스토리지를 선택합니다. 암호화 키를 얼마나 자주 순환할지 고려하세요. PVC의 이름을 지정하고 요청된 저장 용량을 선택하세요(예:- 운영자 → 설치된 운영자 로 이동한 후 NBDE Tang Server를 클릭합니다.
인스턴스 만들기를 클릭합니다.
TangServer 생성페이지에서 Tang Server 인스턴스의 이름, 복제본 수를 선택하고 이전에 생성된 영구 볼륨 클레임의 이름을 지정합니다(예:).- 필요한 값을 입력하고 시나리오의 기본값과 다른 설정을 변경한 후 만들기를 클릭합니다.
8.5.2. NBDE Tang Server Operator를 사용하여 키 회전
NBDE Tang Server Operator를 사용하면 Tang 서버 키도 교체할 수 있습니다. 교체해야하는 정확한 간격은 애플리케이션, 키 크기 및 기관 정책에 따라 다릅니다.
사전 요구 사항
-
OpenShift Container Platform 클러스터에 대한
클러스터 관리자권한이 있어야 합니다. - OpenShift 클러스터에서 NBDE Tang Server Operator를 사용하여 Tang 서버를 배포했습니다.
-
OpenShift CLI(
oc)가 설치되어 있습니다.
프로세스
예를 들어 Tang 서버에 있는 기존 키를 나열합니다.
oc -n nbde describe tangserver
$ oc -n nbde describe tangserverCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 활성 키를 숨겨진 키로 이동하기 위한 YAML 파일을 만듭니다(예:
minimal-keyretrieve-rotate-tangserver.yaml):tang-operator에 대한 키 회전 YAML 예시
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 활성 키의 SHA-1 지문을 지정하여 키를 회전합니다.
YAML 파일을 적용합니다.
oc apply -f minimal-keyretrieve-rotate-tangserver.yaml
$ oc apply -f minimal-keyretrieve-rotate-tangserver.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
구성에 따라 일정 시간이 지난 후 이전
activeKey값이 새hiddenKey값인지,activeKey키 파일이 새로 생성되었는지 확인하세요. 예:oc -n nbde describe tangserver
$ oc -n nbde describe tangserverCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
8.6. NBDE Tang Server Operator와 함께 배포된 Tang 서버의 URL 식별
Tang 서버에서 광고하는 암호화 키를 사용하도록 Clevis 클라이언트를 구성하려면 먼저 서버의 URL을 식별해야 합니다.
8.6.1. 웹 콘솔을 사용하여 NBDE Tang 서버 운영자의 URL 식별
OpenShift Container Platform 웹 콘솔을 사용하여 OperatorHub에서 NBDE Tang Server Operator를 통해 배포된 Tang 서버의 URL을 식별할 수 있습니다. URL을 식별한 후 Tang 서버에서 광고하는 키를 사용하여 자동으로 잠금 해제하려는 LUKS 암호화 볼륨이 포함된 클라이언트에서 clevis luks bind 명령을 사용합니다. Clevis를 사용하여 클라이언트를 구성하는 방법에 대한 자세한 단계는 RHEL 9 보안 강화 문서의 'LUKS 암호화 볼륨의 수동 등록 구성' 섹션을 참조하세요.
사전 요구 사항
-
OpenShift Container Platform 클러스터에 대한
클러스터 관리자권한이 있어야 합니다. - OpenShift 클러스터에서 NBDE Tang Server Operator를 사용하여 Tang 서버를 배포했습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Operators → 설치된 Operators → Tang Server 서버로 이동합니다.
NBDE Tang Server Operator 세부 정보 페이지에서 Tang Server를 선택합니다.
- 클러스터에 배포되어 사용 가능한 Tang 서버 목록이 나타납니다. Clevis 클라이언트와 바인딩하려는 Tang 서버의 이름을 클릭합니다.
웹 콘솔에는 선택된 Tang 서버의 개요가 표시됩니다. Tang 서버의 URL은 화면의
Tang 서버 외부 URL섹션에서 찾을 수 있습니다.이 예에서 Tang 서버의 URL은
http://34.28.173.205:7500입니다.
검증
curl,wget또는 이와 유사한 도구를 사용하여 Tang 서버가 광고하고 있는지 확인할 수 있습니다. 예:curl 2> /dev/null http://34.28.173.205:7500/adv | jq
$ curl 2> /dev/null http://34.28.173.205:7500/adv | jqCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
{ "payload": "eyJrZXlzIj…eSJdfV19", "protected": "eyJhbGciOiJFUzUxMiIsImN0eSI6Imp3ay1zZXQranNvbiJ9", "signature": "AUB0qSFx0FJLeTU…aV_GYWlDx50vCXKNyMMCRx" }{ "payload": "eyJrZXlzIj…eSJdfV19", "protected": "eyJhbGciOiJFUzUxMiIsImN0eSI6Imp3ay1zZXQranNvbiJ9", "signature": "AUB0qSFx0FJLeTU…aV_GYWlDx50vCXKNyMMCRx" }Copy to Clipboard Copied! Toggle word wrap Toggle overflow
8.6.2. CLI를 사용하여 NBDE Tang 서버 운영자의 URL 식별
CLI를 사용하여 OperatorHub에서 NBDE Tang Server Operator를 통해 배포된 Tang 서버의 URL을 식별할 수 있습니다. URL을 식별한 후 Tang 서버에서 광고하는 키를 사용하여 자동으로 잠금 해제하려는 LUKS 암호화 볼륨이 포함된 클라이언트에서 clevis luks bind 명령을 사용합니다. Clevis를 사용하여 클라이언트를 구성하는 방법에 대한 자세한 단계는 RHEL 9 보안 강화 문서의 'LUKS 암호화 볼륨의 수동 등록 구성' 섹션을 참조하세요.
사전 요구 사항
-
OpenShift Container Platform 클러스터에 대한
클러스터 관리자권한이 있어야 합니다. -
OpenShift CLI(
oc)가 설치되어 있습니다. - OpenShift 클러스터에서 NBDE Tang Server Operator를 사용하여 Tang 서버를 배포했습니다.
프로세스
Tang 서버에 대한 세부 정보를 나열하세요. 예:
oc -n nbde describe tangserver
$ oc -n nbde describe tangserverCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
/adv부분이 없는서비스 외부 URL:항목의 값을 사용합니다. 이 예에서 Tang 서버의 URL은http://34.28.173.205:7500입니다.
검증
curl,wget또는 이와 유사한 도구를 사용하여 Tang 서버가 광고하고 있는지 확인할 수 있습니다. 예:curl 2> /dev/null http://34.28.173.205:7500/adv | jq
$ curl 2> /dev/null http://34.28.173.205:7500/adv | jqCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
{ "payload": "eyJrZXlzIj…eSJdfV19", "protected": "eyJhbGciOiJFUzUxMiIsImN0eSI6Imp3ay1zZXQranNvbiJ9", "signature": "AUB0qSFx0FJLeTU…aV_GYWlDx50vCXKNyMMCRx" }{ "payload": "eyJrZXlzIj…eSJdfV19", "protected": "eyJhbGciOiJFUzUxMiIsImN0eSI6Imp3ay1zZXQranNvbiJ9", "signature": "AUB0qSFx0FJLeTU…aV_GYWlDx50vCXKNyMMCRx" }Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9장. cert-manager Operator for Red Hat OpenShift
9.1. Red Hat OpenShift용 cert-manager Operator 개요
Red Hat OpenShift용 cert-manager Operator는 애플리케이션 인증서 수명 주기 관리를 제공하는 클러스터 전체 서비스입니다. Red Hat OpenShift용 cert-manager Operator를 사용하면 외부 인증 기관과 통합하고 인증서 프로비저닝, 갱신 및 폐기 기능을 제공합니다.
9.1.1. Red Hat OpenShift용 cert-manager 운영자에 관하여
cert-manager 프로젝트는 Kubernetes API에 인증 기관과 인증서를 리소스 유형으로 도입하여 클러스터 내에서 작업하는 개발자에게 필요에 따라 인증서를 제공할 수 있게 해줍니다. Red Hat OpenShift용 cert-manager Operator는 cert-manager를 OpenShift Container Platform 클러스터에 통합하는 지원 방식을 제공합니다.
Red Hat OpenShift용 cert-manager Operator는 다음과 같은 기능을 제공합니다.
- 외부 인증 기관과의 통합 지원
- 인증서 관리 도구
- 개발자가 인증서를 직접 제공하는 기능
- 자동 인증서 갱신
클러스터에서 OpenShift Container Platform용 Red Hat OpenShift cert-manager Operator와 community cert-manager Operator를 동시에 사용하지 마세요.
또한, 단일 OpenShift 클러스터 내의 여러 네임스페이스에 OpenShift Container Platform용 Red Hat OpenShift cert-manager Operator를 설치해서는 안 됩니다.
9.1.2. Red Hat OpenShift 발급자 공급자를 위한 cert-manager 운영자
Red Hat OpenShift용 cert-manager Operator는 다음 발급자 유형으로 테스트되었습니다.
- 자동화된 인증서 관리 환경(ACME)
- 인증 기관(CA)
- 자기 서명
- Vault
- 베나피
- Nokia NetGuard Certificate Manager (NCM)
- Google 클라우드 인증 기관 서비스 (Google CAS)
9.1.2.1. 발급자 유형 테스트
다음 표는 테스트된 각 발급자 유형에 대한 테스트 범위를 간략하게 설명합니다.
| 발급자 유형 | 테스트 상태 | 참고 |
|---|---|---|
| ACME | 완전히 테스트됨 | 표준 ACME 구현으로 검증되었습니다. |
| CA | 완전히 테스트됨 | 기본적인 CA 기능을 보장합니다. |
| 자기 서명 | 완전히 테스트됨 | 기본적인 자체 서명 기능을 보장합니다. |
| Vault | 완전히 테스트됨 | 인프라 접근 제약으로 인해 표준 Vault 설정으로 제한됩니다. |
| 베나피 | 부분적으로 테스트됨 | 공급자별 제한 사항이 적용됩니다. |
| NCM | 부분적으로 테스트됨 | 공급자별 제한 사항이 적용됩니다. |
| Google CAS | 부분적으로 테스트됨 | 일반적인 CA 구성과 호환됩니다. |
OpenShift Container Platform은 Red Hat OpenShift 공급자 기능을 위한 타사 cert-manager Operator와 관련된 모든 요소를 테스트하지 않습니다. 타사 지원에 대한 자세한 내용은 OpenShift Container Platform 타사 지원 정책을 참조하세요.
9.1.3. 인증서 요청 방법
Red Hat OpenShift용 cert-manager Operator를 사용하여 인증서를 요청하는 방법에는 두 가지가 있습니다.
cert-manager.io/CertificateRequest객체 사용-
이 방법을 사용하면 서비스 개발자는 구성된 발급자(서비스 인프라 관리자가 구성)를 가리키는 유효한
issuerRef를사용하여CertificateRequest객체를 생성합니다. 그러면 서비스 인프라 관리자가 인증서 요청을 수락하거나 거부합니다. 승인된 인증서 요청만 해당 인증서를 생성합니다. cert-manager.io/Certificate객체 사용-
이 방법을 사용하면 서비스 개발자가 유효한
issuerRef를 사용하여Certificate오브젝트를 생성하고Certificate오브젝트를 가리키는 보안에서 인증서를 가져옵니다.
9.1.4. Red Hat OpenShift 버전에 지원되는 cert-manager Operator
다양한 OpenShift Container Platform 릴리스에서 Red Hat OpenShift용 cert-manager Operator의 지원되는 버전 목록은 OpenShift Container Platform 업데이트 및 지원 정책 의 "플랫폼에 독립적인 연산자" 섹션을 참조하세요.
9.1.5. cert-manager Operator for Red Hat OpenShift에 대한 FIPS 컴플라이언스 정보
버전 1.14.0부터 cert-manager Operator for Red Hat OpenShift는 FIPS 준수를 위해 설계되었습니다. FIPS 모드에서 OpenShift Container Platform을 실행하는 경우 x86_64, ppc64le 및 s390X 아키텍처에서 FIPS 검증을 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다. NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 검증 프로그램을 참조하십시오. 검증을 위해 제출된 개별 RHEL 암호화 라이브러리의 최신 NIST 상태는 규정 준수 활동 및 정부 표준을 참조하십시오.
FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 OpenShift Container Platform 클러스터에 cert-manager Operator for Red Hat OpenShift를 설치해야 합니다. 자세한 내용은 "클러스터에 추가 보안이 필요합니까?"를 참조하십시오.
9.2. Red Hat OpenShift 릴리스 노트용 cert-manager Operator
Red Hat OpenShift용 cert-manager Operator는 애플리케이션 인증서 수명 주기 관리를 제공하는 클러스터 전체 서비스입니다.
이 릴리스 노트는 Red Hat OpenShift용 cert-manager Operator의 개발 과정을 추적합니다.
자세한 내용은 Red Hat OpenShift용 cert-manager Operator에 대한 정보를 참조하세요.
9.2.1. cert-manager Operator for Red Hat OpenShift 1.17.0
발행일: 2025-08-06
다음은 Red Hat OpenShift 1.17.0용 cert-manager Operator에 대한 권고 사항입니다.
Red Hat OpenShift용 cert-manager Operator 버전 1.17.0은 업스트림 cert-manager 버전 v1.17.4를 기반으로 합니다. 자세한 내용은 v1.17.4에 대한 cert-manager 프로젝트 릴리스 노트를 참조하세요.
9.2.1.1. 버그 수정
-
이전에는 Istio‑CSR을 성공적으로 배포한 후에도
IstioCSR사용자 지정 리소스(CR)의상태필드가준비로 설정되지 않았습니다. 이 수정 사항을 적용하면상태필드가 '준비'로 올바르게 설정되어 일관되고 안정적인 상태 보고가 보장됩니다. (CM-546)
9.2.1.2. 새로운 기능 및 개선 사항
ACME HTTP‑01 솔버 포드에 대한 리소스 요청 및 제한 구성 지원
이 릴리스에서는 Red Hat OpenShift용 cert-manager Operator가 ACME HTTP‑01 솔버 포드에 대한 CPU 및 메모리 리소스 요청과 제한을 구성하는 것을 지원합니다. CertManager 사용자 정의 리소스(CR)에서 다음과 같은 재정의 가능한 인수를 사용하여 CPU 및 메모리 리소스 요청과 제한을 구성할 수 있습니다.
-
--acme-http01-solver-resource-limits-cpu -
--acme-http01-solver-resource-limits-memory -
--acme-http01-solver-resource-request-cpu -
--acme-http01-solver-resource-request-memory
자세한 내용은 cert‑manager 구성 요소에 대한 재정의 가능한 인수를 참조하세요.
9.2.1.3. CVE
9.2.2. cert-manager Operator for Red Hat OpenShift 1.16.1
발행일: 2025-07-10
다음은 Red Hat OpenShift 1.16.1용 cert-manager Operator에 대한 권고 사항입니다.
Red Hat OpenShift용 cert-manager Operator 버전 1.16.1은 업스트림 cert-manager 버전 v1.16.5를 기반으로 합니다. 자세한 내용은 v1.16.5에 대한 cert-manager 프로젝트 릴리스 노트를 참조하세요.
9.2.2.1. 버그 수정
이전에는 Red Hat OpenShift용 cert-manager Operator가 RBAC 권한이 부족하여 cert-manager-tokenrequest 역할을 생성하지 못했습니다. 이로 인해 RoleCreateFailed 오류가 발생하고 정적 리소스 컨트롤러가 저하되었습니다. 이 릴리스에서는 RBAC 구성에 필요한 serviceaccounts/token 생성 권한을 추가하여 문제가 해결되었습니다. 결과적으로 cert-manager-tokenrequest 역할과 역할 바인딩이 성공적으로 생성되었고 RoleCreateFailed 오류는 더 이상 운영자 로그에 나타나지 않습니다. (OCPBUGS-56758)
9.2.2.2. CVE
9.2.3. cert-manager Operator for Red Hat OpenShift 1.16.0
발행일: 2025-05-27
다음은 Red Hat OpenShift 1.16.0용 cert-manager Operator에 대한 권고 사항입니다.
Red Hat OpenShift용 cert-manager Operator 버전 1.16.0은 업스트림 cert-manager 버전 v1.16.4를 기반으로 합니다. 자세한 내용은 v1.16.4에 대한 cert-manager 프로젝트 릴리스 노트를 참조하세요.
9.2.3.1. 새로운 기능 및 개선 사항
연결 해제된 환경 지원
이번 릴리스에서는 Red Hat OpenShift용 cert-manager Operator가 연결이 끊긴 환경에 미러링되고 설치될 수 있음이 확인되었습니다.
이 운영자는 또한 연결이 끊긴 환경에서 ACME, CA, 자체 서명 및 Vault와 같은 발급자 유형과 함께 작동하도록 검증되었습니다. 구체적으로, 개인 또는 자체 호스팅 ACME 서버는 검증되었으며, Let's Encrypt나 기타 공개 ACME 서비스는 연결이 끊긴 환경에서 실행 가능한 옵션이 아닙니다. oc-mirror 플러그인 v2는 Operator 이미지를 미러링하는 데 선호되는 방법입니다. 자세한 내용은 oc-mirror 플러그인 v2를 사용하여 연결이 끊긴 설치에 대한 이미지 미러링을 참조하세요.
확장된 피연산자 메트릭 지원
이 릴리스에서는 cert-manager 웹훅과 cainjector 피연산자가 이제 기본적으로 /metrics 서비스 엔드포인트를 통해 포트 9402에서 Prometheus 메트릭을 노출합니다. 기본 제공 사용자 워크로드 모니터링 스택을 활성화하여 모든 cert-manager 피연산자에서 메트릭을 수집하도록 OpenShift Monitoring을 구성할 수 있습니다. 자세한 내용은 Red Hat OpenShift용 cert-manager Operator 모니터링을 참조하세요.
스트리밍 목록 활성화
이 릴리스를 통해 Red Hat OpenShift용 cert-manager Operator는 이제 새로운 업스트림 WatchListClient 기능을 사용합니다. 이를 통해 Kubernetes API 서버의 스트리밍 목록 기능을 사용할 수 있어 API 서버의 부하가 줄어듭니다. OpenShift Container Platform 4.14 이상에서는 cert-manager 구성 요소가 시작될 때의 최대 메모리 사용량이 최적화되었습니다.
9.2.3.2. CVE
9.2.3.3. 확인된 문제
cert-manager 버전 1.16.0에서 사용자 이름 및 비밀번호 인증을 사용하는 Venafi 발급자를 사용할 때 기본 클라이언트 ID는 cert-manager.io 로 하드코딩되어 있으며 사용자 정의가 불가능합니다. 이러한 제한은 Venafi 플랫폼에서 인증을 위해 특정 클라이언트 ID가 필요한 사용자에게 영향을 미칠 수 있습니다.
9.2.4. cert-manager Operator for Red Hat OpenShift 1.15.1
발행일: 2025-03-13
다음은 Red Hat OpenShift 1.15.1용 cert-manager Operator에 대한 권고 사항입니다.
Red Hat OpenShift용 cert-manager Operator 버전 1.15.1은 업스트림 cert-manager 버전 v1.15.5를 기반으로 합니다. 자세한 내용은 v1.15.5에 대한 cert-manager 프로젝트 릴리스 노트를 참조하세요.
9.2.4.1. 새로운 기능 및 개선 사항
cert-manager Operator for Red Hat OpenShift with Istio-CSR (기술 프리뷰)
cert-manager Operator for Red Hat OpenShift에서 이제 Istio-CSR을 지원합니다. 이 통합을 통해 cert-manager Operator의 발행자가 상호 TLS(mTLS) 통신을 위해 인증서를 발행, 서명 및 갱신할 수 있습니다. Red Hat OpenShift Service Mesh 및 Istio 는 이제 cert-manager Operator에서 이러한 인증서를 직접 요청할 수 있습니다.
자세한 내용은 cert-manager Operator with Istio-CSR 의 통합을 참조하십시오.
9.2.4.2. CVE
9.2.5. cert-manager Operator for Red Hat OpenShift 1.15.0
출시 날짜: 2025-01-22
cert-manager Operator for Red Hat OpenShift 1.15.0에 다음 권고를 사용할 수 있습니다.
Red Hat OpenShift용 cert-manager Operator의 버전 1.15.0 은 업스트림 cert-manager 버전 v1.15.4 를 기반으로 합니다. 자세한 내용은 v1.15.4의 cert-manager 프로젝트 릴리스 노트를 참조하십시오.
9.2.5.1. 새로운 기능 및 개선 사항
cert-manager Operator for Red Hat OpenShift에 대한 예약 덮어쓰기
이번 릴리스에서는 cert-manager 컨트롤러, Webhook, CA 인젝터를 포함하여 cert-manager Operator for Red Hat OpenShift에 대한 예약 덮어쓰기를 구성할 수 있습니다.
Google CAS 발행자
cert-manager Operator for Red Hat OpenShift는 이제 Google CAS(인증 기관 서비스) 발행자를 지원합니다. google-cas-issuer 는 CAS 관리 개인 인증 기관과 함께 발급 및 갱신을 포함하여 인증서 라이프사이클 관리를 자동화하는 cert-manager의 외부 발행자입니다.
Google CAS 발행자는 Red Hat OpenShift 버전 1.15.0용 0.9.0 및 cert-manager Operator에서만 검증됩니다. 이러한 버전은 OpenShift Container Platform 클러스터에서 API 서버 및 Ingress 컨트롤러의 인증서 발행, 갱신 및 관리와 같은 작업을 지원합니다.
기본 installMode 가 AllNamespaces로 업데이트됨
버전 1.15.0부터 기본 및 권장 OLM(Operator Lifecycle Manager) installMode 는 AllNamespaces 입니다. 이전에는 기본값이 SingleNamespace 였습니다. 이러한 변경 사항은 다중 네임스페이스 Operator 관리를 위한 모범 사례와 일치합니다. 자세한 내용은 OCPBUGS-23406 을 참조하십시오.
중복 kube-rbac-proxy 사이드카 제거
Operator에는 더 이상 중복 kube-rbac-proxy 사이드카 컨테이너가 포함되어 있지 않으므로 리소스 사용량과 복잡성이 줄어듭니다. 자세한 내용은 CM-436 을 참조하십시오.
9.2.5.2. CVE
9.2.6. cert-manager Operator for Red Hat OpenShift 1.14.0
출시 날짜: 2024-07-08
cert-manager Operator for Red Hat OpenShift 1.14.0에 대해 다음 권고를 사용할 수 있습니다.
Red Hat OpenShift용 cert-manager Operator 버전 1.14.0 은 업스트림 cert-manager 버전 v1.14.5 를 기반으로 합니다. 자세한 내용은 v1.14.5의 cert-manager 프로젝트 릴리스 노트를 참조하십시오.
9.2.6.1. 새로운 기능 및 개선 사항
FIPS 컴플라이언스 지원
이번 릴리스에서는 cert-manager Operator for Red Hat OpenShift에 대해 FIPS 모드가 자동으로 활성화됩니다. FIPS 모드에서 OpenShift Container Platform 클러스터에 설치하면 cert-manager Operator for Red Hat OpenShift는 클러스터의 FIPS 지원 상태에 영향을 미치지 않고 호환성을 보장합니다.
cert-manager 관리 인증서를 사용하여 경로 보안 (기술 프리뷰)
이번 릴리스에서는 cert-manager Operator for Red Hat OpenShift를 사용하여 경로 리소스에서 참조되는 인증서를 관리할 수 있습니다. 자세한 내용은 cert-manager Operator for Red Hat OpenShift를 사용하여 경로 보안 을 참조하십시오.
NCM issuer
cert-manager Operator for Red Hat OpenShift는 이제 Nokia NetGuard Certificate Manager (NCM) 발행자를 지원합니다. ncm-issuer 는 인증서 요청에 서명하기 위해 Kubernetes 컨트롤러를 사용하여 NCM PKI 시스템과 통합된 cert-manager 외부 발행자입니다. 이 통합은 애플리케이션에 대한 자체 서명된 인증서를 가져오는 프로세스를 간소화하고 유효성을 보장하며 업데이트되도록 합니다.
NCM 발급자는 Red Hat OpenShift 버전 1.14.0용 버전 1.1.1 및 cert-manager Operator에서만 검증됩니다. 이 버전은 OpenShift Container Platform 클러스터의 API 서버 및 수신 컨트롤러의 인증서 발행, 갱신 및 관리와 같은 작업을 처리합니다.
9.2.6.2. CVE
9.2.7. cert-manager Operator for Red Hat OpenShift 1.13.1
출시 날짜: 2024-05-15
cert-manager Operator for Red Hat OpenShift 1.13.1에 다음 권고를 사용할 수 있습니다.
Red Hat OpenShift 용 cert-manager Operator의 버전 1.13.1 은 업스트림 cert-manager 버전 v1.13.6 을 기반으로 합니다. 자세한 내용은 v1.13.6의 cert-manager 프로젝트 릴리스 노트를 참조하십시오.
9.2.7.1. CVE
9.2.8. cert-manager Operator for Red Hat OpenShift 1.13.0
출시 날짜: 2024-01-16
cert-manager Operator for Red Hat OpenShift 1.13.0에 다음 권고를 사용할 수 있습니다.
Red Hat OpenShift 용 cert-manager Operator의 버전 1.13.0 은 업스트림 cert-manager 버전 v1.13.3 을 기반으로 합니다. 자세한 내용은 v1.13.0의 cert-manager 프로젝트 릴리스 노트를 참조하십시오.
9.2.8.1. 새로운 기능 및 개선 사항
- cert-manager Operator for Red Hat OpenShift를 사용하여 API Server 및 Ingress 컨트롤러의 인증서를 관리할 수 있습니다. 자세한 내용은 발급자를 사용하여 인증서 구성을 참조하십시오.
-
이번 릴리스에서는 이전에 AMD64 아키텍처의 OpenShift Container Platform으로 제한되었던 cert-manager Operator for Red Hat OpenShift의 범위가 IBM Z® (
s390x), IBM Power® (ppc64le) 및 ARM64 아키텍처에서 실행되는 OpenShift Container Platform의 인증서 관리 지원을 포함하도록 확장되었습니다. -
이번 릴리스에서는 ACME DNS-01 챌린지 확인 중에 자체 검사를 수행하는 데 DoH(DNS over HTTPS)를 사용할 수 있습니다. DNS 자체 확인 방법은 명령줄 플래그 --dns01-recursive-nameservers-
only 및를 사용하여 제어할 수 있습니다. 자세한 내용은 cert-manager Operator API에서 인수를 재정의하여 cert-manager 사용자 지정을 참조하십시오.--dns01-recursive-nameservers
9.2.8.2. CVE
9.3. cert-manager Operator for Red Hat OpenShift 설치
cert-manager Operator for Red Hat OpenShift 버전 1.15 이상에서는 AllNamespaces,SingleNamespace s 및 OwnNamespace 설치 모드를 지원합니다. 1.14와 같은 이전 버전은 SingleNamespace 및 OwnNamespace 설치 모드만 지원합니다.
cert-manager Operator for Red Hat OpenShift는 기본적으로 OpenShift Container Platform에 설치되지 않습니다. 웹 콘솔을 사용하여 cert-manager Operator for Red Hat OpenShift를 설치할 수 있습니다.
9.3.1. cert-manager Operator for Red Hat OpenShift 설치
9.3.1.1. 웹 콘솔을 사용하여 cert-manager Operator for Red Hat OpenShift 설치
웹 콘솔을 사용하여 cert-manager Operator for Red Hat OpenShift를 설치할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
- Operators → OperatorHub로 이동합니다.
- cert-manager Operator for Red Hat OpenShift 를 필터 상자에 입력합니다.
- cert-manager Operator for Red Hat OpenShift선택
cert-manager Operator for Red Hat OpenShift 버전을 버전 드롭다운 목록에서 선택하고 설치를 클릭합니다.
참고다음 "추가 리소스" 섹션에서 지원되는 cert-manager Operator for Red Hat OpenShift 버전을 참조하십시오.
Operator 설치 페이지에서 다음을 수행합니다.
- 필요한 경우 업데이트 채널을 업데이트합니다. 채널은 기본적으로 stable-v1 로, cert-manager Operator for Red Hat OpenShift의 안정적인 최신 릴리스를 설치합니다.
Operator의 설치된 네임스페이스 를 선택합니다. 기본 Operator 네임스페이스는
cert-manager-operator입니다.cert-manager-operator네임스페이스가 없으면 해당 네임스페이스가 생성됩니다.참고설치 중에 OpenShift Container Platform 웹 콘솔을 사용하면
AllNamespaces와SingleNamespace설치 모드 중에서 선택할 수 있습니다. cert-manager Operator for Red Hat OpenShift 버전 1.15.0 이상을 사용하는 경우AllNamespaces설치 모드를 선택하는 것이 좋습니다.SingleNamespace및OwnNamespace지원은 이전 버전에서 유지되지만 향후 버전에서는 더 이상 사용되지 않습니다.업데이트 승인 전략을 선택합니다.
- 자동 전략을 사용하면 Operator 새 버전이 준비될 때 OLM(Operator Lifecycle Manager)이 자동으로 Operator를 업데이트할 수 있습니다.
- 수동 전략을 사용하려면 적절한 자격 증명을 가진 사용자가 Operator 업데이트를 승인해야 합니다.
- 설치를 클릭합니다.
검증
- Operators → 설치된 Operator로 이동합니다.
-
cert-manager Operator for Red Hat OpenShift 가
cert-manager-operator네임스페이스에 Succeeded 상태로 나열되어 있는지 확인합니다. 다음 명령을 입력하여 cert-manager Pod가 실행 중인지 확인합니다.
oc get pods -n cert-manager
$ oc get pods -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 3m39s cert-manager-cainjector-56cc5f9868-7g9z7 1/1 Running 0 4m5s cert-manager-webhook-d4f79d7f7-9dg9w 1/1 Running 0 4m9s
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 3m39s cert-manager-cainjector-56cc5f9868-7g9z7 1/1 Running 0 4m5s cert-manager-webhook-d4f79d7f7-9dg9w 1/1 Running 0 4m9sCopy to Clipboard Copied! Toggle word wrap Toggle overflow cert-manager Pod가 가동되어 실행된 경우에만 cert-manager Operator를 Red Hat OpenShift에 사용할 수 있습니다.
9.3.1.2. CLI를 사용하여 Red Hat OpenShift용 cert-manager Operator 설치
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다.
프로세스
다음 명령을 실행하여
cert-manager-operator라는 새 프로젝트를 생성합니다.oc new-project cert-manager-operator
$ oc new-project cert-manager-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow OperatorGroup오브젝트를 생성합니다.다음 콘텐츠를 사용하여 YAML 파일(예:
operatorGroup.yaml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow cert-manager Operator for Red Hat OpenShift v1.15.0 이상의 경우 다음 콘텐츠를 사용하여 YAML 파일을 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고cert-manager Operator for Red Hat OpenShift 버전 1.15.0부터
AllNamespacesOLMinstallMode를 사용하여 Operator를 설치하는 것이 좋습니다. 이전 버전에서는SingleNamespace또는OwnNamespaceOLMinstallMode를 계속 사용할 수 있습니다.SingleNamespace및OwnNamespace에 대한 지원은 향후 버전에서 더 이상 사용되지 않습니다.다음 명령을 실행하여
OperatorGroup오브젝트를 생성합니다.oc create -f operatorGroup.yaml
$ oc create -f operatorGroup.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Subscription오브젝트를 생성합니다.Subscription오브젝트를 정의하는 YAML 파일(예:subscription.yaml)을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
Subscription오브젝트를 생성합니다.oc create -f subscription.yaml
$ oc create -f subscription.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 OLM 서브스크립션이 생성되었는지 확인합니다.
oc get subscription -n cert-manager-operator
$ oc get subscription -n cert-manager-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME PACKAGE SOURCE CHANNEL openshift-cert-manager-operator openshift-cert-manager-operator redhat-operators stable-v1
NAME PACKAGE SOURCE CHANNEL openshift-cert-manager-operator openshift-cert-manager-operator redhat-operators stable-v1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Operator가 성공적으로 설치되었는지 확인합니다.
oc get csv -n cert-manager-operator
$ oc get csv -n cert-manager-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME DISPLAY VERSION REPLACES PHASE cert-manager-operator.v1.13.0 cert-manager Operator for Red Hat OpenShift 1.13.0 cert-manager-operator.v1.12.1 Succeeded
NAME DISPLAY VERSION REPLACES PHASE cert-manager-operator.v1.13.0 cert-manager Operator for Red Hat OpenShift 1.13.0 cert-manager-operator.v1.12.1 SucceededCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator 상태가
Running인지 확인합니다.oc get pods -n cert-manager-operator
$ oc get pods -n cert-manager-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-operator-controller-manager-695b4d46cb-r4hld 2/2 Running 0 7m4s
NAME READY STATUS RESTARTS AGE cert-manager-operator-controller-manager-695b4d46cb-r4hld 2/2 Running 0 7m4sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 cert-manager pod의 상태가
Running인지 확인합니다.oc get pods -n cert-manager
$ oc get pods -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-58b7f649c4-dp6l4 1/1 Running 0 7m1s cert-manager-cainjector-5565b8f897-gx25h 1/1 Running 0 7m37s cert-manager-webhook-9bc98cbdd-f972x 1/1 Running 0 7m40s
NAME READY STATUS RESTARTS AGE cert-manager-58b7f649c4-dp6l4 1/1 Running 0 7m1s cert-manager-cainjector-5565b8f897-gx25h 1/1 Running 0 7m37s cert-manager-webhook-9bc98cbdd-f972x 1/1 Running 0 7m40sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.3.2. cert-manager Operator for Red Hat OpenShift의 업데이트 채널 이해
업데이트 채널은 클러스터에서 Red Hat OpenShift용 cert-manager Operator 버전을 선언할 수 있는 메커니즘입니다. cert-manager Operator for Red Hat OpenShift는 다음과 같은 업데이트 채널을 제공합니다.
-
stable-v1 -
stable-v1.y
9.3.2.1. stable-v1 채널
stable-v1 채널에서는 Red Hat OpenShift용 cert-manager Operator의 최신 릴리스 버전을 설치하고 업데이트합니다. Red Hat OpenShift용 cert-manager Operator의 안정적인 최신 릴리스를 사용하려면 stable-v1 채널을 선택합니다.
stable-v1 채널은 cert-manager Operator for Red Hat OpenShift를 설치하는 동안 기본 및 제안된 채널입니다.
stable-v1 채널에서는 다음과 같은 업데이트 승인 전략을 제공합니다.
- 자동
-
설치된 cert-manager Operator for Red Hat OpenShift에 대한 자동 업데이트를 선택하면 새 버전의 cert-manager Operator for Red Hat OpenShift를
stable-v1채널에서 사용할 수 있습니다. OLM(Operator Lifecycle Manager)은 개입 없이 Operator의 실행 중인 인스턴스를 자동으로 업그레이드합니다. - 수동
- 수동 업데이트를 선택하면 최신 버전의 cert-manager Operator for Red Hat OpenShift를 사용할 수 있으면 OLM에서 업데이트 요청을 생성합니다. 그런 다음 클러스터 관리자는 cert-manager Operator for Red Hat OpenShift가 새 버전으로 업데이트되도록 해당 업데이트 요청을 수동으로 승인해야 합니다.
9.3.2.2. stable-v1.y channel
Red Hat OpenShift용 cert-manager Operator의 y-stream 버전에서는 stable-v1.y 채널(예: stable-v1.10,stable-v1.11, stable-v1.12 )에서 업데이트를 설치합니다. y-stream 버전을 사용하려면 stable-v1.y 채널을 선택하고 Red Hat OpenShift용 cert-manager Operator의 z-stream 버전으로 계속 업데이트하십시오.
stable-v1.y 채널에서는 다음과 같은 업데이트 승인 전략을 제공합니다.
- 자동
-
설치된 cert-manager Operator for Red Hat OpenShift에 대한 자동 업데이트를 선택하는 경우
stable-v1.y채널에서 cert-manager Operator for Red Hat OpenShift의 새로운 z-stream 버전을 사용할 수 있습니다. OLM은 개입 없이 Operator의 실행 중인 인스턴스를 자동으로 업그레이드합니다. - 수동
- 수동 업데이트를 선택하면 최신 버전의 cert-manager Operator for Red Hat OpenShift를 사용할 수 있으면 OLM에서 업데이트 요청을 생성합니다. 그런 다음 클러스터 관리자는 cert-manager Operator for Red Hat OpenShift가 새 버전의 z-stream 릴리스로 업데이트되도록 해당 업데이트 요청을 수동으로 승인해야 합니다.
9.4. cert-manager Operator for Red Hat OpenShift에 대한 송신 프록시 구성
클러스터 전체 송신 프록시가 OpenShift Container Platform에 구성된 경우 OLM(Operator Lifecycle Manager)은 클러스터 전체 프록시로 관리하는 Operator를 자동으로 구성합니다. OLM은 HTTP_PROXY,HTTPS_PROXY,NO_PROXY 환경 변수를 사용하여 모든 Operator의 배포를 자동으로 업데이트합니다.
cert-manager Operator for Red Hat OpenShift에 HTTPS 연결을 프록시하는 데 필요한 모든 CA 인증서를 삽입할 수 있습니다.
9.4.1. cert-manager Operator for Red Hat OpenShift용 사용자 정의 CA 인증서 삽입
OpenShift Container Platform 클러스터에 클러스터 전체 프록시가 활성화된 경우 cert-manager Operator for Red Hat OpenShift에 HTTPS 연결을 프록시하는 데 필요한 CA 인증서를 삽입할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. - OpenShift Container Platform에 대해 클러스터 전체 프록시를 활성화했습니다.
프로세스
다음 명령을 실행하여
cert-manager네임스페이스에 구성 맵을 생성합니다.oc create configmap trusted-ca -n cert-manager
$ oc create configmap trusted-ca -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 OpenShift Container Platform에서 신뢰하는 CA 번들을 구성 맵에 삽입합니다.
oc label cm trusted-ca config.openshift.io/inject-trusted-cabundle=true -n cert-manager
$ oc label cm trusted-ca config.openshift.io/inject-trusted-cabundle=true -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator 배포를 업데이트하여 구성 맵을 사용합니다.
oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"TRUSTED_CA_CONFIGMAP_NAME","value":"trusted-ca"}]}}}'$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"TRUSTED_CA_CONFIGMAP_NAME","value":"trusted-ca"}]}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 배포 롤아웃이 완료되었는지 확인합니다.
oc rollout status deployment/cert-manager-operator-controller-manager -n cert-manager-operator && \ oc rollout status deployment/cert-manager -n cert-manager && \ oc rollout status deployment/cert-manager-webhook -n cert-manager && \ oc rollout status deployment/cert-manager-cainjector -n cert-manager
$ oc rollout status deployment/cert-manager-operator-controller-manager -n cert-manager-operator && \ oc rollout status deployment/cert-manager -n cert-manager && \ oc rollout status deployment/cert-manager-webhook -n cert-manager && \ oc rollout status deployment/cert-manager-cainjector -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
deployment "cert-manager-operator-controller-manager" successfully rolled out deployment "cert-manager" successfully rolled out deployment "cert-manager-webhook" successfully rolled out deployment "cert-manager-cainjector" successfully rolled out
deployment "cert-manager-operator-controller-manager" successfully rolled out deployment "cert-manager" successfully rolled out deployment "cert-manager-webhook" successfully rolled out deployment "cert-manager-cainjector" successfully rolled outCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 CA 번들이 볼륨으로 마운트되었는지 확인합니다.
oc get deployment cert-manager -n cert-manager -o=jsonpath={.spec.template.spec.'containers[0].volumeMounts'}$ oc get deployment cert-manager -n cert-manager -o=jsonpath={.spec.template.spec.'containers[0].volumeMounts'}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
[{"mountPath":"/etc/pki/tls/certs/cert-manager-tls-ca-bundle.crt","name":"trusted-ca","subPath":"ca-bundle.crt"}][{"mountPath":"/etc/pki/tls/certs/cert-manager-tls-ca-bundle.crt","name":"trusted-ca","subPath":"ca-bundle.crt"}]Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 CA 번들의 소스가
trusted-ca구성 맵인지 확인합니다.oc get deployment cert-manager -n cert-manager -o=jsonpath={.spec.template.spec.volumes}$ oc get deployment cert-manager -n cert-manager -o=jsonpath={.spec.template.spec.volumes}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
[{"configMap":{"defaultMode":420,"name":"trusted-ca"},"name":"trusted-ca"}][{"configMap":{"defaultMode":420,"name":"trusted-ca"},"name":"trusted-ca"}]Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.5. CertManager 사용자 정의 리소스를 사용하여 cert-manager 연산자 사용자 정의
Red Hat OpenShift용 cert-manager Operator를 설치한 후 CertManager 사용자 정의 리소스(CR)를 구성하여 다음 작업을 수행할 수 있습니다.
- cert-manager 컨트롤러, CA 인젝터, Webhook 등 cert-manager 구성 요소의 동작을 수정하기 위한 인수를 구성합니다.
- 컨트롤러 포드에 대한 환경 변수를 설정합니다.
- CPU 및 메모리 사용을 관리하기 위해 리소스 요청과 제한을 정의합니다.
- 클러스터에서 포드가 실행되는 위치를 제어하기 위해 스케줄링 규칙을 구성합니다.
예제 CertManager CR YAML 파일
지원되지 않는 인수를 재정의하려면 CertManager 리소스에 spec.unsupportedConfigOverrides 섹션을 추가할 수 있지만 spec.unsupportedConfigOverrides 를 사용하는 것은 지원되지 않습니다.
9.5.1. CertManager 사용자 정의 리소스의 필드에 대한 설명
CertManager 사용자 정의 리소스(CR)를 사용하여 Red Hat OpenShift용 cert-manager Operator의 다음 핵심 구성 요소를 구성할 수 있습니다.
-
Cert-manager 컨트롤러:
spec.controllerConfig필드를 사용하여 cert‑manager 컨트롤러 포드를 구성할 수 있습니다. -
웹훅:
spec.webhookConfig필드를 사용하여 검증 및 변형 요청을 처리하는 웹훅 포드를 구성할 수 있습니다. -
CA 인젝터:
spec.cainjectorConfig필드를 사용하여 CA 인젝터 포드를 구성할 수 있습니다.
9.5.1.1. cert-manager 구성 요소에 대한 CertManager CR의 공통 구성 가능 필드
다음 표는 CertManager CR의 spec.controllerConfig , spec.webhookConfig 및 spec.cainjectorConfig 섹션에서 구성할 수 있는 일반 필드를 나열합니다.
| 필드 | 유형 | 설명 |
|---|---|---|
|
|
| cert-manager 구성 요소에 대해 지원되는 인수를 재정의할 수 있습니다. |
|
|
| cert-manager 컨트롤러에 대해 지원되는 환경 변수를 재정의할 수 있습니다. 이 필드는 cert-manager 컨트롤러 구성 요소에만 지원됩니다. |
|
|
| cert-manager 구성 요소에 대한 CPU 및 메모리 제한을 구성할 수 있습니다. |
|
|
| cert-manager 구성 요소에 대한 Pod 스케줄링 제약 조건을 구성할 수 있습니다. |
9.5.1.2. cert-manager 구성 요소에 대한 재정의 가능한 인수
CertManager CR의 spec.controllerConfig , spec.webhookConfig 및 spec.cainjectorConfig 섹션에서 cert-manager 구성 요소에 대한 재정의 가능한 인수를 구성할 수 있습니다.
다음 표에서는 cert-manager 구성 요소에 대한 재정의 가능한 인수를 설명합니다.
| 인수 | 구성요소 | 설명 |
|---|---|---|
|
| 컨트롤러 |
DNS-01 자체 검사를 쿼리할 쉼표로 구분된 이름 서버 목록을 제공합니다. 네임서버는 참고 DoH(DNS over HTTPS)는 cert-manager Operator for Red Hat OpenShift 버전 1.13.0 이상에서만 지원됩니다. |
|
| 컨트롤러 | 해당 도메인과 연결된 권한 있는 이름 서버를 확인하는 대신 재귀 이름 서버만 사용하도록 지정합니다. |
|
| 컨트롤러 |
쉼표로 구분된 < |
|
| 컨트롤러 |
지표 끝점의 호스트 및 포트를 지정합니다. 기본값은 |
|
| 컨트롤러 | 이 인수를 사용하면 주변 자격 증명을 사용하여 DNS-01 문제를 해결하도록 ACME 발급자를 구성할 수 있습니다. |
|
| 컨트롤러 | 이 인수는 TLS 인증서가 저장된 비밀의 소유자로 인증서 리소스를 설정합니다. 자세한 내용은 "인증서 제거 시 TLS 비밀번호를 자동으로 삭제"를 참조하세요. |
|
| 컨트롤러 |
ACME HTTP‑01 솔버 포드의 최대 CPU 제한을 정의합니다. 기본값은 |
|
| 컨트롤러 |
ACME HTTP‑01 솔버 포드의 최대 메모리 한도를 정의합니다. 기본값은 |
|
| 컨트롤러 |
ACME HTTP‑01 솔버 포드에 대한 최소 CPU 요청을 정의합니다. 기본값은 |
|
| 컨트롤러 |
ACME HTTP‑01 솔버 포드에 대한 최소 메모리 요청을 정의합니다. 기본값은 |
|
| 컨트롤러, 웹훅, CA 인젝터 | 로그 메시지의 자세한 정도를 결정하려면 로그 수준 자세한 정도를 지정하세요. |
9.5.1.3. cert-manager 컨트롤러에 대한 재정의 가능한 환경 변수
CertManager CR의 spec.controllerConfig.overrideEnv 필드에서 cert-manager 컨트롤러에 대한 재정의 가능한 환경 변수를 구성할 수 있습니다.
다음 표에서는 cert-manager 컨트롤러의 재정의 가능한 환경 변수를 설명합니다.
| 환경 변수 | 설명 |
|---|---|
|
| 나가는 HTTP 요청을 위한 프록시 서버. |
|
| 나가는 HTTPS 요청을 위한 프록시 서버입니다. |
|
| 프록시를 우회하는 호스트의 쉼표로 구분된 목록입니다. |
9.5.1.4. cert-manager 구성 요소에 대한 재정의 가능한 리소스 매개변수
CertManager CR의 spec.controllerConfig , spec.webhookConfig 및 spec.cainjectorConfig 섹션에서 cert-manager 구성 요소의 CPU 및 메모리 제한을 구성할 수 있습니다.
다음 표에서는 cert-manager 구성 요소에 대한 재정의 가능한 리소스 매개변수를 설명합니다.
| 필드 | 설명 |
|---|---|
|
| 구성 요소 Pod가 사용할 수 있는 최대 CPU 양을 정의합니다. |
|
| 구성 요소 Pod가 사용할 수 있는 최대 메모리 양을 정의합니다. |
|
| 스케줄러가 구성 요소 Pod에 대해 요청하는 최소 CPU 양을 정의합니다. |
|
| 스케줄러가 구성 요소 Pod에 대해 요청하는 최소 메모리 양을 정의합니다. |
9.5.1.5. cert-manager 구성 요소에 대한 재정의 가능한 스케줄링 매개변수
CertManager CR의 spec.controllerConfig , spec.webhookConfig 필드 및 spec.cainjectorConfig 섹션에서 cert-manager 구성 요소에 대한 Pod 스케줄링 제약 조건을 구성할 수 있습니다.
다음 표에서는 cert-manager 구성 요소에 대한 Pod 스케줄링 매개변수를 설명합니다.
| 필드 | 설명 |
|---|---|
|
| 특정 노드에 포드를 제한하기 위한 키-값 쌍입니다. |
|
| 오염된 노드에서 Pod를 예약하기 위한 허용 목록입니다. |
9.5.2. cert-manager Operator API에서 환경 변수를 재정의하여 cert-manager 사용자 지정
CertManager 리소스에 spec.controllerConfig 섹션을 추가하여 Red Hat OpenShift용 cert-manager Operator에 지원되는 환경 변수를 재정의할 수 있습니다.
사전 요구 사항
-
cluster-admin역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.
프로세스
다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager cluster
$ oc edit certmanager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 재정의 인수를 사용하여
spec.controllerConfig섹션을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고재정의 가능한 환경 변수에 대한 자세한 내용은 "CertManager 사용자 정의 리소스의 필드 설명"에서 "cert-manager 구성 요소에 대한 재정의 가능한 환경 변수"를 참조하세요.
- 변경 사항을 저장하고 텍스트 편집기를 종료하면 변경 사항이 적용됩니다.
검증
다음 명령을 실행하여 cert-manager 컨트롤러 포드가 다시 배포되었는지 확인하세요.
oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 39s
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 39sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 cert-manager pod의 환경 변수가 업데이트되었는지 확인하세요.
oc get pod <redeployed_cert-manager_controller_pod> -n cert-manager -o yaml
$ oc get pod <redeployed_cert-manager_controller_pod> -n cert-manager -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.5.3. cert-manager Operator API의 인수를 재정의하여 cert-manager 사용자 지정
CertManager 리소스에 spec.controllerConfig 섹션을 추가하여 Red Hat OpenShift용 cert-manager Operator에 지원되는 인수를 재정의할 수 있습니다.
사전 요구 사항
-
cluster-admin역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.
프로세스
다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager cluster
$ oc edit certmanager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 재정의 인수를 사용하여
spec.controllerConfig섹션을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 재정의 가능한 인수에 대한 자세한 내용은 "CertManager 사용자 정의 리소스의 필드 설명"에서 "cert-manager 구성 요소에 대한 재정의 가능한 인수"를 참조하세요.
- 변경 사항을 저장하고 텍스트 편집기를 종료하면 변경 사항이 적용됩니다.
검증
다음 명령을 실행하여 cert-manager 포드에 대한 인수가 업데이트되었는지 확인하세요.
oc get pods -n cert-manager -o yaml
$ oc get pods -n cert-manager -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.5.4. 인증서 제거 시 자동으로 TLS 시크릿 삭제
CertManager 리소스에 spec.controllerConfig 섹션을 추가하여 Red Hat OpenShift용 cert-manager Operator에 대해 --enable-certificate-owner-ref 플래그를 활성화할 수 있습니다. --enable-certificate-owner-ref 플래그는 TLS 인증서가 저장된 비밀의 소유자로 인증서 리소스를 설정합니다.
Red Hat OpenShift용 cert-manager Operator를 제거하거나 클러스터에서 인증서 리소스를 삭제하면 비밀이 자동으로 삭제됩니다. 인증서 TLS 비밀번호가 사용되는 위치에 따라 네트워크 연결 문제가 발생할 수 있습니다.
사전 요구 사항
-
cluster-admin역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.12.0 이상을 설치했습니다.
프로세스
다음 명령을 실행하여
인증서개체와 해당 비밀번호를 사용할 수 있는지 확인하세요.oc get certificate
$ oc get certificateCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY SECRET AGE certificate-from-clusterissuer-route53-ambient True certificate-from-clusterissuer-route53-ambient 8h
NAME READY SECRET AGE certificate-from-clusterissuer-route53-ambient True certificate-from-clusterissuer-route53-ambient 8hCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager cluster
$ oc edit certmanager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 재정의 인수를 사용하여
spec.controllerConfig섹션을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 변경 사항을 저장하고 텍스트 편집기를 종료하면 변경 사항이 적용됩니다.
검증
다음 명령을 실행하여 cert-manager 컨트롤러 포드에 대한
--enable-certificate-owner-ref플래그가 업데이트되었는지 확인하세요.oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager -o yaml
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.5.5. cert-manager 구성 요소에 대한 CPU 및 메모리 제한 덮어쓰기
Red Hat OpenShift용 cert-manager Operator를 설치한 후에는 cert-manager 컨트롤러, CA 인젝터, Webhook과 같은 cert-manager 구성 요소에 대해 Red Hat OpenShift용 cert-manager Operator API에서 CPU 및 메모리 제한을 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.12.0 이상을 설치했습니다.
프로세스
다음 명령을 입력하여 cert-manager 컨트롤러, CA 인젝터 및 Webhook의 배포가 사용 가능한지 확인하세요.
oc get deployment -n cert-manager
$ oc get deployment -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY UP-TO-DATE AVAILABLE AGE cert-manager 1/1 1 1 53m cert-manager-cainjector 1/1 1 1 53m cert-manager-webhook 1/1 1 1 53m
NAME READY UP-TO-DATE AVAILABLE AGE cert-manager 1/1 1 1 53m cert-manager-cainjector 1/1 1 1 53m cert-manager-webhook 1/1 1 1 53mCopy to Clipboard Copied! Toggle word wrap Toggle overflow CPU 및 메모리 제한을 설정하기 전에 다음 명령을 입력하여 cert-manager 컨트롤러, CA 인젝터 및 Webhook에 대한 기존 구성을 확인하세요.
oc get deployment -n cert-manager -o yaml
$ oc get deployment -n cert-manager -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cert-manager 컨트롤러, CA 인젝터 및 Webhook에 대한 CPU 및 메모리 제한을 구성하려면 다음 명령을 입력하세요.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 재정의 가능한 리소스 매개변수에 대한 자세한 내용은 "CertManager 사용자 정의 리소스의 필드 설명"에서 "cert-manager 구성 요소에 대한 재정의 가능한 리소스 매개변수"를 참조하세요.
출력 예
certmanager.operator.openshift.io/cluster patched
certmanager.operator.openshift.io/cluster patchedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
cert-manager 구성 요소의 CPU 및 메모리 제한이 업데이트되었는지 확인하세요.
oc get deployment -n cert-manager -o yaml
$ oc get deployment -n cert-manager -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.5.6. cert-manager 구성 요소에 대한 스케줄링 재정의 구성
cert-manager 컨트롤러, CA 인젝터, Webhook 등의 Red Hat OpenShift 구성 요소인 cert-manager Operator for Red Hat OpenShift API에서 Pod 스케줄링을 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.15.0 이상을 설치했습니다.
프로세스
다음 명령을 실행하여 원하는 구성 요소에 대한 Pod 일정 재정의를 구성하려면
certmanager.operator사용자 지정 리소스를 업데이트합니다.controllerConfig,webhookConfig또는cainjectorConfig섹션 아래의overrideScheduling필드를 사용하여nodeSelector및tolerations설정을 정의합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 재정의 가능한 스케줄링 매개변수에 대한 자세한 내용은 "CertManager 사용자 정의 리소스의 필드 설명"에서 "cert-manager 구성 요소에 대한 재정의 가능한 스케줄링 매개변수"를 참조하세요.
검증
cert-manager포드에 대한 포드 스케줄링 설정을 확인하세요.다음 명령을 실행하여
cert-manager네임스페이스의 배포를 검사하여 올바른nodeSelector와허용 범위가 있는지 확인하세요.oc get pods -n cert-manager -o wide
$ oc get pods -n cert-manager -o wideCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES cert-manager-58d9c69db4-78mzp 1/1 Running 0 10m 10.129.0.36 ip-10-0-1-106.ec2.internal <none> <none> cert-manager-cainjector-85b6987c66-rhzf7 1/1 Running 0 11m 10.128.0.39 ip-10-0-1-136.ec2.internal <none> <none> cert-manager-webhook-7f54b4b858-29bsp 1/1 Running 0 11m 10.129.0.35 ip-10-0-1-106.ec2.internal <none> <none>
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES cert-manager-58d9c69db4-78mzp 1/1 Running 0 10m 10.129.0.36 ip-10-0-1-106.ec2.internal <none> <none> cert-manager-cainjector-85b6987c66-rhzf7 1/1 Running 0 11m 10.128.0.39 ip-10-0-1-136.ec2.internal <none> <none> cert-manager-webhook-7f54b4b858-29bsp 1/1 Running 0 11m 10.129.0.35 ip-10-0-1-106.ec2.internal <none> <none>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 배포에 적용된
nodeSelector및허용설정을 확인하세요.oc get deployments -n cert-manager -o jsonpath='{range .items[*]}{.metadata.name}{"\n"}{.spec.template.spec.nodeSelector}{"\n"}{.spec.template.spec.tolerations}{"\n\n"}{end}'$ oc get deployments -n cert-manager -o jsonpath='{range .items[*]}{.metadata.name}{"\n"}{.spec.template.spec.nodeSelector}{"\n"}{.spec.template.spec.tolerations}{"\n\n"}{end}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
다음 명령을 실행하여
cert-manager네임스페이스에서 Pod 스케줄링 이벤트를 확인하세요.oc get events -n cert-manager --field-selector reason=Scheduled
$ oc get events -n cert-manager --field-selector reason=ScheduledCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.6. Red Hat OpenShift용 cert-manager 운영자 인증
클라우드 인증 정보를 구성하여 클러스터에서 cert-manager Operator for Red Hat OpenShift를 인증할 수 있습니다.
9.6.1. AWS에서 인증
사전 요구 사항
- Red Hat OpenShift용 cert-manager Operator 버전 1.11.1 이상을 설치했습니다.
- 클라우드 자격 증명 운영자가 민트 모드 또는 패스스루 모드에서 작동하도록 구성했습니다.
프로세스
다음과 같이
sample-credential-request.yaml과 같은CredentialsRequest리소스 YAML 파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
CredentialsRequest리소스를 만듭니다.oc create -f sample-credential-request.yaml
$ oc create -f sample-credential-request.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator에 대한 구독 객체를 업데이트합니다.
oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"aws-creds"}]}}}'$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"aws-creds"}]}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 재배포된 cert-manager 컨트롤러 포드의 이름을 가져옵니다.
oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39s
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
mountPath에 지정된 경로 아래에 마운트된 AWS 자격 증명 볼륨으로 cert-manager 컨트롤러 포드가 업데이트되었는지 확인합니다.oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yaml
$ oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.6.2. AWS 보안 토큰 서비스를 통한 인증
사전 요구 사항
-
ccoctl바이너리를 추출하고 준비했습니다. - 수동 모드에서 Cloud Credential Operator를 사용하여 AWS STS로 OpenShift Container Platform 클러스터를 구성했습니다.
프로세스
다음 명령을 실행하여
CredentialsRequest리소스 YAML 파일을 저장할 디렉토리를 만듭니다.mkdir credentials-request
$ mkdir credentials-requestCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 yaml을 적용하여
credentials-request디렉터리 아래에sample-credential-request.yaml과 같은CredentialsRequest리소스 YAML 파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
ccoctl도구를 사용하여CredentialsRequest객체를 처리합니다.ccoctl aws create-iam-roles \ --name <user_defined_name> --region=<aws_region> \ --credentials-requests-dir=<path_to_credrequests_dir> \ --identity-provider-arn <oidc_provider_arn> --output-dir=<path_to_output_dir>$ ccoctl aws create-iam-roles \ --name <user_defined_name> --region=<aws_region> \ --credentials-requests-dir=<path_to_credrequests_dir> \ --identity-provider-arn <oidc_provider_arn> --output-dir=<path_to_output_dir>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
2023/05/15 18:10:34 Role arn:aws:iam::XXXXXXXXXXXX:role/<user_defined_name>-cert-manager-aws-creds created 2023/05/15 18:10:34 Saved credentials configuration to: <path_to_output_dir>/manifests/cert-manager-aws-creds-credentials.yaml 2023/05/15 18:10:35 Updated Role policy for Role <user_defined_name>-cert-manager-aws-creds
2023/05/15 18:10:34 Role arn:aws:iam::XXXXXXXXXXXX:role/<user_defined_name>-cert-manager-aws-creds created 2023/05/15 18:10:34 Saved credentials configuration to: <path_to_output_dir>/manifests/cert-manager-aws-creds-credentials.yaml 2023/05/15 18:10:35 Updated Role policy for Role <user_defined_name>-cert-manager-aws-credsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 단계에서 사용할 수 있도록 출력에서
<aws_role_arn>을복사합니다. For example,"arn:aws:iam::XXXXXXXXXXXX:role/<user_defined_name>-cert-manager-aws-creds"다음 명령을 실행하여 서비스 계정에
eks.amazonaws.com/role-arn="<aws_role_arn>"주석을 추가합니다.oc -n cert-manager annotate serviceaccount cert-manager eks.amazonaws.com/role-arn="<aws_role_arn>"
$ oc -n cert-manager annotate serviceaccount cert-manager eks.amazonaws.com/role-arn="<aws_role_arn>"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 새로운 Pod를 생성하려면 다음 명령을 실행하여 기존 cert-manager 컨트롤러 Pod를 삭제합니다.
oc delete pods -l app.kubernetes.io/name=cert-manager -n cert-manager
$ oc delete pods -l app.kubernetes.io/name=cert-manager -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow AWS 인증 정보는 1분 이내에 새 cert-manager 컨트롤러 Pod에 적용됩니다.
검증
다음 명령을 실행하여 업데이트된 cert-manager 컨트롤러 포드의 이름을 가져옵니다.
oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 39s
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 39sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 AWS 자격 증명이 업데이트되었는지 확인하세요.
oc set env -n cert-manager po/<cert_manager_controller_pod_name> --list
$ oc set env -n cert-manager po/<cert_manager_controller_pod_name> --listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
pods/cert-manager-57f9555c54-vbcpg, container cert-manager-controller POD_NAMESPACE from field path metadata.namespace
# pods/cert-manager-57f9555c54-vbcpg, container cert-manager-controller # POD_NAMESPACE from field path metadata.namespace AWS_ROLE_ARN=XXXXXXXXXXXX AWS_WEB_IDENTITY_TOKEN_FILE=/var/run/secrets/eks.amazonaws.com/serviceaccount/tokenCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.6.3. GCP에서 인증
사전 요구 사항
- Red Hat OpenShift용 cert-manager Operator 버전 1.11.1 이상을 설치했습니다.
- 클라우드 자격 증명 운영자가 민트 모드 또는 패스스루 모드에서 작동하도록 구성했습니다.
프로세스
다음 yaml을 적용하여
sample-credential-request.yaml과 같은CredentialsRequest리소스 YAML 파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고dns.admin역할은 Google Cloud DNS 리소스를 관리하기 위한 서비스 계정에 관리자 권한을 제공합니다. cert-manager가 최소한의 권한을 가진 서비스 계정으로 실행되도록 하려면 다음 권한이 있는 사용자 지정 역할을 만들 수 있습니다.-
dns.resourceRecordSets.* -
dns.changes.* -
dns.managedZones.list
-
다음 명령을 실행하여
CredentialsRequest리소스를 만듭니다.oc create -f sample-credential-request.yaml
$ oc create -f sample-credential-request.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator에 대한 구독 객체를 업데이트합니다.
oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"gcp-credentials"}]}}}'$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"gcp-credentials"}]}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 재배포된 cert-manager 컨트롤러 포드의 이름을 가져옵니다.
oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39s
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
mountPath에 지정된 경로 아래에 마운트된 GCP 자격 증명 볼륨으로 cert-manager 컨트롤러 포드가 업데이트되었는지 확인합니다.oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yaml
$ oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.6.4. GCP 워크로드 ID로 인증
사전 요구 사항
-
ccoctl바이너리를 추출하고 준비했습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.11.1 이상을 설치했습니다.
- 수동 모드에서 Cloud Credential Operator를 사용하여 GCP 워크로드 ID로 OpenShift Container Platform 클러스터를 구성했습니다.
프로세스
다음 명령을 실행하여
CredentialsRequest리소스 YAML 파일을 저장할 디렉토리를 만듭니다.mkdir credentials-request
$ mkdir credentials-requestCopy to Clipboard Copied! Toggle word wrap Toggle overflow credentials-request디렉토리에서 다음CredentialsRequest매니페스트를 포함하는 YAML 파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고dns.admin역할은 Google Cloud DNS 리소스를 관리하기 위한 서비스 계정에 관리자 권한을 제공합니다. cert-manager가 최소한의 권한을 가진 서비스 계정으로 실행되도록 하려면 다음 권한이 있는 사용자 지정 역할을 만들 수 있습니다.-
dns.resourceRecordSets.* -
dns.changes.* -
dns.managedZones.list
-
다음 명령을 실행하여
ccoctl도구를 사용하여CredentialsRequest객체를 처리합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 명령 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 클러스터의 매니페스트 디렉토리에 생성된 비밀을 적용합니다.
ls <path_to_output_dir>/manifests/*-credentials.yaml | xargs -I{} oc apply -f {}$ ls <path_to_output_dir>/manifests/*-credentials.yaml | xargs -I{} oc apply -f {}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator에 대한 구독 객체를 업데이트합니다.
oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"gcp-credentials"}]}}}'$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"gcp-credentials"}]}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 재배포된 cert-manager 컨트롤러 포드의 이름을 가져옵니다.
oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39s
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
mountPath에 지정된 경로 아래에 마운트된 GCP 워크로드 ID 자격 증명 볼륨으로 cert-manager 컨트롤러 포드가 업데이트되었는지 확인합니다.oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yaml
$ oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.7. ACME 발급자 구성
Red Hat OpenShift용 cert-manager Operator는 Let's Encrypt 와 같은 ACME(Automated Certificate Management Environment) CA 서버를 사용하여 인증서를 발급하는 것을 지원합니다. 명시적 자격 증명은 발급자 API 개체에서 비밀 세부 정보를 지정하여 구성됩니다. 주변 자격 증명은 Issuer API 개체에 명시적으로 구성되지 않은 환경, 메타데이터 서비스 또는 로컬 파일에서 추출됩니다.
Issuer 오브젝트는 namespace 범위입니다. 동일한 네임스페이스에서만 인증서를 발행할 수 있습니다. ClusterIssuer 오브젝트를 사용하여 클러스터의 모든 네임스페이스에서 인증서를 발행할 수도 있습니다.
ClusterIssuer 오브젝트를 정의하는 YAML 파일의 예
기본적으로 앰비언트 자격 증명과 함께 ClusterIssuer 개체를 사용할 수 있습니다. 앰비언트 자격 증명과 함께 Issuer 오브젝트를 사용하려면 cert-manager 컨트롤러에 대해 --issuer-ambient-credentials 설정을 활성화해야 합니다.
9.7.1. ACME 발행자 정보
cert-manager Operator for Red Hat OpenShift의 ACME 발행자 유형은 ACME(Automated Certificate Management Environment) 인증 기관(CA) 서버를 나타냅니다. ACME CA 서버는 클라이언트가 인증서가 요청되는 도메인 이름을 소유하고 있는지 확인하는 챌린지에 의존합니다. 문제가 발생하면 cert-manager Operator for Red Hat OpenShift에서 인증서를 발행할 수 있습니다. 챌린지가 실패하면 cert-manager Operator for Red Hat OpenShift에서 인증서를 발행하지 않습니다.
Let's Encrypt 및 Internet ACME 서버에서는 프라이빗 DNS 영역이 지원되지 않습니다.
9.7.1.1. 지원되는 ACME 챌린지 유형
cert-manager Operator for Red Hat OpenShift는 ACME 발행자를 위해 다음과 같은 챌린지 유형을 지원합니다.
- HTTP-01
HTTP-01 챌린지 유형을 사용하면 도메인의 HTTP URL 끝점에 계산된 키를 제공합니다. ACME CA 서버가 URL에서 키를 가져올 수 있는 경우 도메인 소유자로 유효성을 검사할 수 있습니다.
자세한 내용은 업스트림 cert-manager 설명서의 HTTP01 을 참조하십시오.
HTTP-01을 사용하려면 Let's Encrypt 서버가 클러스터 경로에 액세스할 수 있어야 합니다. 내부 또는 프라이빗 클러스터가 프록시 뒤에 있는 경우 인증서 발행을 위한 HTTP-01 검증에 실패합니다.
HTTP-01 챌린지는 포트 80으로 제한됩니다. 자세한 내용은 HTTP-01 챌린지 (Let's Encrypt)를 참조하십시오.
- DNS-01
DNS-01 챌린지 유형을 사용하면 DNS TXT 레코드에서 계산된 키를 제공합니다. ACME CA 서버가 DNS 조회로 키를 가져올 수 있는 경우 도메인 소유자로 유효성을 검사할 수 있습니다.
자세한 내용은 업스트림 cert-manager 문서의 DNS01 을 참조하십시오.
9.7.1.2. 지원되는 DNS-01 공급자
cert-manager Operator for Red Hat OpenShift는 ACME 발행자를 위한 다음 DNS-01 공급자를 지원합니다.
- Amazon Route 53
Azure DNS
참고cert-manager Operator for Red Hat OpenShift는 Microsoft Entra ID Pod ID를 사용하여 pod에 관리 ID를 할당하도록 지원하지 않습니다.
- Google Cloud DNS
Webhook
Red Hat은 OpenShift Container Platform에서 cert-manager가 있는 외부 Webhook를 사용하여 DNS 공급자를 테스트하고 지원합니다. 다음 DNS 공급자는 OpenShift Container Platform에서 테스트 및 지원됩니다.
참고나열되지 않은 DNS 공급자를 사용하면 OpenShift Container Platform에서 작동할 수 있지만 해당 공급자는 Red Hat에서 테스트되지 않았으므로 Red Hat에서 지원되지 않습니다.
9.7.2. HTTP-01 문제를 해결하기 위한 ACME 발급자 구성
Red Hat OpenShift용 cert-manager Operator를 사용하면 HTTP-01 문제를 해결하기 위해 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 ACME CA 서버로 Let's Encrypt를 사용합니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. -
공개하고 싶은 서비스가 있습니다. 이 절차에서 서비스 이름은
sample-workload입니다.
프로세스
ACME 클러스터 발급자를 생성합니다.
ClusterIssuer객체를 정의하는 YAML 파일을 만듭니다.acme-cluster-issuer.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항:
ingressClassName을지정하지 않고 객체를 생성하는 경우 다음 명령을 사용하여 기존 ingress에 패치를 적용합니다.oc patch ingress/<ingress-name> --type=merge --patch '{"spec":{"ingressClassName":"openshift-default"}}' -n <namespace>$ oc patch ingress/<ingress-name> --type=merge --patch '{"spec":{"ingressClassName":"openshift-default"}}' -n <namespace>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
ClusterIssuer객체를 만듭니다.oc create -f acme-cluster-issuer.yaml
$ oc create -f acme-cluster-issuer.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
사용자 워크로드의 서비스를 공개하기 위해 Ingress를 생성합니다.
네임스페이스객체를 정의하는 YAML 파일을 만듭니다.namespace.yaml파일 예apiVersion: v1 kind: Namespace metadata: name: my-ingress-namespace
apiVersion: v1 kind: Namespace metadata: name: my-ingress-namespace1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Ingress에 대한 네임스페이스를 지정합니다.
다음 명령을 실행하여
네임스페이스객체를 만듭니다.oc create -f namespace.yaml
$ oc create -f namespace.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow Ingress오브젝트를 정의하는 YAML 파일을 생성합니다.ingress.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Ingress의 이름을 지정합니다.
- 2
- Ingress에 대해 생성한 네임스페이스를 지정합니다.
- 3
- 생성한 클러스터 발급자를 지정하세요.
- 4
- Ingress 클래스를 지정합니다.
- 5
<호스트 이름>을인증서와 연결할 주체 대체 이름(SAN)으로 바꾸세요. 이 이름은 인증서에 DNS 이름을 추가하는 데 사용됩니다.- 6
- 인증서를 저장하는 비밀번호를 지정합니다.
- 7
<호스트 이름>을호스트 이름으로 바꾸세요.<host_name>.<cluster_ingress_domain>구문을 사용하면*.<cluster_ingress_domain>와일드카드 DNS 레코드와 클러스터에 대한 제공 인증서를 활용할 수 있습니다. 예를 들어,apps.<cluster_base_domain> 을사용할 수 있습니다. 그렇지 않은 경우, 선택한 호스트 이름에 대한 DNS 레코드가 있는지 확인해야 합니다.- 8
- 공개할 서비스의 이름을 지정합니다. 이 예제에서는
sample-workload라는 서비스를 사용합니다.
다음 명령을 실행하여
Ingress객체를 만듭니다.oc create -f ingress.yaml
$ oc create -f ingress.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.7.3. AWS Route53에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
Red Hat OpenShift용 cert-manager Operator를 사용하면 AWS에서 명시적 자격 증명을 사용하여 DNS-01 문제를 해결하기 위한 ACME(자동화된 인증서 관리 환경) 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME 인증 기관(CA) 서버로 사용하고 Amazon Route 53을 사용하여 DNS-01 문제를 해결하는 방법을 보여줍니다.
사전 요구 사항
명시적인
accessKeyID및secretAccessKey자격 증명을 제공해야 합니다. 자세한 내용은 업스트림 cert-manager 문서의 Route53 을 참조하십시오.참고AWS에서 실행되지 않는 OpenShift Container Platform 클러스터에서 명시적 자격 증명을 사용하여 Amazon Route 53을 사용할 수 있습니다.
프로세스
선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager cluster
$ oc edit certmanager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 재정의 인수를 사용하여
spec.controllerConfig섹션을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
oc new-project <issuer_namespace>
$ oc new-project <issuer_namespace>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 AWS 자격 증명을 저장할 비밀을 만듭니다.
oc create secret generic aws-secret --from-literal=awsSecretAccessKey=<aws_secret_access_key> \ -n my-issuer-namespace$ oc create secret generic aws-secret --from-literal=awsSecretAccessKey=<aws_secret_access_key> \1 -n my-issuer-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<aws_secret_access_key>를AWS 비밀 액세스 키로 바꾸세요.
발급자를 생성합니다.
Issuer오브젝트를 정의하는 YAML 파일을 생성합니다.issuer.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 발급자의 이름을 입력하세요.
- 2
- 발급자에 대해 생성한 네임스페이스를 지정합니다.
- 3
- ACME 서버의
디렉토리엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다. - 4
<email_address>를귀하의 이메일 주소로 바꾸세요.- 5
<secret_private_key>를ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.- 6
<aws_key_id>를AWS 키 ID로 바꾸세요.- 7
<hosted_zone_id>를호스팅된 영역 ID로 바꾸세요.- 8
<region_name>을AWS 지역 이름으로 바꾸세요. 예를 들어,us-east-1.- 9
- 생성한 비밀의 이름을 지정하세요.
- 10
- AWS 비밀 액세스 키를 저장하는, 생성한 비밀의 키를 지정합니다.
다음 명령을 실행하여
Issuer객체를 만듭니다.oc create -f issuer.yaml
$ oc create -f issuer.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.7.4. AWS에서 주변 자격 증명을 사용하여 ACME 발급자 구성
Red Hat OpenShift용 cert-manager Operator를 사용하면 AWS에서 주변 자격 증명을 사용하여 DNS-01 문제를 해결하도록 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME CA 서버로 사용하고 Amazon Route 53을 사용하여 DNS-01 문제를 해결하는 방법을 보여줍니다.
사전 요구 사항
- 클러스터가 AWS 보안 토큰 서비스(STS)를 사용하도록 구성된 경우 AWS 보안 토큰 서비스 클러스터에 대한 Red Hat OpenShift용 cert-manager Operator의 클라우드 자격 증명 구성 섹션의 지침을 따랐습니다.
- 클러스터가 AWS STS를 사용하지 않는 경우 AWS에서 Red Hat OpenShift용 cert-manager Operator에 대한 클라우드 자격 증명 구성 섹션의 지침을 따랐습니다.
프로세스
선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager cluster
$ oc edit certmanager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 재정의 인수를 사용하여
spec.controllerConfig섹션을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
oc new-project <issuer_namespace>
$ oc new-project <issuer_namespace>Copy to Clipboard Copied! Toggle word wrap Toggle overflow CertManager리소스를 수정하여--issuer-ambient-credentials인수를 추가합니다.oc patch certmanager/cluster \ --type=merge \ -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'$ oc patch certmanager/cluster \ --type=merge \ -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 발급자를 생성합니다.
Issuer오브젝트를 정의하는 YAML 파일을 생성합니다.issuer.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
Issuer객체를 만듭니다.oc create -f issuer.yaml
$ oc create -f issuer.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.7.5. GCP Cloud DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
Red Hat OpenShift용 cert-manager Operator를 사용하면 GCP에서 명시적 자격 증명을 사용하여 DNS-01 문제를 해결하기 위해 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME CA 서버로 사용하고 Google CloudDNS로 DNS-01 문제를 해결하는 방법을 보여줍니다.
사전 요구 사항
Google CloudDNS에 대한 원하는 역할로 Google Cloud 서비스 계정을 설정했습니다. 자세한 내용은 업스트림 cert-manager 문서의 Google CloudDNS를 참조하세요.
참고GCP에서 실행되지 않는 OpenShift Container Platform 클러스터에서 명시적 자격 증명을 사용하여 Google CloudDNS를 사용할 수 있습니다.
프로세스
선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager cluster
$ oc edit certmanager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 재정의 인수를 사용하여
spec.controllerConfig섹션을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
oc new-project my-issuer-namespace
$ oc new-project my-issuer-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 GCP 자격 증명을 저장할 비밀을 만듭니다.
oc create secret generic clouddns-dns01-solver-svc-acct --from-file=service_account.json=<path/to/gcp_service_account.json> -n my-issuer-namespace
$ oc create secret generic clouddns-dns01-solver-svc-acct --from-file=service_account.json=<path/to/gcp_service_account.json> -n my-issuer-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 발급자를 생성합니다.
Issuer오브젝트를 정의하는 YAML 파일을 생성합니다.issuer.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 발급자의 이름을 입력하세요.
- 2
<issuer_namespace>를발급자 네임스페이스로 바꾸세요.- 3
<secret_private_key>를ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.- 4
- ACME 서버의
디렉토리엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다. - 5
<project_id>를Cloud DNS 영역이 포함된 GCP 프로젝트의 이름으로 바꿉니다.- 6
- 생성한 비밀의 이름을 지정하세요.
- 7
- GCP 비밀 액세스 키를 저장하는 데 사용한 비밀의 키를 지정합니다.
다음 명령을 실행하여
Issuer객체를 만듭니다.oc create -f issuer.yaml
$ oc create -f issuer.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.7.6. GCP에서 주변 자격 증명을 사용하여 ACME 발급자 구성
Red Hat OpenShift용 cert-manager Operator를 사용하면 GCP에서 주변 자격 증명을 사용하여 DNS-01 문제를 해결하기 위해 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME CA 서버로 사용하고 Google CloudDNS로 DNS-01 문제를 해결하는 방법을 보여줍니다.
사전 요구 사항
- 클러스터가 GCP 워크로드 ID를 사용하도록 구성된 경우 GCP 워크로드 ID를 사용하여 Red Hat OpenShift용 cert-manager Operator에 대한 클라우드 자격 증명 구성 섹션의 지침을 따랐습니다.
- 클러스터가 GCP 워크로드 ID를 사용하지 않는 경우 GCP에서 Red Hat OpenShift용 cert-manager Operator에 대한 클라우드 자격 증명 구성 섹션의 지침을 따랐습니다.
프로세스
선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager cluster
$ oc edit certmanager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 재정의 인수를 사용하여
spec.controllerConfig섹션을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
oc new-project <issuer_namespace>
$ oc new-project <issuer_namespace>Copy to Clipboard Copied! Toggle word wrap Toggle overflow CertManager리소스를 수정하여--issuer-ambient-credentials인수를 추가합니다.oc patch certmanager/cluster \ --type=merge \ -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'$ oc patch certmanager/cluster \ --type=merge \ -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 발급자를 생성합니다.
Issuer오브젝트를 정의하는 YAML 파일을 생성합니다.issuer.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
Issuer객체를 만듭니다.oc create -f issuer.yaml
$ oc create -f issuer.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.7.7. Microsoft Azure DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
Red Hat OpenShift용 cert-manager Operator를 사용하면 Microsoft Azure에서 명시적 자격 증명을 사용하여 DNS-01 문제를 해결하기 위해 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME CA 서버로 사용하고 Azure DNS로 DNS-01 문제를 해결하는 방법을 보여줍니다.
사전 요구 사항
Azure DNS에 대한 원하는 역할을 가진 서비스 주체를 설정했습니다. 자세한 내용은 업스트림 cert-manager 설명서의 Azure DNS를 참조하세요.
참고Microsoft Azure에서 실행되지 않는 OpenShift Container Platform 클러스터에 대해 이 절차를 따를 수 있습니다.
프로세스
선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager cluster
$ oc edit certmanager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 재정의 인수를 사용하여
spec.controllerConfig섹션을 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
oc new-project my-issuer-namespace
$ oc new-project my-issuer-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Azure 자격 증명을 저장할 비밀을 만듭니다.
oc create secret generic <secret_name> --from-literal=<azure_secret_access_key_name>=<azure_secret_access_key_value> \ -n my-issuer-namespace$ oc create secret generic <secret_name> --from-literal=<azure_secret_access_key_name>=<azure_secret_access_key_value> \1 2 3 -n my-issuer-namespaceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 발급자를 생성합니다.
Issuer오브젝트를 정의하는 YAML 파일을 생성합니다.issuer.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 발급자의 이름을 입력하세요.
- 2
<issuer_namespace>를발급자 네임스페이스로 바꾸세요.- 3
<secret_private_key>를ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.- 4
- ACME 서버의
디렉토리엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다. - 5
<azure_client_id>를Azure 클라이언트 ID로 바꾸세요.- 6
<secret_name>을클라이언트 비밀번호의 이름으로 바꾸세요.- 7
<azure_secret_access_key_name>을클라이언트 비밀 키 이름으로 바꿉니다.- 8
<azure_subscription_id>를Azure 구독 ID로 바꾸세요.- 9
<azure_tenant_id>를Azure 테넌트 ID로 바꾸세요.- 10
<azure_dns_zone_resource_group>을Azure DNS 영역 리소스 그룹의 이름으로 바꿉니다.- 11
<azure_dns_zone>을Azure DNS 영역의 이름으로 바꿉니다.
다음 명령을 실행하여
Issuer객체를 만듭니다.oc create -f issuer.yaml
$ oc create -f issuer.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.8. 발급자를 사용하여 인증서 구성
Red Hat OpenShift용 cert-manager Operator를 사용하면 클러스터 내부의 워크로드에 대한 인증서 갱신 및 발급과 같은 작업을 처리할 수 있을 뿐만 아니라 클러스터 외부에서 상호 작용하는 구성 요소에 대한 인증서도 관리할 수 있습니다.
9.8.1. 사용자 워크로드에 대한 인증서 생성
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator를 설치했습니다.
프로세스
- 발급자를 생성합니다. 자세한 내용은 "추가 리소스" 섹션의 "발급자 구성"을 참조하세요.
인증서 만들기:
예를 들어
certificate.yaml과 같이Certificate객체를 정의하는 YAML 파일을 만듭니다.certificate.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
인증서개체를 만듭니다.oc create -f certificate.yaml
$ oc create -f certificate.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 인증서가 생성되어 사용할 준비가 되었는지 확인하세요.
oc get certificate -w -n <issuer_namespace>
$ oc get certificate -w -n <issuer_namespace>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 인증서가
준비상태가 되면 클러스터의 워크로드가 생성된 인증서 비밀번호를 사용하여 시작할 수 있습니다.
9.8.2. API 서버에 대한 인증서 생성
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.13.0 이상을 설치했습니다.
프로세스
- 발급자를 생성합니다. 자세한 내용은 "추가 리소스" 섹션의 "발급자 구성"을 참조하세요.
인증서 만들기:
예를 들어
certificate.yaml과 같이Certificate객체를 정의하는 YAML 파일을 만듭니다.certificate.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
인증서개체를 만듭니다.oc create -f certificate.yaml
$ oc create -f certificate.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
- 인증서라는 이름의 API 서버를 추가합니다. 자세한 내용은 "추가 리소스" 섹션의 "인증서라는 API 서버 추가" 섹션을 참조하십시오.
인증서가 업데이트되었는지 확인하려면 인증서가 생성된 후 oc login 명령을 다시 실행하세요.
검증
다음 명령을 실행하여 인증서가 생성되어 사용할 준비가 되었는지 확인하세요.
oc get certificate -w -n openshift-config
$ oc get certificate -w -n openshift-configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인증서가
준비상태가 되면 클러스터의 API 서버는 생성된 인증서 비밀번호를 사용할 수 있습니다.
9.8.3. Ingress Controller에 대한 인증서 생성
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.13.0 이상을 설치했습니다.
프로세스
- 발급자를 생성합니다. 자세한 내용은 "추가 리소스" 섹션의 "발급자 구성"을 참조하세요.
인증서 만들기:
예를 들어
certificate.yaml과 같이Certificate객체를 정의하는 YAML 파일을 만듭니다.certificate.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
인증서개체를 만듭니다.oc create -f certificate.yaml
$ oc create -f certificate.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
- 기본 수신 인증서를 교체합니다. 자세한 내용은 "추가 리소스" 섹션의 "기본 수신 인증서 교체" 섹션을 참조하세요.
검증
다음 명령을 실행하여 인증서가 생성되어 사용할 준비가 되었는지 확인하세요.
oc get certificate -w -n openshift-ingress
$ oc get certificate -w -n openshift-ingressCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인증서가
준비상태가 되면 클러스터의 Ingress Controller가 생성된 인증서 비밀번호를 사용할 수 있습니다.
9.9. cert-manager Operator for Red Hat OpenShift를 사용하여 경로 보안
OpenShift Container Platform에서 경로 API는 시크릿을 통해 TLS 인증서를 참조하는 구성 가능한 옵션을 제공하도록 확장됩니다. 외부 관리 인증서를 활성화하면 수동 개입으로 인한 오류를 최소화하고, 인증서 관리 프로세스를 간소화하며, OpenShift Container Platform 라우터가 참조된 인증서를 신속하게 제공하도록 할 수 있습니다.
9.9.1. 클러스터의 경로를 보호하도록 인증서 구성
다음 단계에서는 Let's Encrypt ACME HTTP-01 챌린지 유형과 함께 cert-manager Operator for Red Hat OpenShift를 사용하여 OpenShift Container Platform 클러스터의 경로 리소스를 보호하는 프로세스를 보여줍니다.
사전 요구 사항
- Red Hat OpenShift용 cert-manager Operator 버전 1.14.0 이상을 설치했습니다.
-
routes/custom-host하위 리소스에 대한생성권한이 있는데, 이 권한은 경로를 생성하고 업데이트하는 데 사용됩니다. -
노출하려는
서비스리소스가 있습니다.
프로세스
다음 명령을 실행하여 HTTP-01 솔러를 구성할
Issuer를 만듭니다. 다른 ACME 발행자 유형의 경우 "ACME an issuer 구성"을 참조하십시오.Issuer.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
Issuer가 있는 네임스페이스를 지정합니다. 경로의 네임스페이스와 동일해야 합니다.
다음 명령을 실행하여 경로에 대한
인증서오브젝트를 생성합니다.secretName은 cert-manager에서 발행하고 관리할 TLS 시크릿을 지정하고 다음 단계에서 경로에서도 참조합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 사용하여 참조된 시크릿을 읽을 수 있는 라우터 서비스 계정 권한을 제공하는
역할을 생성합니다.oc create role secret-reader \ --verb=get,list,watch \ --resource=secrets \ --resource-name=<secret_name> \ --namespace=<namespace>
$ oc create role secret-reader \ --verb=get,list,watch \ --resource=secrets \ --resource-name=<secret_name> \1 --namespace=<namespace>2 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 사용하여 새로 생성된
Role리소스와 라우터 서비스 계정을 바인딩할RoleBinding리소스를 생성합니다.oc create rolebinding secret-reader-binding \ --role=secret-reader \ --serviceaccount=openshift-ingress:router \ --namespace=<namespace>
$ oc create rolebinding secret-reader-binding \ --role=secret-reader \ --serviceaccount=openshift-ingress:router \ --namespace=<namespace>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 시크릿과 경로가 모두 있는 네임스페이스를 지정합니다.
다음 명령을 실행하여 에지 TLS 종료와 사용자 지정 호스트 이름을 사용하는 서비스 리소스에 대한 경로를 만듭니다. 호스트 이름은 다음 단계에서
인증서리소스를 생성할 때 사용됩니다.oc create route edge <route_name> \ --service=<service_name> \ --hostname=<hostname> \ --namespace=<namespace>
$ oc create route edge <route_name> \1 --service=<service_name> \2 --hostname=<hostname> \3 --namespace=<namespace>4 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 경로의
.spec.tls.externalCertificate필드를 업데이트하여 이전에 생성된 보안을 참조하고 다음 명령을 사용하여 cert-manager에서 발급한 인증서를 사용합니다.oc patch route <route_name> \ -n <namespace> \ --type=merge \ -p '{"spec":{"tls":{"externalCertificate":{"name":"<secret_name>"}}}}'$ oc patch route <route_name> \1 -n <namespace> \2 --type=merge \ -p '{"spec":{"tls":{"externalCertificate":{"name":"<secret_name>"}}}}'3 Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 인증서가 생성되어 사용할 준비가 되었는지 확인하세요.
oc get certificate -n <namespace> oc get secret -n <namespace>
$ oc get certificate -n <namespace>1 $ oc get secret -n <namespace>2 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 라우터에서 참조된 외부 인증서를 사용하고 있는지 확인합니다. 명령은 상태 코드
200 OK와 함께 반환되어야 합니다.curl -IsS https://<hostname>
$ curl -IsS https://<hostname>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 경로의 호스트 이름을 지정합니다.
다음 명령을 실행하여 서버 인증서의
subject,subjectAltName,issuer가 모두 curl verbose 출력에서 예상대로 표시되는지 확인합니다.curl -v https://<hostname>
$ curl -v https://<hostname>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 경로의 호스트 이름을 지정합니다.
이제 경로는 cert-manager가 발행한 참조 시크릿의 인증서로 성공적으로 보호됩니다. cert-manager는 인증서의 라이프 사이클을 자동으로 관리합니다.
9.10. Red Hat OpenShift용 cert-manager Operator를 Istio-CSR과 통합
Red Hat OpenShift용 cert-manager Operator에 대한 Istio-CSR 통합은 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
Red Hat OpenShift용 cert-manager Operator는 Red Hat OpenShift Service Mesh 또는 Istio에서 워크로드 및 제어 플레인 구성 요소의 보안을 강화하는 지원을 제공합니다. 여기에는 cert-manager 발급자를 사용하여 서명, 전달 및 갱신되는 상호 TLS(mTLS)를 활성화하는 인증서에 대한 지원이 포함됩니다. Red Hat OpenShift 관리형 Istio-CSR 에이전트용 cert-manager Operator를 사용하여 Istio 워크로드와 제어 플레인 구성요소를 보호할 수 있습니다.
이 Istio-CSR 통합을 통해 Istio는 이제 Red Hat OpenShift용 cert-manager 운영자로부터 인증서를 얻을 수 있어 보안 및 인증서 관리가 간소화됩니다.
9.10.1. Red Hat OpenShift용 cert-manager Operator를 통한 Istio-CSR 에이전트 설치
9.10.1.1. Istio-CSR 기능 활성화
Red Hat OpenShift용 cert-manager Operator에서 Istio-CSR 기능을 활성화하려면 이 절차를 사용하세요.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator에 대한 배포를 업데이트하여 구성 맵을 사용합니다.
oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"UNSUPPORTED_ADDON_FEATURES","value":"IstioCSR=true"}]}}}'$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"UNSUPPORTED_ADDON_FEATURES","value":"IstioCSR=true"}]}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 배포가 완료되었는지 확인하세요.
oc rollout status deployment/cert-manager-operator-controller-manager -n cert-manager-operator
$ oc rollout status deployment/cert-manager-operator-controller-manager -n cert-manager-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
deployment "cert-manager-operator-controller-manager" successfully rolled out
deployment "cert-manager-operator-controller-manager" successfully rolled outCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.10.1.2. Istio-CSR 에이전트에 대한 루트 CA 발급자 생성
이 절차를 사용하여 Istio-CSR 에이전트에 대한 루트 CA 발급자를 만듭니다.
ACME 발급자는 지원되지 않으므로, 다른 지원되는 발급자를 사용할 수 있습니다. 자세한 내용은 "Red Hat OpenShift 발급자 공급자를 위한 cert-manager 운영자"를 참조하세요.
프로세스
발급자및인증서객체를 정의하는 YAML 파일을 만듭니다.issuer.yaml파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 발급자가 생성되어 사용할 준비가 되었는지 확인하세요.
oc get issuer istio-ca -n <istio_project_name>
$ oc get issuer istio-ca -n <istio_project_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY AGE istio-ca True 3m
NAME READY AGE istio-ca True 3mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.10.1.3. IstioCSR 사용자 정의 리소스 생성
Red Hat OpenShift용 cert-manager Operator를 통해 Istio-CSR 에이전트를 설치하려면 이 절차를 따르세요.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - Istio-CSR 기능을 활성화했습니다.
Istio-CSR 에이전트에 대한 인증서를 생성하는 데 필요한
Issuer또는ClusterIssuer리소스를 생성했습니다.참고발급자리소스를 사용하는 경우 Red Hat OpenShift Service Mesh 또는Istiod네임스페이스에발급자및인증서리소스를 만듭니다. 인증서 요청은 동일한 네임스페이스에서 생성되며, 역할 기반 액세스 제어(RBAC)가 이에 따라 구성됩니다.
프로세스
다음 명령을 실행하여 Istio-CSR을 설치하기 위한 새 프로젝트를 만듭니다. Istio-CSR을 설치하기 위한 기존 프로젝트가 있는 경우 이 단계를 건너뜁니다.
oc new-project <istio_csr_project_name>
$ oc new-project <istio_csr_project_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Red Hat OpenShift의 cert-manager Operator가 관리하는 Istio-CSR 에이전트가 Istio 워크로드와 제어 평면 인증서 서명 요청을 처리할 수 있도록
IstioCSR사용자 정의 리소스를 생성합니다.참고한 번에 하나의
IstioCSR사용자 정의 리소스(CR)만 지원됩니다. 여러 개의IstioCSRCR이 생성된 경우 하나만 활성화됩니다.IstioCSR의상태하위 리소스를 사용하여 리소스가 처리되지 않았는지 확인합니다.-
여러 개의
IstioCSRCR이 동시에 생성되는 경우 아무것도 처리되지 않습니다. -
여러 개의
IstioCSRCR이 순차적으로 생성되는 경우 첫 번째 CR만 처리됩니다. -
새로운 요청이 거부되는 것을 방지하려면 처리되지 않은
IstioCSRCR을 삭제하세요. -
Operator는
IstioCSR에 대해 생성된 객체를 자동으로 제거하지 않습니다. 활성IstioCSR리소스가 삭제되고 이전 배포를 제거하지 않고 다른 네임스페이스에 새 리소스가 생성되는 경우 여러istio-csr배포가 활성 상태로 유지될 수 있습니다. 이런 동작은 권장되지 않으며 지원되지도 않습니다.
IstioCSR객체를 정의하는 YAML 파일을 만듭니다.IstioCSRCR 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
IstioCSR사용자 정의 리소스를 만듭니다.oc create -f IstioCSR.yaml
$ oc create -f IstioCSR.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
여러 개의
검증
다음 명령을 실행하여 Istio-CSR 배포가 준비되었는지 확인하세요.
oc get deployment -n <istio_csr_project_name>
$ oc get deployment -n <istio_csr_project_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY UP-TO-DATE AVAILABLE AGE cert-manager-istio-csr 1/1 1 1 24s
NAME READY UP-TO-DATE AVAILABLE AGE cert-manager-istio-csr 1/1 1 1 24sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Istio-CSR 포드가 실행 중인지 확인하세요.
oc get pod -n <istio_csr_project_name>
$ oc get pod -n <istio_csr_project_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE cert-manager-istio-csr-5c979f9b7c-bv57w 1/1 Running 0 45s
NAME READY STATUS RESTARTS AGE cert-manager-istio-csr-5c979f9b7c-bv57w 1/1 Running 0 45sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Istio-CSR 포드가 로그에 오류를 보고하지 않는지 확인하세요.
oc -n <istio_csr_project_name> logs <istio_csr_pod_name>
$ oc -n <istio_csr_project_name> logs <istio_csr_pod_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Red Hat OpenShift Pod용 cert-manager Operator가 오류를 보고하지 않는지 확인하세요.
oc -n cert-manager-operator logs <cert_manager_operator_pod_name>
$ oc -n cert-manager-operator logs <cert_manager_operator_pod_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.10.2. Red Hat OpenShift용 cert-manager Operator가 관리하는 Istio-CSR 에이전트 제거
Red Hat OpenShift용 cert-manager Operator가 관리하는 Istio-CSR 에이전트를 제거하려면 이 절차를 사용하세요.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - Istio-CSR 기능을 활성화했습니다.
-
IstioCSR사용자 정의 리소스를 생성했습니다.
프로세스
다음 명령을 실행하여
IstioCSR사용자 정의 리소스를 제거합니다.oc -n <istio_csr_project_name> delete istiocsrs.operator.openshift.io default
$ oc -n <istio_csr_project_name> delete istiocsrs.operator.openshift.io defaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow 관련 리소스를 제거합니다.
중요Red Hat OpenShift Service Mesh 또는 Istio 구성 요소의 중단을 방지하려면 다음 리소스를 제거하기 전에 구성 요소가 Istio-CSR 서비스 또는 Istio에 대해 발급된 인증서를 참조하지 않는지 확인하세요.
다음 명령을 실행하여 클러스터 범위 리소스를 나열하고 나중에 참조할 수 있도록 나열된 리소스의 이름을 저장합니다.
oc get clusterrolebindings,clusterroles -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr"
$ oc get clusterrolebindings,clusterroles -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Istio-csr에 배포된 네임스페이스의 리소스를 나열하고 나중에 참조할 수 있도록 나열된 리소스의 이름을 저장합니다.
oc get certificate,deployments,services,serviceaccounts -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr" -n <istio_csr_project_name>
$ oc get certificate,deployments,services,serviceaccounts -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr" -n <istio_csr_project_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Red Hat OpenShift Service Mesh 또는 Istio가 배포한 네임스페이스의 리소스를 나열하고 나중에 참조할 수 있도록 나열된 리소스의 이름을 저장합니다.
oc get roles,rolebindings -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr" -n <istio_csr_project_name>
$ oc get roles,rolebindings -l "app=cert-manager-istio-csr,app.kubernetes.io/name=cert-manager-istio-csr" -n <istio_csr_project_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 단계에 나열된 각 리소스에 대해 다음 명령을 실행하여 리소스를 삭제합니다.
oc -n <istio_csr_project_name> delete <resource_type>/<resource_name>
$ oc -n <istio_csr_project_name> delete <resource_type>/<resource_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 관련된 모든 리소스가 삭제될 때까지 이 과정을 반복합니다.
9.10.3. Istio-CSR 기능이 활성화된 Red Hat OpenShift용 cert-manager Operator 업그레이드
Istio-CSR TechPreview 기능 게이트가 활성화되면 Operator를 업그레이드할 수 없습니다. 다음 사용 가능한 버전을 사용하려면 Red Hat OpenShift용 cert-manager Operator를 제거하고 모든 Istio-CSR 리소스를 제거한 후 다시 설치해야 합니다.
9.11. Red Hat OpenShift용 cert-manager 운영자 모니터링
기본적으로 Red Hat OpenShift용 cert-manager Operator는 컨트롤러, cainjector, 웹훅이라는 세 가지 핵심 구성 요소에 대한 메트릭을 제공합니다. Prometheus Operator 형식을 사용하여 OpenShift Monitoring을 구성하여 이러한 메트릭을 수집할 수 있습니다.
9.11.1. 사용자 작업 부하 모니터링 활성화
클러스터에서 사용자 워크로드 모니터링을 구성하여 사용자 정의 프로젝트에 대한 모니터링을 활성화할 수 있습니다. 자세한 내용은 "사용자 정의 프로젝트에 대한 메트릭 수집 설정"을 참조하세요.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
cluster-monitoring-config.yamlYAML 파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
ConfigMap을적용합니다.oc apply -f cluster-monitoring-config.yaml
$ oc apply -f cluster-monitoring-config.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 사용자 워크로드에 대한 모니터링 구성 요소가
openshift-user-workload-monitoring네임스페이스에서 실행 중인지 확인합니다.oc -n openshift-user-workload-monitoring get pod
$ oc -n openshift-user-workload-monitoring get podCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow prometheus-operator,prometheus-user-workload,thanos-ruler-user-workload와 같은 포드의 상태는Running이어야 합니다.
9.11.2. ServiceMonitor를 사용하여 Red Hat OpenShift 피연산자에 대한 cert-manager Operator에 대한 메트릭 수집 구성
Red Hat OpenShift 피연산자용 cert-manager 연산자는 기본적으로 /metrics 서비스 엔드포인트의 포트 9402 에서 메트릭을 노출합니다. Prometheus Operator가 사용자 정의 메트릭을 수집할 수 있도록 하는 ServiceMonitor 사용자 정의 리소스(CR)를 생성하여 cert-manager 피연산자에 대한 메트릭 수집을 구성할 수 있습니다. 자세한 내용은 "사용자 작업 부하 모니터링 구성"을 참조하세요.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. - Red Hat OpenShift용 cert-manager Operator를 설치했습니다.
- 사용자 작업 부하 모니터링을 활성화했습니다.
프로세스
ServiceMonitorCR을 만듭니다.ServiceMonitorCR을 정의하는 YAML 파일을 만듭니다.servicemonitor-cert-manager.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
ServiceMonitorCR을 만듭니다.oc apply -f servicemonitor-cert-manager.yaml
$ oc apply -f servicemonitor-cert-manager.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow ServiceMonitorCR이 생성된 후, 사용자 워크로드 Prometheus 인스턴스는 Red Hat OpenShift 피연산자에 대한 cert-manager Operator로부터 메트릭 수집을 시작합니다. 수집된 메트릭에는job="cert-manager",job="cert-manager-cainjector",job="cert-manager-webhook"이라는 레이블이 지정됩니다.
검증
- OpenShift Container Platform 웹 콘솔에서 Observe → Targets 로 이동합니다.
레이블 필터 필드에 다음 레이블을 입력하여 각 피연산자에 대한 메트릭 목표를 필터링합니다.
service=cert-manager
$ service=cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow service=cert-manager-webhook
$ service=cert-manager-webhookCopy to Clipboard Copied! Toggle word wrap Toggle overflow service=cert-manager-cainjector
$ service=cert-manager-cainjectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
cert-manager,cert-manager-webhook,cert-manager-cainjector항목의 상태 열에 '작동'이표시되는지 확인합니다.
9.11.3. Red Hat OpenShift 피연산자에 대한 cert-manager 연산자에 대한 메트릭 쿼리
클러스터 관리자 또는 모든 네임스페이스에 대한 보기 액세스 권한이 있는 사용자는 OpenShift Container Platform 웹 콘솔이나 명령줄 인터페이스(CLI)를 사용하여 Red Hat OpenShift 피연산자 메트릭에 대한 cert-manager 연산자를 쿼리할 수 있습니다. 자세한 내용은 "메트릭 액세스"를 참조하세요.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. - Red Hat OpenShift용 cert-manager Operator를 설치했습니다.
-
ServiceMonitor객체를 생성하여 모니터링 및 메트릭 수집을 활성화했습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Observe → Metrics 로 이동합니다.
쿼리 필드에 다음 PromQL 표현식을 입력하여 각 피연산자에 대한 Red Hat OpenShift 피연산자 메트릭에 대한 cert-manager 연산자를 쿼리합니다.
{job="cert-manager"}{job="cert-manager"}Copy to Clipboard Copied! Toggle word wrap Toggle overflow {job="cert-manager-webhook"}{job="cert-manager-webhook"}Copy to Clipboard Copied! Toggle word wrap Toggle overflow {job="cert-manager-cainjector"}{job="cert-manager-cainjector"}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.12. cert-manager 및 cert-manager Operator for Red Hat OpenShift의 로그 수준 구성
cert-manager 구성 요소 및 cert-manager Operator for Red Hat OpenShift 관련 문제를 해결하려면 로그 수준 세부 정보 표시를 구성할 수 있습니다.
다른 cert-manager 구성 요소에 대해 다른 로그 수준을 사용하려면 cert-manager Operator API 필드 사용자 지정을 참조하십시오.
9.12.1. cert-manager의 로그 수준 설정
cert-manager의 로그 수준을 설정하여 로그 메시지의 상세 수준을 확인할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.11.1 이상이 설치되어 있어야 합니다.
프로세스
다음 명령을 실행하여
CertManager리소스를 편집합니다.oc edit certmanager.operator cluster
$ oc edit certmanager.operator clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow spec.logLevel섹션을 편집하여 로그 수준 값을 설정합니다.apiVersion: operator.openshift.io/v1alpha1 kind: CertManager ... spec: logLevel: <log_level>
apiVersion: operator.openshift.io/v1alpha1 kind: CertManager ... spec: logLevel: <log_level>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
CertManager리소스에 유효한 로그 수준 값은Normal,Debug,Trace,TraceAll입니다. 로그 감사 및 문제가 없을 때 일반적인 작업을 수행하려면logLevel을Normal으로 설정합니다. 자세한 로그를 확인하여 마이너 문제를 해결하려면logLevel을Debug로 설정합니다. 더 자세한 로그를 확인하여 주요 문제를 해결하려면logLevel을Trace로 설정할 수 있습니다. 심각한 문제를 해결하려면logLevel을TraceAll로 설정합니다. 기본logLevel은Normal입니다.
참고TraceAll은 대량의 로그를 생성합니다.logLevel을TraceAll로 설정한 후 성능 문제가 발생할 수 있습니다.변경 사항을 저장하고 텍스트 편집기를 종료하여 변경 사항을 적용합니다.
변경 사항을 적용하면 cert-manager 구성 요소 컨트롤러, CA 인젝터 및 Webhook의 상세 정보 표시 수준이 업데이트됩니다.
9.12.2. cert-manager Operator for Red Hat OpenShift의 로그 수준 설정
cert-manager Operator for Red Hat OpenShift의 로그 수준을 설정하여 Operator 로그 메시지의 상세 수준을 확인할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.11.1 이상이 설치되어 있어야 합니다.
프로세스
다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator에 대한 구독 객체를 업데이트하여 운영자 로그에 대한 자세한 정보 수준을 제공합니다.
oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"OPERATOR_LOG_LEVEL","value":"v"}]}}}'$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"OPERATOR_LOG_LEVEL","value":"v"}]}}}'1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
v를 원하는 로그 수준 번호로 바꿉니다.v의 유효한 값의 범위는1`에서 `10`까지입니다. 기본값은2입니다.
검증
cert-manager Operator Pod가 다시 배포됩니다. 다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator의 로그 수준이 업데이트되었는지 확인하세요.
oc set env deploy/cert-manager-operator-controller-manager -n cert-manager-operator --list | grep -e OPERATOR_LOG_LEVEL -e container
$ oc set env deploy/cert-manager-operator-controller-manager -n cert-manager-operator --list | grep -e OPERATOR_LOG_LEVEL -e containerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
deployments/cert-manager-operator-controller-manager, container kube-rbac-proxy deployments/cert-manager-operator-controller-manager, container cert-manager-operator
# deployments/cert-manager-operator-controller-manager, container kube-rbac-proxy OPERATOR_LOG_LEVEL=9 # deployments/cert-manager-operator-controller-manager, container cert-manager-operator OPERATOR_LOG_LEVEL=9Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc logs명령을 실행하여 Red Hat OpenShift용 cert-manager Operator의 로그 수준이 업데이트되었는지 확인하세요.oc logs deploy/cert-manager-operator-controller-manager -n cert-manager-operator
$ oc logs deploy/cert-manager-operator-controller-manager -n cert-manager-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.13. Red Hat OpenShift용 cert-manager Operator 제거
OpenShift Container Platform에서 Red Hat OpenShift용 cert-manager Operator를 제거하려면 Operator를 제거하고 관련 리소스를 제거하세요.
9.13.1. Red Hat OpenShift용 cert-manager Operator 제거
웹 콘솔을 사용하여 Red Hat OpenShift용 cert-manager Operator를 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
- Red Hat OpenShift용 cert-manager Operator가 설치되었습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
Red Hat OpenShift Operator용 cert-manager Operator를 제거하세요.
- Operators → 설치된 Operator로 이동합니다.
-
옵션 메뉴를 클릭하세요
Red Hat OpenShift용 cert-manager Operator 항목 옆에 있는 'Operator 제거'를 클릭합니다.
- 확인 대화 상자에서 설치 제거를 클릭합니다.
9.13.2. Red Hat OpenShift 리소스에 대한 cert-manager Operator 제거
Red Hat OpenShift용 cert-manager Operator를 제거한 후에는 클러스터에서 관련 리소스를 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
cert-manager 네임스페이스에 있는
cert-manager,cainjector,webhook등cert-manager구성 요소의 배포를 제거합니다.- 프로젝트 드롭다운 메뉴를 클릭하여 사용 가능한 모든 프로젝트 목록을 보고 cert-manager 프로젝트를 선택하세요.
- 워크로드 → 배포 로 이동합니다.
- 삭제하려는 배포를 선택하세요.
- 작업 드롭다운 메뉴를 클릭하고 배포 삭제를 선택하면 확인 대화 상자가 표시됩니다.
- 배포를 삭제하려면 삭제를 클릭하세요.
또는 명령줄 인터페이스(CLI)를 사용하여 cert-manager 네임스페이스에 있는
cert-manager,cainjector및webhook과 같은cert-manager구성 요소의 배포를 삭제합니다.oc delete deployment -n cert-manager -l app.kubernetes.io/instance=cert-manager
$ oc delete deployment -n cert-manager -l app.kubernetes.io/instance=cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
선택 사항: Red Hat OpenShift용 cert-manager Operator가 설치한 사용자 정의 리소스 정의(CRD)를 제거합니다.
- 관리 → 클러스터 리소스 정의로 이동합니다.
-
CRD를 필터링하려면 이름 필드에
certmanager를입력하세요. 다음 각 CRD 옆에 있는 옵션 메뉴
를 클릭하고 사용자 정의 리소스 정의 삭제를 선택합니다.
-
자격증 -
CertificateRequest -
CertManager(operator.openshift.io) -
도전 -
ClusterIssuer -
발급자 -
주문하다
-
선택 사항:
cert-manager-operator네임스페이스를 제거합니다.- 관리 → 네임스페이스로 이동합니다.
-
cert-manager-operator 옆에 있는 옵션 메뉴
를 클릭하고 네임스페이스 삭제 를 선택합니다.
-
확인 대화 상자에서 필드에
cert-manager-operator를입력하고 삭제를 클릭합니다.
10장. 제로 트러스트 워크로드 아이덴티티 관리자
10.1. Zero Trust Workload Identity Manager 개요
Zero Trust Workload Identity Manager는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
Zero Trust Workload Identity Manager는 SPIFFE(Secure Production Identity Framework for Everyone)와 SPIFFE Runtime Environment(SPIRE)를 활용하여 분산 시스템을 위한 포괄적인 ID 관리 솔루션을 제공합니다. SPIFFE와 SPIRE는 워크로드 ID에 대한 표준화된 접근 방식을 제공하여 워크로드가 동일한 클러스터 또는 다른 환경에 있는 다른 서비스와 통신할 수 있도록 합니다.
Zero Trust Workload Identity Manager는 장기간 수동으로 관리되던 비밀을 암호학적으로 검증 가능한 ID로 대체합니다. 이는 서로 통신하는 워크로드가 주장하는 바와 일치하는지 확인하는 강력한 인증을 제공합니다. SPIRE는 SPIFFE 검증 가능 신원 문서(SVID)의 발급, 교체 및 취소를 자동화하여 비밀을 관리하는 개발자와 관리자의 업무 부담을 줄여줍니다.
SPIFFE는 온프레미스, 클라우드, 하이브리드 환경을 포함한 다양한 인프라에서 작동할 수 있습니다. SPIFFE ID는 암호화를 통해 감사 및 규정 준수의 기반을 제공합니다.
Zero Trust Workload Identity Manager 아키텍처의 구성 요소는 다음과 같습니다.
10.1.1. 스피페
SPIFFE(Secure Production Identity Framework for Everyone)는 분산 시스템에서 소프트웨어 워크로드 간의 신뢰를 구축하는 표준화된 방법을 제공합니다. SPIFFE는 SPIFFE ID라고 하는 고유한 ID를 할당합니다. 이러한 ID는 신뢰 도메인과 워크로드 식별자를 포함하는 URI(Uniform Resource Identifier)입니다.
SPIFFE ID는 SPIFFE 검증 가능 신분증(SVID)에 포함되어 있습니다. SVID는 워크로드가 다른 워크로드에 대한 신원을 확인하고 워크로드가 서로 통신할 수 있도록 하는 데 사용됩니다. 두 가지 주요 SVID 형식은 다음과 같습니다.
- X.509-SVID: SPIFFE ID가 SAN(주체 대체 이름) 필드에 포함된 X.509 인증서입니다.
-
JWT-SVID: SPIFFE ID가
하위클레임으로 포함된 JSON 웹 토큰(JWT)입니다.
자세한 내용은 SPIFFE 개요를 참조하세요.
10.1.2. SPIRE 서버
SPIRE 서버는 신뢰 도메인 내에서 SPIFFE ID를 관리하고 발급하는 역할을 합니다. 등록 항목(SPIFFE ID가 발급되어야 하는 조건을 결정하는 선택자)과 서명 키를 저장합니다. SPIRE 서버는 SPIRE 에이전트와 함께 작동하여 노드 플러그인을 통해 노드 증명을 수행합니다. 자세한 내용은 SPIRE 서버 정보를 참조하세요.
10.1.3. SPIRE 에이전트
SPIRE 에이전트는 워크로드 증명을 담당하여 SPIFFE 워크로드 API를 통해 인증을 요청할 때 워크로드가 검증된 ID를 받도록 보장합니다. 구성된 워크로드 증명자 플러그인을 사용하여 이를 달성합니다. Kubernetes 환경에서는 Kubernetes 워크로드 증명자 플러그인이 사용됩니다.
SPIRE와 SPIRE 에이전트는 노드 플러그인을 통해 노드 증명을 수행합니다. 플러그인은 에이전트가 실행 중인 노드의 ID를 확인하는 데 사용됩니다. 자세한 내용은 SPIRE 에이전트 정보를 참조하세요.
10.1.4. 증명
증명은 SPIFFE ID와 SVID가 발급되기 전에 노드와 워크로드의 신원을 확인하는 프로세스입니다. SPIRE 서버는 SPIRE 에이전트가 실행되는 워크로드와 노드의 속성을 수집한 다음, 워크로드가 등록될 때 정의된 선택기 세트와 이를 비교합니다. 비교가 성공하면 엔터티에 자격 증명이 제공됩니다. 이를 통해 신뢰 도메인 내의 합법적이고 예상되는 엔터티만 암호화된 ID를 받을 수 있습니다. SPIFFE/SPIRE의 두 가지 주요 증명 유형은 다음과 같습니다.
- 노드 증명: 노드에서 실행되는 SPIRE 에이전트가 워크로드에 대한 ID를 요청할 수 있도록 신뢰하기 전에 시스템의 머신이나 노드의 ID를 검증합니다.
- 워크로드 증명: 해당 노드의 SPIRE 에이전트가 SPIFFE ID와 SVID를 제공하기 전에 증명된 노드에서 실행되는 애플리케이션이나 서비스의 신원을 확인합니다.
자세한 내용은 증명을 참조하세요.
10.1.5. Zero Trust Workload Identity Manager 구성 요소
다음 구성 요소는 Zero Trust Workload Identity Manager의 초기 릴리스의 일부로 제공됩니다.
10.1.5.1. SPIFFE CSI 드라이버
SPIFFE 컨테이너 스토리지 인터페이스(CSI)는 워크로드 API 소켓을 포드에 전달하여 포드가 안전하게 SPIFFE 검증 가능 신원 문서(SVID)를 얻을 수 있도록 돕는 플러그인입니다. SPIFFE CSI 드라이버는 클러스터에 데몬셋으로 배포되어 각 노드에서 드라이버 인스턴스가 실행되도록 합니다. 드라이버는 Kubernetes의 임시 인라인 볼륨 기능을 사용하여 포드가 SPIFFE CSI 드라이버에서 직접 제공하는 볼륨을 요청할 수 있도록 합니다. 이를 통해 임시 저장소가 필요한 애플리케이션에서 사용이 간편해집니다.
포드가 시작되면 Kubelet은 SPIFFE CSI 드라이버를 호출하여 볼륨을 프로비저닝하고 포드의 컨테이너에 마운트합니다. SPIFFE CSI 드라이버는 SPIFFE 워크로드 API가 포함된 디렉토리를 포드에 마운트합니다. 그러면 포드 내의 애플리케이션은 Workload API와 통신하여 SVID를 얻습니다. 드라이버는 각 SVID가 고유함을 보장합니다.
10.1.5.2. SPIRE OpenID Connect Discovery Provider
SPIRE OpenID Connect Discovery Provider는 토큰 검증을 위한 오픈 ID 구성 엔드포인트와 JWKS URI를 노출하여 SPIRE에서 발급한 JWT-SVID가 표준 OpenID Connect(OIDC) 사용자와 호환되도록 하는 독립 실행형 구성 요소입니다. 특히 외부 API와 같이 OIDC 호환 토큰이 필요한 시스템과 SPIRE 기반 워크로드 ID를 통합하는 것이 필수적입니다. SPIRE는 주로 워크로드에 대한 ID를 발급하지만, SPIRE의 구성을 통해 추가적인 워크로드 관련 클레임을 JWT-SVID에 내장할 수 있습니다. 이러한 클레임은 토큰에 포함되어 OIDC 호환 클라이언트에서 검증됩니다.
10.1.5.3. SPIRE 컨트롤러 관리자
SPIRE 컨트롤러 관리자는 사용자 정의 리소스 정의(CRD)를 사용하여 워크로드 등록을 용이하게 합니다. 작업 부하 등록을 용이하게 하기 위해 SPIRE 컨트롤러 관리자는 컨트롤러를 포드와 CRD에 등록합니다. 이러한 리소스에서 변경 사항이 감지되면 작업 조정 프로세스가 트리거됩니다. 이 프로세스는 기존 포드와 CRD를 기반으로 어떤 SPIRE 항목이 존재해야 하는지 결정합니다. 조정 프로세스에서는 필요에 따라 SPIRE 서버에 항목을 생성, 업데이트, 삭제합니다.
SPIRE 컨트롤러 관리자는 SPIRE 서버와 동일한 포드에 배포되도록 설계되었습니다. 관리자는 공유 볼륨 내의 개인 UNIX 도메인 소켓을 사용하여 SPIRE 서버 API와 통신합니다.
10.1.6. Zero Trust Workload Identity Manager 기능
10.1.6.1. SPIRE 서버 및 에이전트 원격 측정
SPIRE 서버와 에이전트 원격 측정은 SPIRE 배포의 상태에 대한 통찰력을 제공합니다. 측정항목은 Prometheus Operator가 제공하는 형식을 따릅니다. 노출된 메트릭은 서버 상태 및 수명 주기, SPIRE 구성 요소 성능, 증명 및 SVID 발급, 플러그인 통계를 이해하는 데 도움이 됩니다.
10.1.7. Zero Trust Workload Identity Manager 워크플로에 대한 정보
다음은 Red Hat OpenShift 클러스터 내의 Zero Trust Workload Identity Manager의 상위 수준 워크플로입니다.
- SPIRE, SPIRE 에이전트, SPIFFE CSI 드라이버 및 SPIRE OIDC Discovery Provider 피연산자는 연관된 고객 리소스 정의(CRD)를 통해 Zero Trust Workload Identity Manager에 의해 배포되고 관리됩니다.
- 그런 다음 관련 Kubernetes 리소스에 대한 감시가 등록되고 필요한 SPIRE CRD가 클러스터에 적용됩니다.
-
클러스터라는 이름의 ZeroTrustWorkloadIdentityManager 리소스에 대한 CR은 컨트롤러에 의해 배포되고 관리됩니다. SPIRE 서버, SPIRE 에이전트, SPIFFE CSI 드라이버, SPIRE OIDC Discovery Provider를 배포하려면 각 유형의 사용자 지정 리소스를 만들고
클러스터라는 이름을 지정해야 합니다. 사용자 정의 리소스 유형은 다음과 같습니다.-
SPIRE 서버 -
SpireServer -
SPIRE 에이전트 -
SpireAgent -
SPIFFE CSI 드라이버 -
SpiffeCSIDriver -
SPIRE OIDC 검색 제공자 -
SpireOIDCDiscoveryProvider
-
SPIRE 서버 -
- 노드가 시작되면 SPIRE 에이전트가 초기화되고 SPIRE 서버에 연결됩니다.
- SPIRE 에이전트가 노드 증명 프로세스를 시작합니다. 에이전트는 레이블 이름, 네임스페이스 등 노드의 ID에 대한 정보를 수집합니다. 에이전트는 증명을 통해 수집한 정보를 SPIRE 서버에 안전하게 제공합니다.
- 그런 다음 SPIRE 서버는 이 정보를 구성된 증명 정책 및 등록 항목과 비교 평가합니다. 성공하면 서버는 에이전트 SVID와 신뢰 번들(CA 인증서)을 생성하고 이를 안전하게 SPIRE 에이전트로 다시 전송합니다.
- 워크로드는 노드에서 시작되며 보안 ID가 필요합니다. 워크로드는 에이전트의 워크로드 API에 연결하여 SVID를 요청합니다.
- SPIRE 에이전트는 요청을 수신하고 워크로드 증명을 시작하여 워크로드에 대한 정보를 수집합니다.
- SPIRE 에이전트가 정보를 수집한 후, 해당 정보는 SPIRE 서버로 전송되고 서버는 구성된 등록 항목을 확인합니다.
- SPIRE 에이전트는 워크로드 SVID와 신뢰 번들을 수신하여 워크로드에 전달합니다. 이제 작업 부하에서는 다른 SPIFFE 인식 장치에 SVID를 제공하여 통신할 수 있습니다.
10.2. Zero Trust Workload Identity Manager 릴리스 노트
Zero Trust Workload Identity Manager는 SPIFFE(Secure Production Identity Framework for Everyone)와 SPIFFE Runtime Environment(SPIRE)를 활용하여 분산 시스템을 위한 포괄적인 ID 관리 솔루션을 제공합니다. Zero Trust Workload Identity Manager는 피연산자로 실행되는 SPIRE 버전 1.12.4를 지원합니다.
이 릴리스 노트는 Zero Trust Workload Identity Manager의 개발 과정을 추적합니다.
Zero Trust Workload Identity Manager는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
10.2.1. Zero Trust Workload Identity Manager 0.2.0(기술 미리보기)
발행일: 2025-09-08
다음은 Zero Trust Workload Identity Manager에 대한 공지입니다.
이번 Zero Trust Workload Identity Manager 릴리스는 기술 미리 보기입니다.
10.2.1.1. 새로운 기능 및 개선 사항
10.2.1.1.1. 관리되는 OIDC Discovery Provider 경로에 대한 지원
-
운영자는 선택된 기본 설치에 대해
*.apps.<cluster_domain>도메인에서 OpenShift Routes를 통해SPIREOIDCDiscoveryProvider사양을 공개합니다. -
managedRoute및externalSecretRef필드가spireOidcDiscoveryProvider사양에 추가되었습니다. -
managedRoute필드는 부울이며 기본적으로true로 설정됩니다.false로 설정하면 운영자가 경로 관리를 중지하고 기존 경로는 자동으로 삭제되지 않습니다.true로 다시 설정하면 운영자가 경로 관리를 재개합니다. 경로가 존재하지 않으면 운영자는 새로운 경로를 만듭니다. 경로가 이미 존재하는 경우 충돌이 발생하면 운영자는 사용자 구성을 재정의합니다. -
externalSecretRef는oidc-discovery-provider경로 호스트에 대한 TLS 인증서가 있는 외부 관리 Secret을 참조합니다. 이것이 제공되면 경로의.Spec.TLS.ExternalCertificate필드가 채워집니다. 자세한 내용은 외부 관리 인증서를 사용하여 경로 만들기를 참조하세요.
10.2.1.1.2. SPIRE 번들에 대한 사용자 지정 인증 기관 TTL(Time-To-Live) 활성화
다음의 TTL(수명) 필드가 SPIRE 서버 인증서 관리를 위한
SpireServer사용자 정의 리소스 정의(CRD) API에 추가되었습니다.-
CAValidity(기본값: 24시간) -
DefaultX509Validity(기본값: 1시간) -
DefaultJWTValidity(기본값: 5m)
-
- 기본값은 사용자가 구성 가능한 옵션으로 서버 구성에서 대체할 수 있으며, 사용자는 이를 통해 보안 요구 사항에 따라 인증서 및 SPIFFE 검증 가능 신원 문서(SVID) 수명을 사용자 정의할 수 있는 유연성을 얻습니다.
10.2.1.1.3. 수동 사용자 구성 활성화
-
ztwim.openshift.io/create-only=true주석이 Operator API에 있으면 Operator 컨트롤러는생성 전용모드로 전환됩니다. 이렇게 하면 업데이트를 건너뛰고 리소스를 생성할 수 있습니다. 사용자는 리소스를 수동으로 업데이트하여 구성을 테스트할 수 있습니다. 이 주석은SpireServer,SpireAgents,SpiffeCSIDriver,SpireOIDCDiscoveryProvider,ZeroTrustWorkloadIdentityManager와 같은 API를 지원합니다. - 주석이 적용되면 운영자가 생성하고 관리하는 리소스를 포함한 모든 파생 리소스가 적용됩니다.
- 주석이 제거되고 포드가 다시 시작되면 운영자는 필요한 상태로 돌아가려고 시도합니다. 주석은 시작 또는 재시작 시 한 번만 적용됩니다.
10.2.1.2. 버그 수정
-
이 업데이트 이전에는
SpireServer와SpireOidcDiscoveryProvider의JwtIssuer필드가 URL일 필요가 없었기 때문에 구성에서 오류가 발생했습니다. 이 릴리스에서는 사용자가 두 사용자 지정 리소스의JwtIssuer필드에 발급자 URL을 수동으로 입력해야 합니다. (SPIRE-117)
10.2.2. Zero Trust Workload Identity Manager 0.1.0(기술 미리보기)
발행일: 2025-06-16
다음은 Zero Trust Workload Identity Manager에 대한 공지 사항입니다.
Zero Trust Workload Identity Manager의 이 초기 릴리스는 기술 미리 보기입니다. 이 버전에는 다음과 같은 알려진 제한 사항이 있습니다.
- SPIRE 페더레이션에 대한 지원이 활성화되지 않았습니다.
-
키 관리자는
디스크저장 유형만 지원합니다. - 원격 측정은 Prometheus를 통해서만 지원됩니다.
- SPIRE 서버 또는 OpenID Connect(OIDC) Discovery 공급자에 대한 고가용성(HA) 구성은 지원되지 않습니다.
-
외부 데이터 저장소는 지원되지 않습니다. 이 버전은 SPIRE에서 배포한 내부
sqlite데이터 저장소를 사용합니다. - 이 버전은 고정된 구성을 사용하여 작동합니다. 사용자 정의 구성은 허용되지 않습니다.
-
피연산자의 로그 수준은 구성할 수 없습니다. 기본값은
DEBUG`입니다.
10.3. Zero Trust Workload Identity Manager 설치
Red Hat OpenShift용 Zero Trust Workload Identity Manager는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
Zero Trust Workload Identity Manager는 기본적으로 OpenShift Container Platform에 설치되지 않습니다. 웹 콘솔이나 CLI를 사용하여 Zero Trust Workload Identity Manager를 설치할 수 있습니다.
10.3.1. Zero Trust Workload Identity Manager 설치
10.3.1.1. 웹 콘솔을 사용하여 Zero Trust Workload Identity Manager 설치
웹 콘솔을 사용하여 Zero Trust Workload Identity Manager를 설치할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
- 운영자 → OperatorHub 로 이동합니다.
- 필터 상자에 Zero Trust Workload Identity Manager를 입력합니다.
- Zero Trust Workload Identity Manager를 선택하세요
- 버전 드롭다운 목록에서 Zero Trust Workload Identity Manager 버전을 선택하고 설치를 클릭합니다.
Operator 설치 페이지에서 다음을 수행합니다.
- 필요한 경우 업데이트 채널을 업데이트하세요. 채널은 기본적으로 tech-preview-v0.1 로 설정되어 Zero Trust Workload Identity Manager의 최신 Technology Preview v0.1 릴리스를 설치합니다.
운영자에 대한 설치된 네임스페이스를 선택합니다. 기본 Operator 네임스페이스는
zero-trust-workload-identity-manager입니다.zero-trust-workload-identity-manager네임스페이스가 존재하지 않으면 자동으로 생성됩니다.업데이트 승인 전략을 선택하세요.
- 자동 전략을 사용하면 Operator 새 버전이 준비될 때 OLM(Operator Lifecycle Manager)이 자동으로 Operator를 업데이트할 수 있습니다.
- 수동 전략을 사용하려면 적절한 자격 증명을 가진 사용자가 Operator 업데이트를 승인해야 합니다.
- 설치를 클릭합니다.
검증
Operators → 설치된 Operator로 이동합니다.
-
Zero-trust-workload-identity-manager네임스페이스에 Zero Trust Workload Identity Manager가 성공 상태 로 나열되어 있는지 확인합니다. 다음 명령을 실행하여 Zero Trust Workload Identity Manager 컨트롤러 관리자 배포가 준비되고 사용 가능한지 확인하세요.
oc get deployment -l name=zero-trust-workload-identity-manager -n zero-trust-workload-identity-manager
$ oc get deployment -l name=zero-trust-workload-identity-manager -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY UP-TO-DATE AVAILABLE AGE zero-trust-workload-identity-manager-controller-manager-6c4djb 1/1 1 1 43m
NAME READY UP-TO-DATE AVAILABLE AGE zero-trust-workload-identity-manager-controller-manager-6c4djb 1/1 1 1 43mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
10.3.1.2. CLI를 사용하여 Zero Trust Workload Identity Manager 설치
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다.
프로세스
다음 명령을 실행하여
zero-trust-workload-identity-manager라는 이름의 새 프로젝트를 만듭니다.oc new-project zero-trust-workload-identity-manager
$ oc new-project zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow OperatorGroup오브젝트를 생성합니다.다음 내용을 포함하여
operatorGroup.yaml과 같은 YAML 파일을 만듭니다.예제
operatorGroup.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
OperatorGroup객체를 만듭니다.oc create -f operatorGroup.yaml
$ oc create -f operatorGroup.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
구독객체를 만듭니다.예를 들어
subscription.yaml과 같이Subscription객체를 정의하는 YAML 파일을 만듭니다.subscription.yaml예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 서브스크립션 오브젝트를 생성합니다.
oc create -f subscription.yaml
$ oc create -f subscription.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 OLM 구독이 생성되었는지 확인하세요.
oc get subscription -n zero-trust-workload-identity-manager
$ oc get subscription -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME PACKAGE SOURCE CHANNEL openshift-zero-trust-workload-identity-manager zero-trust-workload-identity-manager redhat-operators tech-preview-v0.1
NAME PACKAGE SOURCE CHANNEL openshift-zero-trust-workload-identity-manager zero-trust-workload-identity-manager redhat-operators tech-preview-v0.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Operator가 성공적으로 설치되었는지 확인하세요.
oc get csv -n zero-trust-workload-identity-manager
$ oc get csv -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME DISPLAY VERSION PHASE zero-trust-workload-identity-manager.v0.1.0 Zero Trust Workload Identity Manager 0.1.0 Succeeded
NAME DISPLAY VERSION PHASE zero-trust-workload-identity-manager.v0.1.0 Zero Trust Workload Identity Manager 0.1.0 SucceededCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Zero Trust Workload Identity Manager 컨트롤러 관리자가 준비되었는지 확인하세요.
oc get deployment -l name=zero-trust-workload-identity-manager -n zero-trust-workload-identity-manager
$ oc get deployment -l name=zero-trust-workload-identity-manager -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY UP-TO-DATE AVAILABLE AGE zero-trust-workload-identity-manager-controller-manager 1/1 1 1 43m
NAME READY UP-TO-DATE AVAILABLE AGE zero-trust-workload-identity-manager-controller-manager 1/1 1 1 43mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.4. Zero Trust Workload Identity Manager 피연산자 배포
Zero Trust Workload Identity Manager는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
각각의 사용자 정의 리소스(CR)를 생성하여 다음 피연산자를 배포할 수 있습니다. 성공적인 설치를 보장하려면 다음 순서에 따라 피연산자를 배포해야 합니다.
- SPIRE 서버
- SPIRE 에이전트
- SPIFFE CSI 드라이버
- SPIRE OIDC 검색 제공자
10.4.1. SPIRE 서버 배포
SpireServer 사용자 정의 리소스(CR)를 구성하여 SPIRE 서버를 배포하고 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. - 클러스터에 Zero Trust Workload Identity Manager를 설치했습니다.
프로세스
SpireServerCR을 만듭니다.SpireServerCR을 정의하는 YAML 파일을 만듭니다(예:SpireServer.yaml):Example
SpireServer.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- SPIFFE 식별자에 사용될 신뢰 도메인입니다.
- 2
- 클러스터의 이름입니다.
- 3
- SPIRE 서버 CA의 일반 이름입니다.
- 4
- SPIRE 서버 CA의 국가입니다.
- 5
- SPIRE Server CA의 조직입니다.
- 6
- 지속성에 사용할 볼륨 유형입니다. 유효한 옵션은
pvc및hostPath입니다. - 7
- 지속성에 사용할 볼륨 크기
- 8
- 지속성에 사용되는 액세스 모드입니다. 유효한 옵션은
ReadWriteOnce,ReadWriteOncePod및ReadWriteMany입니다. - 9
- 열려 있는 데이터베이스 연결의 최대 수입니다.
- 10
- 풀에 있는 유휴 연결의 최대 수입니다.
- 11
- 연결을 재사용할 수 있는 최대 시간입니다. 무제한 시간을 지정하려면 값을
0으로 설정하면 됩니다. - 12
- JSON 웹 토큰(JWT) 발급자 도메인. 값은 유효한 URL이어야 합니다.
다음 명령을 실행하여 구성을 적용합니다.
oc apply -f SpireServer.yaml
$ oc apply -f SpireServer.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 SPIRE 서버의 상태 저장 세트가 준비되고 사용 가능한지 확인하세요.
oc get statefulset -l app.kubernetes.io/name=server -n zero-trust-workload-identity-manager
$ oc get statefulset -l app.kubernetes.io/name=server -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY AGE spire-server 1/1 65s
NAME READY AGE spire-server 1/1 65sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SPIRE 서버 포드의 상태가
실행중인지 확인하세요.oc get po -l app.kubernetes.io/name=server -n zero-trust-workload-identity-manager
$ oc get po -l app.kubernetes.io/name=server -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE spire-server-0 2/2 Running 1 (108s ago) 111s
NAME READY STATUS RESTARTS AGE spire-server-0 2/2 Running 1 (108s ago) 111sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 영구 볼륨 클레임(PVC)이 바인딩되었는지 확인하세요.
oc get pvc -l app.kubernetes.io/name=server -n zero-trust-workload-identity-manager
$ oc get pvc -l app.kubernetes.io/name=server -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS VOLUMEATTRIBUTECLASS AGE spire-data-spire-server-0 Bound pvc-27a36535-18a1-4fde-ab6d-e7ee7d3c2744 5Gi RW0 gp3-csi <unset> 22m
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS VOLUMEATTRIBUTECLASS AGE spire-data-spire-server-0 Bound pvc-27a36535-18a1-4fde-ab6d-e7ee7d3c2744 5Gi RW0 gp3-csi <unset> 22mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.4.2. SPIRE 에이전트 배포
SpireAgent 사용자 정의 리소스(CR)를 구성하여 SPIRE 에이전트를 배포하고 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. - 클러스터에 Zero Trust Workload Identity Manager를 설치했습니다.
프로세스
SpireAgentCR을 만듭니다.SpireAgentCR을 정의하는 YAML 파일을 만듭니다(예:SpireAgent.yaml):SpireAgent.yaml예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- SPIFFE 식별자에 사용될 신뢰 도메인입니다.
- 2
- 클러스터의 이름입니다.
- 3
- 예상 서비스 계정 토큰(PSAT) Kubernetes 노드 증명자를 활성화하거나 비활성화합니다. 유효한 옵션은
true와false입니다. - 4
- Kubernetes 워크로드 증명자를 활성화하거나 비활성화합니다. 유효한 옵션은
true와false입니다. - 5
- kubelet에 대해 수행해야 할 검증 유형입니다. 유효한 옵션은
auto,hostCert,apiServerCA,skip입니다.자동옵션은 처음에는hostCert 를사용하려고 시도한 다음apiServerCA로 돌아갑니다.
다음 명령을 실행하여 구성을 적용합니다.
oc apply -f SpireAgent.yaml
$ oc apply -f SpireAgent.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 SPIRE 에이전트의 데몬 세트가 준비되고 사용 가능한지 확인하세요.
oc get daemonset -l app.kubernetes.io/name=agent -n zero-trust-workload-identity-manager
$ oc get daemonset -l app.kubernetes.io/name=agent -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE spire-agent 3 3 3 3 3 <none> 10m
NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE spire-agent 3 3 3 3 3 <none> 10mCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SPIRE Agent 포드의 상태가
실행중인지 확인하세요.oc get po -l app.kubernetes.io/name=agent -n zero-trust-workload-identity-manager
$ oc get po -l app.kubernetes.io/name=agent -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE spire-agent-dp4jb 1/1 Running 0 12m spire-agent-nvwjm 1/1 Running 0 12m spire-agent-vtvlk 1/1 Running 0 12m
NAME READY STATUS RESTARTS AGE spire-agent-dp4jb 1/1 Running 0 12m spire-agent-nvwjm 1/1 Running 0 12m spire-agent-vtvlk 1/1 Running 0 12mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.4.3. SPIFFE 컨테이너 스토리지 인터페이스 드라이버 배포
SpiffeCSIDriver 사용자 정의 리소스(CR)를 구성하여 SPIFFE 컨테이너 스토리지 인터페이스(CSI) 드라이버를 배포하고 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. - 클러스터에 Zero Trust Workload Identity Manager를 설치했습니다.
프로세스
SpiffeCSIDriverCR을 만듭니다.SpiffeCSIDriverCR 객체를 정의하는 YAML 파일을 만듭니다(예:SpiffeCSIDriver.yaml):SpiffeCSIDriver.yaml예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- SPIRE 에이전트에 대한 UNIX 소켓 경로입니다.
다음 명령을 실행하여 구성을 적용합니다.
oc apply -f SpiffeCSIDriver.yaml
$ oc apply -f SpiffeCSIDriver.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 SPIFFE CSI 드라이버의 데몬 세트가 준비되고 사용 가능한지 확인하세요.
oc get daemonset -l app.kubernetes.io/name=spiffe-csi-driver -n zero-trust-workload-identity-manager
$ oc get daemonset -l app.kubernetes.io/name=spiffe-csi-driver -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE spire-spiffe-csi-driver 3 3 3 3 3 <none> 114s
NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE spire-spiffe-csi-driver 3 3 3 3 3 <none> 114sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SPIFFE 컨테이너 스토리지 인터페이스(CSI) 드라이버 포드의 상태가
실행중인지 확인하세요.oc get po -l app.kubernetes.io/name=spiffe-csi-driver -n zero-trust-workload-identity-manager
$ oc get po -l app.kubernetes.io/name=spiffe-csi-driver -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE spire-spiffe-csi-driver-gpwcp 2/2 Running 0 2m37s spire-spiffe-csi-driver-rrbrd 2/2 Running 0 2m37s spire-spiffe-csi-driver-w6s6q 2/2 Running 0 2m37s
NAME READY STATUS RESTARTS AGE spire-spiffe-csi-driver-gpwcp 2/2 Running 0 2m37s spire-spiffe-csi-driver-rrbrd 2/2 Running 0 2m37s spire-spiffe-csi-driver-w6s6q 2/2 Running 0 2m37sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.4.4. SPIRE OpenID Connect Discovery Provider 배포
SpireOIDCDiscoveryProvider 사용자 정의 리소스(CR)를 구성하여 SPIRE OpenID Connect(OIDC) Discovery Provider를 배포하고 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. - 클러스터에 Zero Trust Workload Identity Manager를 설치했습니다.
프로세스
SpireOIDCDiscoveryProviderCR을 만듭니다.SpireOIDCDiscoveryProviderCR을 정의하는 YAML 파일을 만듭니다(예:SpireOIDCDiscoveryProvider.yaml):SpireOIDCDiscoveryProvider.yaml예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 구성을 적용합니다.
oc apply -f SpireOIDCDiscoveryProvider.yaml
$ oc apply -f SpireOIDCDiscoveryProvider.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 OIDC Discovery Provider의 배포가 준비되고 사용 가능한지 확인하세요.
oc get deployment -l app.kubernetes.io/name=spiffe-oidc-discovery-provider -n zero-trust-workload-identity-manager
$ oc get deployment -l app.kubernetes.io/name=spiffe-oidc-discovery-provider -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY UP-TO-DATE AVAILABLE AGE spire-spiffe-oidc-discovery-provider 1/1 1 1 2m58s
NAME READY UP-TO-DATE AVAILABLE AGE spire-spiffe-oidc-discovery-provider 1/1 1 1 2m58sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 OIDC Discovery Provider 포드의 상태가
실행중인지 확인하세요.oc get po -l app.kubernetes.io/name=spiffe-oidc-discovery-provider -n zero-trust-workload-identity-manager
$ oc get po -l app.kubernetes.io/name=spiffe-oidc-discovery-provider -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE spire-spiffe-oidc-discovery-provider-64586d599f-lcc94 2/2 Running 0 7m15s
NAME READY STATUS RESTARTS AGE spire-spiffe-oidc-discovery-provider-64586d599f-lcc94 2/2 Running 0 7m15sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5. Zero Trust Workload Identity Manager OIDC 페더레이션
Zero Trust Workload Identity Manager는 SPIRE 서버가 OIDC 공급자 역할을 할 수 있도록 하여 OpenID Connect(OIDC)와 통합됩니다. 이를 통해 워크로드는 로컬 SPIRE 에이전트에서 검증 가능한 JSON 웹 토큰(SPIFFE 검증 가능 신원 문서(JWT-SVID))을 요청하고 수신할 수 있습니다. 클라우드 공급자와 같은 외부 시스템은 SPIRE 서버에서 노출된 OIDC 검색 엔드포인트를 사용하여 공개 키를 검색할 수 있습니다.
Red Hat OpenShift용 Zero Trust Workload Identity Manager는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
다음 공급자는 SPIRE OIDC 페더레이션과 호환되는 것으로 검증되었습니다.
- Azure Entra ID
- Vault
10.5.1. Entra ID OpenID Connect에 대하여
Entra ID는 사용자 관리와 액세스 제어를 중앙에서 관리하는 클라우드 기반 ID 및 액세스 관리 서비스입니다. Entra ID는 사용자 신원을 확인하고 애플리케이션에 ID 토큰을 발급하는 신원 제공자 역할을 합니다. 이 토큰에는 필수적인 사용자 정보가 포함되어 있어 애플리케이션이 사용자의 자격 증명을 관리하지 않고도 사용자가 누구인지 확인할 수 있습니다.
Entra ID OpenID Connect(OIDC)를 SPIRE와 통합하면 워크로드에 자동화된 단기 암호화 ID가 제공됩니다. SPIRE에서 발급한 ID는 Entra ID로 전송되어 정적 비밀 없이 서비스를 안전하게 인증합니다.
10.5.1.1. 관리되는 OIDC 검색 공급자 경로에 대한 외부 인증서 구성
관리되는 경로는 외부 경로 인증서 기능을 사용하여 tls.externalCertificate 필드를 외부에서 관리되는 TLS(전송 계층 보안) 비밀의 이름으로 설정합니다.
사전 요구 사항
- Zero Trust Workload Identity Manager 0.2.0 이상을 설치했습니다.
- 클러스터에 SPIRE 서버, SPIRE 에이전트, SPIFFEE CSI 드라이버 및 SPIRE OIDC Discovery Provider 피연산자를 배포했습니다.
- Red Hat OpenShift용 cert-manager Operator를 설치했습니다. 자세한 내용은 Red Hat OpenShift용 cert-manager Operator 설치를 참조하세요 .
-
공개적으로 신뢰할 수 있는 CA 서비스로 구성된
ClusterIssuer또는Issuer를생성했습니다. 예를 들어, "Let's Encrypt ACME" 서비스를 갖춘 ACME(자동화된 인증서 관리 환경) 유형발급자입니다. 자세한 내용은 ACME 발급자 구성을 참조하세요.
프로세스
다음 명령을 실행하여 참조된 비밀을 읽을 수 있는 라우터 서비스 계정 권한을 제공하는
역할을만듭니다.oc create role secret-reader \ --verb=get,list,watch \ --resource=secrets \ --resource-name=$TLS_SECRET_NAME \ -n zero-trust-workload-identity-manager
$ oc create role secret-reader \ --verb=get,list,watch \ --resource=secrets \ --resource-name=$TLS_SECRET_NAME \ -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 새로 생성된 Role 리소스와 라우터 서비스 계정을 바인딩하는
RoleBinding리소스를 만듭니다.oc create rolebinding secret-reader-binding \ --role=secret-reader \ --serviceaccount=openshift-ingress:router \ -n zero-trust-workload-identity-manager
$ oc create rolebinding secret-reader-binding \ --role=secret-reader \ --serviceaccount=openshift-ingress:router \ -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 이전 단계에서 생성된 비밀을 참조하도록
SpireOIDCDIscoveryProvider사용자 지정 리소스(CR) 개체를 구성합니다.oc patch SpireOIDCDiscoveryProvider cluster --type=merge -p='
$ oc patch SpireOIDCDiscoveryProvider cluster --type=merge -p=' spec: externalSecretRef: ${TLS_SECRET_NAME} 'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
SpireOIDCDiscoveryProviderCR에서 다음 명령을 실행하여ManageRouteReady조건이True로 설정되었는지 확인합니다.oc wait --for=jsonpath='{.status.conditions[?(@.type=="ManagedRouteReady")].status}'=True SpireOIDCDiscoveryProvider/cluster --timeout=120s$ oc wait --for=jsonpath='{.status.conditions[?(@.type=="ManagedRouteReady")].status}'=True SpireOIDCDiscoveryProvider/cluster --timeout=120sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 HTTPS를 통해 OIDC 엔드포인트에 안전하게 액세스할 수 있는지 확인하세요.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.1.2. 관리되는 경로 비활성화
OIDC Discovery Provider 서비스 노출 동작을 완벽하게 제어하려면 요구 사항에 따라 관리되는 경로를 비활성화할 수 있습니다.
프로세스
OIDC Discovery Provider를 수동으로 구성하려면 다음 명령을 실행하여
managedRoute를false로 설정합니다.oc patch SpireOIDCDiscoveryProvider cluster --type=merge -p='
$ oc patch SpireOIDCDiscoveryProvider cluster --type=merge -p=' spec: managedRoute: "false"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.1.3. Microsoft Azure에서 Entra ID 사용
Entra ID 구성이 완료되면 Azure에서 작동하도록 Entra ID를 설정할 수 있습니다.
사전 요구 사항
- 공개적으로 신뢰할 수 있는 CA에서 TLS 인증서를 제공하도록 SPIRE OIDC Discovery Provider Route를 구성했습니다.
프로세스
다음 명령을 실행하여 Azure에 로그인합니다.
az login
$ az loginCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Azure 구독 및 테넌트에 대한 변수를 구성합니다.
export SUBSCRIPTION_ID=$(az account list --query "[?isDefault].id" -o tsv)
$ export SUBSCRIPTION_ID=$(az account list --query "[?isDefault].id" -o tsv)1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow export TENANT_ID=$(az account list --query "[?isDefault].tenantId" -o tsv)
$ export TENANT_ID=$(az account list --query "[?isDefault].tenantId" -o tsv)1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow export LOCATION=centralus
$ export LOCATION=centralus1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 리소스 변수 이름을 정의합니다.
export NAME=ztwim
$ export NAME=ztwim1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow export RESOURCE_GROUP="${NAME}-rg"$ export RESOURCE_GROUP="${NAME}-rg"1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow export STORAGE_ACCOUNT="${NAME}storage"$ export STORAGE_ACCOUNT="${NAME}storage"1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow export STORAGE_CONTAINER="${NAME}storagecontainer"$ export STORAGE_CONTAINER="${NAME}storagecontainer"1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow export USER_ASSIGNED_IDENTITY_NAME="${NAME}-identity"$ export USER_ASSIGNED_IDENTITY_NAME="${NAME}-identity"1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 리소스 그룹을 만듭니다.
az group create \ --name "${RESOURCE_GROUP}" \ --location "${LOCATION}"$ az group create \ --name "${RESOURCE_GROUP}" \ --location "${LOCATION}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.1.4. Azure Blob 저장소 구성
콘텐츠를 저장하는 데 사용할 새로운 저장소 계정을 만들어야 합니다.
프로세스
다음 명령을 실행하여 콘텐츠를 저장하는 데 사용되는 새 저장소 계정을 만듭니다.
az storage account create \ --name ${STORAGE_ACCOUNT} \ --resource-group ${RESOURCE_GROUP} \ --location ${LOCATION} \ --encryption-services blob$ az storage account create \ --name ${STORAGE_ACCOUNT} \ --resource-group ${RESOURCE_GROUP} \ --location ${LOCATION} \ --encryption-services blobCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 새로 생성된 스토리지 계정의 스토리지 ID를 얻습니다.
export STORAGE_ACCOUNT_ID=$(az storage account show -n ${STORAGE_ACCOUNT} -g ${RESOURCE_GROUP} --query id --out tsv)$ export STORAGE_ACCOUNT_ID=$(az storage account show -n ${STORAGE_ACCOUNT} -g ${RESOURCE_GROUP} --query id --out tsv)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 새로 만든 스토리지 계정 내에 스토리지 컨테이너를 만들어 BLOB 저장을 지원하는 위치를 제공합니다.
az storage container create \ --account-name ${STORAGE_ACCOUNT} \ --name ${STORAGE_CONTAINER} \ --auth-mode login$ az storage container create \ --account-name ${STORAGE_ACCOUNT} \ --name ${STORAGE_CONTAINER} \ --auth-mode loginCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.1.5. Azure 사용자 관리 ID 구성
새로운 사용자 관리 ID를 만든 다음, 사용자 관리 ID와 연관된 서비스 주체의 클라이언트 ID를 얻어야 합니다.
프로세스
다음 명령을 실행하여 새로운 사용자 관리 ID를 만든 후 해당 사용자 관리 ID와 연관된 서비스 주체의 클라이언트 ID를 가져옵니다.
az identity create \ --name ${USER_ASSIGNED_IDENTITY_NAME} \ --resource-group ${RESOURCE_GROUP} export IDENTITY_CLIENT_ID=$(az identity show --resource-group "${RESOURCE_GROUP}" --name "${USER_ASSIGNED_IDENTITY_NAME}" --query 'clientId' -otsv)$ az identity create \ --name ${USER_ASSIGNED_IDENTITY_NAME} \ --resource-group ${RESOURCE_GROUP} $ export IDENTITY_CLIENT_ID=$(az identity show --resource-group "${RESOURCE_GROUP}" --name "${USER_ASSIGNED_IDENTITY_NAME}" --query 'clientId' -otsv)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Azure 사용자가 할당한 관리 ID의
CLIENT_ID를검색하고 환경 변수로 저장합니다.export IDENTITY_CLIENT_ID=$(az identity show --resource-group "${RESOURCE_GROUP}" --name "${USER_ASSIGNED_IDENTITY_NAME}" --query 'clientId' -otsv)$ export IDENTITY_CLIENT_ID=$(az identity show --resource-group "${RESOURCE_GROUP}" --name "${USER_ASSIGNED_IDENTITY_NAME}" --query 'clientId' -otsv)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 사용자 관리 ID와 연결된 서비스 주체에 역할을 연결합니다.
az role assignment create \ --role "Storage Blob Data Contributor" \ --assignee "${IDENTITY_CLIENT_ID}" \ --scope ${STORAGE_ACCOUNT_ID}$ az role assignment create \ --role "Storage Blob Data Contributor" \ --assignee "${IDENTITY_CLIENT_ID}" \ --scope ${STORAGE_ACCOUNT_ID}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.1.6. 데모 애플리케이션 만들기
데모 애플리케이션을 사용하면 전체 시스템이 제대로 작동하는지 확인할 수 있습니다.
프로세스
데모 애플리케이션을 만들려면 다음 단계를 완료하세요.
다음 명령을 실행하여 애플리케이션 이름과 네임스페이스를 설정합니다.
export APP_NAME=workload-app
$ export APP_NAME=workload-appCopy to Clipboard Copied! Toggle word wrap Toggle overflow export APP_NAMESPACE=demo
$ export APP_NAMESPACE=demoCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 네임스페이스를 생성합니다.
oc create namespace $APP_NAMESPACE
$ oc create namespace $APP_NAMESPACECopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 애플리케이션 Secret을 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.1.7. 워크로드 애플리케이션 배포
데모 애플리케이션이 생성되면,
사전 요구 사항
- 데모 애플리케이션이 생성되어 배포되었습니다.
프로세스
애플리케이션을 배포하려면 제공된 명령 블록 전체를 복사하여 터미널에 직접 붙여넣으세요. Enter 키를 누르세요.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여
workload-apppod가 성공적으로 실행되는지 확인하세요.oc get pods -n $APP_NAMESPACE
$ oc get pods -n $APP_NAMESPACECopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE workload-app-5f8b9d685b-abcde 1/1 Running 0 60s
NAME READY STATUS RESTARTS AGE workload-app-5f8b9d685b-abcde 1/1 Running 0 60sCopy to Clipboard Copied! Toggle word wrap Toggle overflow SPIFFE JWT 토큰(SVID-JWT)을 검색합니다.
다음 명령을 실행하여 포드 이름을 동적으로 가져옵니다.
POD_NAME=$(oc get pods -n $APP_NAMESPACE -l app=$APP_NAME -o jsonpath='{.items[0].metadata.name}')$ POD_NAME=$(oc get pods -n $APP_NAMESPACE -l app=$APP_NAME -o jsonpath='{.items[0].metadata.name}')Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 포드 내부에서 스크립트를 실행합니다.
oc exec -it $POD_NAME -n $APP_NAMESPACE -- \ /opt/app-root/src/get-spiffe-token.py -a "api://AzureADTokenExchange"
$ oc exec -it $POD_NAME -n $APP_NAMESPACE -- \ /opt/app-root/src/get-spiffe-token.py -a "api://AzureADTokenExchange"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.1.8. SPIFFE ID 페더레이션을 사용하여 Azure 구성
SPIFFE ID 페더레이션을 사용하여 Azure를 구성하면 데모 애플리케이션에 암호 없이 자동으로 인증할 수 있습니다.
프로세스
다음 명령을 실행하여 사용자 관리 ID와 워크로드 애플리케이션과 연결된 SPIFFE ID 간의 ID를 연합합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.1.9. 애플리케이션 워크로드가 Azure Blob Storage의 콘텐츠에 액세스할 수 있는지 확인
애플리케이션 워크로드가 Azure Blob Storage에 액세스할 수 있는지 확인할 수 있습니다.
사전 요구 사항
- Azure Blob Storage가 생성되었습니다.
프로세스
다음 명령을 실행하여 SPIFFE 워크로드 API에서 JWT 토큰을 검색합니다.
oc rsh -n $APP_NAMESPACE deployment/$APP_NAME
$ oc rsh -n $APP_NAMESPACE deployment/$APP_NAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
TOKEN이라는 환경 변수를 만들고 내보냅니다.export TOKEN=$(/opt/app-root/src/get-spiffe-token.py --audience=$AZURE_AUDIENCE)
$ export TOKEN=$(/opt/app-root/src/get-spiffe-token.py --audience=$AZURE_AUDIENCE)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Pod에 포함된 Azure CLI에 로그인합니다.
az login --service-principal \ -t ${AZURE_TENANT_ID} \ -u ${AZURE_CLIENT_ID} \ --federated-token ${TOKEN}$ az login --service-principal \ -t ${AZURE_TENANT_ID} \ -u ${AZURE_CLIENT_ID} \ --federated-token ${TOKEN}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 애플리케이션 워크로드 포드로 새 파일을 만들고 Blob Storage에 파일을 업로드합니다.
echo “Hello from OpenShift” > openshift-spire-federated-identities.txt
$ echo “Hello from OpenShift” > openshift-spire-federated-identities.txtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Azure Blog Storage에 파일을 업로드합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 포함된 파일을 나열하여 파일이 성공적으로 업로드되었는지 확인하세요.
az storage blob list \ --account-name ${BLOB_STORE_ACCOUNT} \ --container-name ${BLOB_STORE_CONTAINER} \ --auth-mode login \ -o table$ az storage blob list \ --account-name ${BLOB_STORE_ACCOUNT} \ --container-name ${BLOB_STORE_CONTAINER} \ --auth-mode login \ -o tableCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.2. Vault OpenID Connect 소개
SPIRE를 활용한 Vault OpenID Connect(OIDC)는 Vault가 신뢰할 수 있는 OIDC 공급자로 SPIRE를 사용하는 안전한 인증 방법을 생성합니다. 워크로드는 고유한 SPIFFE ID를 가진 로컬 SPIRE 에이전트에 JWT-SVID를 요청합니다. 그런 다음 워크로드는 이 토큰을 Vault에 제시하고 Vault는 이를 SPIRE 서버의 공개 키와 비교하여 검증합니다. 모든 조건이 충족되면 Vault는 워크로드에 단기 Vault 토큰을 발급하고, 워크로드는 이제 이 토큰을 사용하여 비밀에 액세스하고 Vault 내에서 작업을 수행할 수 있습니다.
10.5.2.1. Vault 설치
Vault를 OIDC로 사용하려면 먼저 Vault를 설치해야 합니다.
사전 요구 사항
- 경로를 구성합니다. 자세한 내용은 경로 구성을 참조하세요.
- Helm이 설치되었습니다.
- Vault API의 출력을 쉽게 읽을 수 있는 명령줄 JSON 프로세서입니다.
- HashiCorp Helm 저장소가 추가되었습니다.
프로세스
vault-helm-value.yaml파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow helm install명령을 실행합니다:helm install vault hashicorp/vault \ --create-namespace -n vault \ --values ./vault-helm-value.yaml
$ helm install vault hashicorp/vault \ --create-namespace -n vault \ --values ./vault-helm-value.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Vault 서비스를 노출합니다.
oc expose service vault -n vault
$ oc expose service vault -n vaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow VAULT_ADDR환경 변수를 설정하여 새 경로에서 호스트 이름을 검색한 다음 다음 명령을 실행하여 내보냅니다.export VAULT_ADDR="http://$(oc get route vault -n vault -o jsonpath='{.spec.host}')"$ export VAULT_ADDR="http://$(oc get route vault -n vault -o jsonpath='{.spec.host}')"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고TLS가 비활성화되어 있으므로
http://가 앞에 붙습니다.
검증
Vault 인스턴스가 실행 중인지 확인하려면 다음 명령을 실행하세요.
curl -s $VAULT_ADDR/v1/sys/health | jq
$ curl -s $VAULT_ADDR/v1/sys/health | jqCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.2.2. Vault 초기화 및 봉인 해제
새로 설치된 금고가 봉쇄되었습니다. 즉, 다른 모든 암호화 키를 보호하는 기본 암호화 키는 시작 시 서버 메모리에 로드되지 않습니다. 봉인을 해제하려면 Vault를 초기화해야 합니다.
Vault 서버를 초기화하는 단계는 다음과 같습니다.
- Vault 초기화 및 봉인 해제
- 키-값(KV) 비밀 엔진을 활성화하고 테스트 비밀을 저장합니다.
- SPIRE를 사용하여 JSON 웹 토큰(JWT) 인증 구성
- 데모 애플리케이션 배포
- 비밀을 인증하고 검색합니다.
사전 요구 사항
- Vault가 실행 중인지 확인하세요.
- Vault가 초기화되지 않았는지 확인하세요. Vault 서버는 한 번만 초기화할 수 있습니다.
프로세스
다음 명령을 실행하여
볼트포드에서 원격 셸을 엽니다.oc rsh -n vault statefulset/vault
$ oc rsh -n vault statefulset/vaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Vault를 초기화하고 봉인 해제 키와 루트 토큰을 받으세요.
vault operator init -key-shares=1 -key-threshold=1 -format=json
$ vault operator init -key-shares=1 -key-threshold=1 -format=jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 이전 명령에서 받은 봉인 해제 키와 루트 토큰을 내보냅니다.
export UNSEAL_KEY=<Your-Unseal-Key>
$ export UNSEAL_KEY=<Your-Unseal-Key>Copy to Clipboard Copied! Toggle word wrap Toggle overflow export ROOT_TOKEN=<Your-Root-Token>
$ export ROOT_TOKEN=<Your-Root-Token>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 봉인 해제 키를 사용하여 Vault 봉인을 해제하세요.
vault operator unseal -format=json $UNSEAL_KEY
$ vault operator unseal -format=json $UNSEAL_KEYCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
exit 를입력하여 포드에서 나가세요.
검증
Vault Pod가 준비되었는지 확인하려면 다음 명령을 실행하세요.
oc get pod -n vault
$ oc get pod -n vaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE vault-0 1/1 Running 0 65d
NAME READY STATUS RESTARTS AGE vault-0 1/1 Running 0 65dCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.2.3. 키-값 비밀 엔진 활성화 및 테스트 비밀 저장
키-값 비밀 엔진을 활성화하면 자격 증명을 관리하기 위한 안전하고 중앙화된 위치를 구축할 수 있습니다.
사전 요구 사항
- Vault가 초기화되고 봉인이 해제되었는지 확인하세요.
프로세스
다음 명령을 실행하여
Vault포드에서 다른 셸 세션을 엽니다.oc rsh -n vault statefulset/vault
$ oc rsh -n vault statefulset/vaultCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 새로운 세션에서 루트 토큰을 다시 내보내고 다음 명령을 실행하여 로그인하세요.
export ROOT_TOKEN=<Your-Root-Token>
$ export ROOT_TOKEN=<Your-Root-Token>Copy to Clipboard Copied! Toggle word wrap Toggle overflow vault login "${ROOT_TOKEN}"$ vault login "${ROOT_TOKEN}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
secret/경로에서 KV secrets 엔진을 활성화하고 테스트 secrets를 만듭니다.export NAME=ztwim
$ export NAME=ztwimCopy to Clipboard Copied! Toggle word wrap Toggle overflow vault secrets enable -path=secret kv
$ vault secrets enable -path=secret kvCopy to Clipboard Copied! Toggle word wrap Toggle overflow vault kv put secret/$NAME version=v0.1.0
$ vault kv put secret/$NAME version=v0.1.0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
비밀이 올바르게 저장되었는지 확인하려면 다음 명령을 실행하세요.
vault kv get secret/$NAME
$ vault kv get secret/$NAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.2.4. SPIRE를 사용하여 JSON 웹 토큰 인증 구성
SPIFFE ID를 사용하여 애플리케이션이 Vault에 안전하게 로그인할 수 있도록 JSON 웹 토큰(JWT) 인증을 설정해야 합니다.
사전 요구 사항
- Vault가 초기화되고 봉인이 해제되었는지 확인하세요.
- 테스트 비밀이 키-값 비밀 엔진에 저장되어 있는지 확인하세요.
프로세스
로컬 컴퓨터에서 SPIRE 인증 기관(CA) 번들을 검색하여 다음 명령을 실행하여 파일에 저장합니다.
oc get cm -n zero-trust-workload-identity-manager spire-bundle -o jsonpath='{ .data.bundle\.crt }' > oidc_provider_ca.pem$ oc get cm -n zero-trust-workload-identity-manager spire-bundle -o jsonpath='{ .data.bundle\.crt }' > oidc_provider_ca.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow Vault 포드 셸로 돌아와서 임시 파일을 만들고 다음 명령을 실행하여
oidc_provider_ca.pem의 내용을 붙여넣습니다.cat << EOF > /tmp/oidc_provider_ca.pem -----BEGIN CERTIFICATE----- <Paste-Your-Certificate-Content-Here> -----END CERTIFICATE----- EOF
$ cat << EOF > /tmp/oidc_provider_ca.pem -----BEGIN CERTIFICATE----- <Paste-Your-Certificate-Content-Here> -----END CERTIFICATE----- EOFCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 JWT 구성에 필요한 환경 변수를 설정합니다.
export APP_DOMAIN=<Your-App-Domain>
$ export APP_DOMAIN=<Your-App-Domain>Copy to Clipboard Copied! Toggle word wrap Toggle overflow export JWT_ISSUER_ENDPOINT="oidc-discovery.$APP_DOMAIN"
$ export JWT_ISSUER_ENDPOINT="oidc-discovery.$APP_DOMAIN"Copy to Clipboard Copied! Toggle word wrap Toggle overflow export OIDC_URL="https://$JWT_ISSUER_ENDPOINT"
$ export OIDC_URL="https://$JWT_ISSUER_ENDPOINT"Copy to Clipboard Copied! Toggle word wrap Toggle overflow export OIDC_CA_PEM="$(cat /tmp/oidc_provider_ca.pem)"
$ export OIDC_CA_PEM="$(cat /tmp/oidc_provider_ca.pem)"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 새 환경 변수를 생성합니다.
export ROLE="${NAME}-role"$ export ROLE="${NAME}-role"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 JWT 인증 방법을 활성화합니다.
vault auth enable jwt
$ vault auth enable jwtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 ODIC 인증 방법을 구성하세요.
vault write auth/jwt/config \ oidc_discovery_url=$OIDC_URL \ oidc_discovery_ca_pem="$OIDC_CA_PEM" \ default_role=$ROLE
$ vault write auth/jwt/config \ oidc_discovery_url=$OIDC_URL \ oidc_discovery_ca_pem="$OIDC_CA_PEM" \ default_role=$ROLECopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
ztwim-policy라는 이름의 정책을 만듭니다.export POLICY="${NAME}-policy"$ export POLICY="${NAME}-policy"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 이전에 만든 비밀에 대한 읽기 액세스 권한을 부여합니다.
vault policy write $POLICY -<<EOF path "secret/$NAME" { capabilities = ["read"] } EOF$ vault policy write $POLICY -<<EOF path "secret/$NAME" { capabilities = ["read"] } EOFCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 다음 환경 변수를 만듭니다.
export APP_NAME=client
$ export APP_NAME=clientCopy to Clipboard Copied! Toggle word wrap Toggle overflow export APP_NAMESPACE=demo
$ export APP_NAMESPACE=demoCopy to Clipboard Copied! Toggle word wrap Toggle overflow export AUDIENCE=$APP_NAME
$ export AUDIENCE=$APP_NAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 특정 SPIFFE ID를 사용하여 정책을 워크로드에 바인딩하는 JWT 역할을 만듭니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.2.5. 데모 애플리케이션 배포
데모 애플리케이션을 배포할 때는 SPIFFE ID를 사용하여 Vault에서 인증하는 간단한 클라이언트 애플리케이션을 만듭니다.
프로세스
로컬 머신에서 다음 명령을 실행하여 애플리케이션의 환경 변수를 설정합니다.
export APP_NAME=client
$ export APP_NAME=clientCopy to Clipboard Copied! Toggle word wrap Toggle overflow export APP_NAMESPACE=demo
$ export APP_NAMESPACE=demoCopy to Clipboard Copied! Toggle word wrap Toggle overflow export AUDIENCE=$APP_NAME
$ export AUDIENCE=$APP_NAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Kubernetes 매니페스트를 적용하여 데모 앱의 네임스페이스, 서비스 계정 및 배포를 생성합니다. 이 배포에서는 SPIFFE CSI 드라이버 소켓을 마운트합니다.
oc apply -f - <<EOF ... (paste the full YAML from your provided code here) ... EOF
$ oc apply -f - <<EOF # ... (paste the full YAML from your provided code here) ... EOFCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 클라이언트 배포가 준비되었는지 확인하세요.
oc get deploy -n $APP_NAMESPACE
$ oc get deploy -n $APP_NAMESPACECopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY UP-TO-DATE AVAILABLE AGE frontend-app 2/2 2 2 120d backend-api 3/3 3 3 120d
NAME READY UP-TO-DATE AVAILABLE AGE frontend-app 2/2 2 2 120d backend-api 3/3 3 3 120dCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.5.2.6. 비밀 인증 및 검색
데모 애플리케이션을 사용하여 SPIFFE 워크로드 API에서 JWT 토큰을 가져오고 이를 사용하여 Vault에 로그인하고 비밀을 검색합니다.
프로세스
실행 중인 클라이언트 Pod 내에서 다음 명령을 실행하여 JWT-SVID를 가져옵니다.
oc -n $APP_NAMESPACE exec -it $(oc get pod -o=jsonpath='{.items[*].metadata.name}' -l app=$APP_NAME -n $APP_NAMESPACE) \ -- /opt/spire/bin/spire-agent api fetch jwt \ -socketPath /run/spire/sockets/spire-agent.sock \ -audience $AUDIENCE$ oc -n $APP_NAMESPACE exec -it $(oc get pod -o=jsonpath='{.items[*].metadata.name}' -l app=$APP_NAME -n $APP_NAMESPACE) \ -- /opt/spire/bin/spire-agent api fetch jwt \ -socketPath /run/spire/sockets/spire-agent.sock \ -audience $AUDIENCECopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 출력에서 토큰을 복사하고 로컬 컴퓨터의 환경 변수로 내보냅니다.
export IDENTITY_TOKEN=<Your-JWT-Token>
$ export IDENTITY_TOKEN=<Your-JWT-Token>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 새 환경 변수를 생성합니다.
export ROLE="${NAME}-role"$ export ROLE="${NAME}-role"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
curl을사용하여 JWT 토큰을 Vault 로그인 엔드포인트로 보내 Vault 클라이언트 토큰을 가져옵니다.VAULT_TOKEN=$(curl -s --request POST --data '{ "jwt": "'"${IDENTITY_TOKEN}"'", "role": "'"${ROLE}"'"}' "${VAULT_ADDR}"/v1/auth/jwt/login | jq -r '.auth.client_token')$ VAULT_TOKEN=$(curl -s --request POST --data '{ "jwt": "'"${IDENTITY_TOKEN}"'", "role": "'"${ROLE}"'"}' "${VAULT_ADDR}"/v1/auth/jwt/login | jq -r '.auth.client_token')Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 새로 획득한 Vault 토큰을 사용하여 KV 저장소에서 비밀을 읽습니다.
curl -s -H "X-Vault-Token: $VAULT_TOKEN" $VAULT_ADDR/v1/secret/$NAME | jq
$ curl -s -H "X-Vault-Token: $VAULT_TOKEN" $VAULT_ADDR/v1/secret/$NAME | jqCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력에서 비밀 내용(
"version": "v0.1.0")이 표시되어 전체 워크플로가 성공했음을 확인해야 합니다.
10.6. Zero Trust Workload Identity Manager에 대해 생성 전용 모드 활성화
생성 전용 모드를 활성화하면 운영자 조정을 일시 중지할 수 있으며, 이를 통해 컨트롤러가 변경 사항을 덮어쓰지 않고 수동 구성을 수행하거나 디버깅할 수 있습니다. 이는 운영자가 관리하는 API 리소스에 주석을 달아서 수행됩니다. 다음 시나리오는 생성 전용 모드가 사용될 수 있는 경우의 예입니다.
수동 사용자 정의 필요 : 운영자 관리 리소스(ConfigMaps, 배포, DaemonSets 등)를 운영자의 기본값과 다른 특정 구성으로 사용자 정의해야 합니다.
2일차 작업 : 초기 배포 후 후속 조정 주기 동안 운영자가 수동 변경 사항을 덮어쓰지 못하도록 방지해야 합니다.
구성 드리프트 방지 : 운영자의 수명 주기 관리의 이점을 계속 누리면서 특정 리소스 구성에 대한 제어를 유지하려고 합니다.
10.6.1. 주석으로 운영자 조정 일시 중지
주석을 통한 조정은 SpireServer , SpireAgent , SpiffeCSIDriver , SpireOIDCDiscoveryProvider 및 ZeroTrustWorkloadIdentityManager 사용자 정의 리소스를 지원합니다. 주석을 추가하여 조정 프로세스를 일시 중지할 수 있습니다.
사전 요구 사항
- 컴퓨터에 Zero Trust Workload Identity Manager를 설치했습니다.
- SPIRE 서버, 에이전트, SPIFFE 컨테이너 스토리지 인터페이스(CSI), OpenID Connect(OIDC) 검색 공급자를 설치했으며 실행 상태입니다.
프로세스
SpireServer사용자 정의 리소스 조정을 일시 중지하려면 다음 명령을 실행하여 지정된클러스터에생성 전용주석을 추가합니다.oc annotate SpireServer cluster -n zero-trust-workload-identity-manager ztwim.openshift.io/create-only=true
$ oc annotate SpireServer cluster -n zero-trust-workload-identity-manager ztwim.openshift.io/create-only=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
SpireServer리소스의 상태를 확인하여생성 전용모드가 활성화되어 있는지 확인하세요.상태는true여야 하며이유는CreateOnlyModeEnabled여야 합니다.oc get SpireServer cluster -o yaml
$ oc get SpireServer cluster -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
출력 예
10.6.2. 주석을 통한 운영자 조정 재개
프로세스
조정 프로세스를 다시 시작하려면 다음 단계를 따르세요.
주석 이름 끝에 하이픈(
-)을 추가하여oc annotate명령을 실행합니다. 이렇게 하면 클러스터 리소스에서 주석이 제거됩니다.oc annotate SpireServer cluster -n zero-trust-workload-identity-manager ztwim.openshift.io/create-only-
$ oc annotate SpireServer cluster -n zero-trust-workload-identity-manager ztwim.openshift.io/create-only-Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 컨트롤러를 다시 시작합니다.
oc rollout restart deploy/zero-trust-workload-identity-manager-controller-manager -n zero-trust-workload-identity-manager
$ oc rollout restart deploy/zero-trust-workload-identity-manager-controller-manager -n zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
SpireServer리소스의 상태를 확인하여생성 전용모드가 비활성화되어 있는지 확인하세요.상태는false여야 하며이유는CreateOnlyModeDisabled여야 합니다.oc get SpireServer cluster -o yaml
$ oc get SpireServer cluster -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
출력 예
생성 전용 모드가 활성화되면 주석이 제거되더라도 Operator Pod가 다시 시작될 때까지 해당 모드가 유지됩니다. 이 모드를 종료하려면 주석을 제거하거나 설정을 해제하고 Operator Pod를 다시 시작해야 할 수도 있습니다.
10.7. Zero Trust Workload Identity Manager 모니터링
기본적으로 Zero Trust Workload Identity Manager의 SPIRE Server 및 SPIRE Agent 구성 요소는 메트릭을 방출합니다. Prometheus Operator 형식을 사용하여 OpenShift Monitoring을 구성하여 이러한 메트릭을 수집할 수 있습니다.
10.7.1. 사용자 작업 부하 모니터링 활성화
클러스터에서 사용자 워크로드 모니터링을 구성하여 사용자 정의 프로젝트에 대한 모니터링을 활성화할 수 있습니다.
사전 요구 사항
-
cluster-admin클러스터 역할의 사용자로 클러스터에 액세스할 수 있습니다.
프로세스
ConfigMap을정의하고 구성하려면cluster-monitoring-config.yaml파일을 만듭니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
ConfigMap을적용합니다.oc apply -f cluster-monitoring-config.yaml
$ oc apply -f cluster-monitoring-config.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
사용자 워크로드에 대한 모니터링 구성 요소가
openshift-user-workload-monitoring네임스페이스에서 실행 중인지 확인하세요.oc -n openshift-user-workload-monitoring get pod
$ oc -n openshift-user-workload-monitoring get podCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
prometheus-operator , prometheus-user-workload , thanos-ruler-user-workload 와 같은 포드의 상태는 Running 이어야 합니다.
10.7.2. 서비스 모니터를 사용하여 SPIRE 서버에 대한 메트릭 수집 구성
SPIRE 서버 피연산자는 기본적으로 /metrics 엔드포인트의 포트 9402 에서 메트릭을 노출합니다. Prometheus Operator가 사용자 정의 메트릭을 수집할 수 있도록 하는 ServiceMonitor 사용자 정의 리소스(CR)를 생성하여 SPIRE 서버에 대한 메트릭 수집을 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin클러스터 역할의 사용자로 클러스터에 액세스할 수 있습니다. - Zero Trust Workload Identity Manager를 설치했습니다.
- 클러스터에 SPIRE 서버 피연산자를 배포했습니다.
- 사용자 작업 부하 모니터링을 활성화했습니다.
프로세스
ServiceMonitorCR을 만듭니다.ServiceMonitorCR을 정의하는 YAML 파일을 만듭니다.servicemonitor-spire-server파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
ServiceMonitorCR을 만듭니다.oc create -f servicemonitor-spire-server.yaml
$ oc create -f servicemonitor-spire-server.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow ServiceMonitorCR이 생성된 후 사용자 워크로드 Prometheus 인스턴스는 SPIRE 서버에서 메트릭 수집을 시작합니다. 수집된 지표에는job="spire-server"라는라벨이 지정됩니다.
검증
- OpenShift Container Platform 웹 콘솔에서 Observe → Targets 로 이동합니다.
레이블 필터 필드에 다음 레이블을 입력하여 메트릭 목표를 필터링합니다.
service=spire-server
$ service=spire-serverCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
spire-server-metrics항목의 상태 열에 '작동'이 표시되는지 확인합니다.
10.7.3. 서비스 모니터를 사용하여 SPIRE 에이전트에 대한 메트릭 수집 구성
SPIRE 에이전트 피연산자는 기본적으로 /metrics 엔드포인트의 포트 9402 에서 메트릭을 노출합니다. ServiceMonitor 사용자 정의 리소스(CR)를 생성하여 SPIRE 에이전트에 대한 메트릭 수집을 구성할 수 있습니다. 이를 통해 Prometheus Operator가 사용자 정의 메트릭을 수집할 수 있습니다.
사전 요구 사항
-
cluster-admin클러스터 역할의 사용자로 클러스터에 액세스할 수 있습니다. - Zero Trust Workload Identity Manager를 설치했습니다.
- 클러스터에 SPIRE 에이전트 피연산자를 배포했습니다.
- 사용자 작업 부하 모니터링을 활성화했습니다.
프로세스
ServiceMonitorCR을 만듭니다.ServiceMonitorCR을 정의하는 YAML 파일을 만듭니다.servicemonitor-spire-agent.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
ServiceMonitorCR을 만듭니다.oc create -f servicemonitor-spire-agent.yaml
$ oc create -f servicemonitor-spire-agent.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow ServiceMonitorCR이 생성된 후 사용자 워크로드 Prometheus 인스턴스는 SPIRE 에이전트에서 메트릭 수집을 시작합니다. 수집된 지표에는job="spire-agent"라는 라벨이 지정됩니다.
검증
- OpenShift Container Platform 웹 콘솔에서 Observe → Targets 로 이동합니다.
레이블 필터 필드에 다음 레이블을 입력하여 메트릭 목표를 필터링합니다.
service=spire-agent
$ service=spire-agentCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
spire-agent-metrics 항목의 상태 열이 '작동'으로표시되는지 확인합니다.
10.7.4. Zero Trust Workload Identity Manager에 대한 메트릭 쿼리
클러스터 관리자이거나 모든 네임스페이스에 대한 보기 액세스 권한이 있는 사용자는 OpenShift Container Platform 웹 콘솔이나 명령줄을 사용하여 SPIRE 에이전트 및 SPIRE 서버 메트릭을 쿼리할 수 있습니다. 쿼리는 지정된 작업 레이블과 일치하는 SPIRE 구성 요소에서 수집된 모든 메트릭을 검색합니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. - Zero Trust Workload Identity Manager를 설치했습니다.
- 클러스터에 SPIRE 서버와 SPIRE 에이전트 피연산자를 배포했습니다.
-
ServiceMonitor객체를 생성하여 모니터링 및 메트릭 수집을 활성화했습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 Observe → Metrics 로 이동합니다.
쿼리 필드에 다음 PromQL 표현식을 입력하여 SPIRE 서버 메트릭을 쿼리합니다.
{job="spire-server"}{job="spire-server"}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 쿼리 필드에 다음 PromQL 표현식을 입력하여 SPIRE 에이전트 메트릭을 쿼리합니다.
{job="spire-agent"}{job="spire-agent"}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.8. Zero Trust Workload Identity Manager 제거
Zero Trust Workload Identity Manager는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
Operator를 제거하고 관련 리소스를 제거하면 OpenShift Container Platform에서 Zero Trust Workload Identity Manager를 제거할 수 있습니다.
10.8.1. Zero Trust Workload Identity Manager 제거
웹 콘솔을 사용하여 Zero Trust Workload Identity Manager를 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
- Zero Trust Workload Identity Manager가 설치되었습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
Zero Trust Workload Identity Manager를 제거합니다.
- Operator → 설치된 Operator 로 이동합니다.
- Zero Trust Workload Identity Manager 항목 옆에 있는 옵션 메뉴를 클릭한 다음, Operator 제거를 클릭합니다.
- 확인 대화 상자에서 설치 제거를 클릭합니다.
10.8.2. CLI를 사용하여 Zero Trust Workload Identity Manager 리소스 제거
Zero Trust Workload Identity Manager를 제거한 후에는 클러스터에서 관련 리소스를 삭제할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다.
프로세스
다음 명령을 각각 실행하여 피연산자를 제거합니다.
다음 명령을 실행하여
ZeroTrustWorkloadIdentityManager클러스터를 삭제합니다.oc delete ZeroTrustWorkloadIdentityManager cluster
$ oc delete ZeroTrustWorkloadIdentityManager clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
SpireOIDCDiscoveryProvider클러스터를 삭제합니다.oc delete SpireOIDCDiscoveryProvider cluster
$ oc delete SpireOIDCDiscoveryProvider clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
SpiffeCSIDriver클러스터를 삭제합니다.oc delete SpiffeCSIDriver cluster
$ oc delete SpiffeCSIDriver clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
SpireAgent클러스터를 삭제합니다.oc delete SpireAgent cluster
$ oc delete SpireAgent clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
SpireServer클러스터를 삭제합니다.oc delete SpireServer cluster
$ oc delete SpireServer clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 PVC(영구 볼륨 클레임)를 삭제합니다.
oc delete pvc -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-manager
$ oc delete pvc -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 CSI 드라이버를 삭제합니다.
oc delete csidriver -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-manager
$ oc delete csidriver -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 서비스를 삭제합니다.
oc delete service -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-manager
$ oc delete service -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 네임스페이스를 삭제합니다.
oc delete ns zero-trust-workload-identity-manager
$ oc delete ns zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 클러스터 역할 바인딩을 삭제합니다.
oc delete clusterrolebinding -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-manager
$ oc delete clusterrolebinding -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 클러스터 역할을 삭제합니다.
oc delete clusterrole -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-manager
$ oc delete clusterrole -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 입장 wehhook 구성을 삭제합니다.
oc delete validatingwebhookconfigurations -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-manager
$ oc delete validatingwebhookconfigurations -l=app.kubernetes.io/managed-by=zero-trust-workload-identity-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
다음 명령을 각각 실행하여 사용자 정의 리소스 정의(CRD)를 삭제합니다.
다음 명령을 실행하여 SPIRE 서버 CRD를 삭제합니다.
oc delete crd spireservers.operator.openshift.io
$ oc delete crd spireservers.operator.openshift.ioCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SPIRE Agent CRD를 삭제합니다.
oc delete crd spireagents.operator.openshift.io
$ oc delete crd spireagents.operator.openshift.ioCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SPIFFEE CSI 드라이버 CRD를 삭제합니다.
oc delete crd spiffecsidrivers.operator.openshift.io
$ oc delete crd spiffecsidrivers.operator.openshift.ioCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SPIRE OIDC Discovery Provider CRD를 삭제합니다.
oc delete crd spireoidcdiscoveryproviders.operator.openshift.io
$ oc delete crd spireoidcdiscoveryproviders.operator.openshift.ioCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SPIRE 및 SPIFFE 클러스터 페더레이션 트러스트 도메인 CRD를 삭제합니다.
oc delete crd clusterfederatedtrustdomains.spire.spiffe.io
$ oc delete crd clusterfederatedtrustdomains.spire.spiffe.ioCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 클러스터 SPIFFE ID CRD를 삭제합니다.
oc delete crd clusterspiffeids.spire.spiffe.io
$ oc delete crd clusterspiffeids.spire.spiffe.ioCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 SPIRE 및 SPIFFE 클러스터 정적 항목 CRD를 삭제합니다.
oc delete crd clusterstaticentries.spire.spiffe.io
$ oc delete crd clusterstaticentries.spire.spiffe.ioCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Zero Trust Workload Identity Manager CRD를 삭제합니다.
oc delete crd zerotrustworkloadidentitymanagers.operator.openshift.io
$ oc delete crd zerotrustworkloadidentitymanagers.operator.openshift.ioCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
리소스가 삭제되었는지 확인하려면 각 oc delete 명령을 oc get 으로 바꾼 다음 명령을 실행합니다. 리소스가 반환되지 않으면 삭제가 성공한 것입니다.
11장. Red Hat OpenShift용 외부 비밀 운영자
11.1. Red Hat OpenShift용 외부 비밀 연산자 개요
Red Hat OpenShift용 외부 비밀 운영자는 외부 비밀 애플리케이션을 배포하고 관리하는 클러스터 전체 서비스로 작동합니다. 외부 비밀 애플리케이션은 외부 비밀 관리 시스템과 통합되어 클러스터 내에서 비밀 가져오기, 새로 고침, 프로비저닝을 수행합니다.
Red Hat OpenShift용 외부 비밀 연산자는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
11.1.1. Red Hat OpenShift용 외부 비밀 운영자 정보
Red Hat OpenShift용 외부 비밀 연산자를 사용하여 외부 비밀 애플리케이션을 OpenShift Container Platform 클러스터와 통합합니다. 외부 비밀 애플리케이션은 AWS Secrets Manager , HashiCorp Vault , Google Secret Manager , Azure Key Vault , IBM Cloud Secrets Manager , AWS Systems Manager Parameter Store 와 같은 외부 공급자에 저장된 비밀을 가져와서 안전한 방식으로 Kubernetes와 통합합니다.
외부 비밀 연산자를 사용하면 다음이 보장됩니다.
- 비밀 수명 주기 관리에서 애플리케이션을 분리합니다.
- 규정 준수 요구 사항을 지원하기 위해 비밀 저장소를 중앙화합니다.
- 안전하고 자동화된 비밀 순환을 가능하게 합니다.
- 세분화된 액세스 제어를 통해 멀티 클라우드 비밀 소싱을 지원합니다.
- 접근 제어를 중앙화하고 감사합니다.
클러스터에서 두 개 이상의 외부 비밀 연산자를 사용하지 마세요. 클러스터에 커뮤니티 외부 비밀 운영자가 설치되어 있는 경우 Red Hat OpenShift용 외부 비밀 운영자를 설치하기 전에 이를 제거해야 합니다.
external-secrets 애플리케이션에 대한 자세한 내용은 external-secrets를 참조하세요.
외부 비밀 연산자를 사용하여 외부 비밀 저장소에 인증하고 비밀을 검색하고 검색된 비밀을 기본 Kubernetes 비밀에 삽입합니다. 이 방법을 사용하면 애플리케이션이 외부 비밀에 직접 액세스하거나 이를 관리할 필요가 없습니다.
11.1.2. Red Hat OpenShift용 외부 비밀 운영자를 위한 외부 비밀 공급자
Red Hat OpenShift용 외부 비밀 연산자는 다음 외부 비밀 공급자 유형으로 테스트되었습니다.
Red Hat은 타사 비밀 저장소 공급자 기능과 관련된 모든 요소를 테스트하지 않습니다. 타사 지원에 대한 자세한 내용은 Red Hat 타사 지원 정책을 참조하세요.
11.1.3. 외부 비밀 공급자 유형 테스트
다음 표는 테스트된 각 외부 비밀 공급자 유형에 대한 테스트 범위를 보여줍니다.
| 비밀 제공자 | 테스트 상태 | 참고 |
|---|---|---|
| AWS 시크릿 관리자 | 부분적으로 테스트됨 | 기본 기능을 보장합니다. |
| AWS Systems Manager 매개변수 저장소 | 부분적으로 테스트됨 | 기본 기능을 보장합니다. |
| HashiCorp 볼트 | 부분적으로 테스트됨 | |
| Google 시크릿 관리자 | 부분적으로 테스트됨 |
11.1.4. Red Hat OpenShift용 외부 비밀 운영자에 대한 FIPS 규정 준수 정보
Red Hat OpenShift용 외부 비밀 운영자는 FIPS 규정 준수를 지원합니다. FIPS 모드에서 OpenShift Container Platform을 실행하는 경우, External Secrets Operator는 x86_64, ppc64le 및 s390X 아키텍처에서 FIPS 유효성 검사를 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다. NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 검증 프로그램을 참조하십시오. 검증을 위해 제출된 RHEL 암호화 라이브러리의 개별 버전에 대한 최신 NIST 상태에 대한 자세한 내용은 규정 준수 활동 및 정부 표준을 참조하세요.
FIPS 모드를 활성화하려면 FIPS 모드에서 실행되는 OpenShift Container Platform 클러스터에 External Secrets Operator를 설치합니다. 자세한 내용은 "클러스터에 추가 보안이 필요합니까?"를 참조하세요.
11.2. Red Hat OpenShift용 외부 비밀 운영자 릴리스 노트
Red Hat OpenShift용 외부 비밀 운영자는 외부 비밀 관리 시스템에서 가져온 비밀에 대한 수명 주기 관리를 제공하는 클러스터 전체 서비스입니다.
이 릴리스 노트는 External Secrets Operator의 개발 과정을 추적합니다.
Red Hat OpenShift용 외부 비밀 연산자는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
자세한 내용은 외부 비밀 운영자 개요를 참조하세요.
11.2.1. Red Hat OpenShift 0.1.0(기술 미리보기)용 External Secrets Operator 릴리스 노트
발행일: 2025-06-26
다음은 Red Hat OpenShift 0.1.0의 External Secrets Operator에 대한 권고 사항입니다.
Red Hat OpenShift용 External Secrets Operator 버전 0.1.0은 업스트림 external-secrets 버전 0.14.3을 기반으로 합니다. 자세한 내용은 v0.14.3에 대한 external-secrets 프로젝트 릴리스 노트를 참조하세요.
11.2.1.1. 새로운 기능 및 개선 사항
- 이는 Red Hat OpenShift용 외부 비밀 운영자의 최초 기술 미리 보기 릴리스입니다.
11.3. Red Hat OpenShift용 외부 비밀 운영자 설치
Red Hat OpenShift용 외부 비밀 운영자는 기본적으로 OpenShift 컨테이너 플랫폼에 설치되지 않습니다. 웹 콘솔이나 명령줄 인터페이스(CLI)를 사용하여 External Secrets Operator를 설치합니다.
Red Hat OpenShift용 외부 비밀 연산자는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
11.3.1. Red Hat OpenShift용 외부 비밀 연산자의 제한 사항
Red Hat OpenShift용 External Secrets Operator가 external-secrets 애플리케이션을 설치 및 제거할 때 적용되는 제한 사항은 다음과 같습니다.
-
Red Hat OpenShift용 External Secrets Operator를 제거해
도 external-secrets애플리케이션에 대해 생성된 리소스는 삭제되지 않습니다. 리소스를 수동으로 정리해야 합니다. -
externalsecrets.operator.openshift.io객체를 생성한 후cert-managerOperator 구성을 추가하는 경우external-secrets애플리케이션의 성능 저하를 방지하기 위해external-secrets-cert-controller배포 리소스를 수동으로 삭제합니다. -
x86_64 및 arm64 아키텍처에서 실행되는 OpenShift 클러스터에 설치된 경우에만
externalsecrets.operator.openshift.io개체에서BitwardenSecretManagerProvider필드를 활성화합니다. -
Red Hat OpenShift의 외부 비밀 운영자가 원활하게 작동하도록 배포하기 전에
cert-manager운영자가 설치되어 작동하는지 확인하세요. 나중에cert-managerOperator를 설치하는 경우external-secrets-operatorPod를 수동으로 다시 시작하여externalsecrets.operator.openshift.io개체의 cert-manager 구성을 적용합니다.
11.3.2. 웹 콘솔을 사용하여 Red Hat OpenShift용 외부 비밀 운영자 설치
웹 콘솔을 사용하여 Red Hat OpenShift용 External Secrets Operator를 설치할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
- Operators → OperatorHub로 이동합니다.
- 검색창에 '외부 비밀 운영자'를 입력하세요.
- 생성된 목록에서 Red Hat OpenShift용 외부 비밀 운영자를 선택하고 설치를 클릭합니다.
Operator 설치 페이지에서 다음을 수행합니다.
- 필요한 경우 업데이트 채널을 업데이트합니다. 채널은 기본적으로 tech-preview-v0.1 로 설정되어 External Secrets Operator의 최신 안정 릴리스를 설치합니다.
- 버전 드롭다운 목록에서 버전을 선택하세요.
Operator의 설치된 네임스페이스 를 선택합니다.
- 기본 Operator 네임스페이스를 사용하려면 Operator 권장 네임스페이스 옵션을 선택하세요.
- 생성한 네임스페이스를 사용하려면 네임스페이스 선택 옵션을 선택한 다음 드롭다운 목록에서 네임스페이스를 선택합니다.
-
기본
external-secrets-operator네임스페이스가 존재하지 않으면 Operator Lifecycle Manager(OLM)가 해당 네임스페이스를 생성합니다.
업데이트 승인 전략을 선택합니다.
- 자동 전략을 사용하면 OLM에서 새 버전이 출시되면 운영자를 자동으로 업데이트할 수 있습니다.
- 수동 전략을 사용하려면 적절한 자격 증명을 가진 사용자가 Operator 업데이트를 승인해야 합니다.
- 설치를 클릭합니다.
검증
- Operators → 설치된 Operator로 이동합니다.
-
External Secrets Operator가
external-secrets-operator네임스페이스에 성공 상태 로 나열되어 있는지 확인합니다.
11.3.3. CLI를 사용하여 Red Hat OpenShift용 외부 비밀 운영자 설치
Red Hat OpenShift용 External Secrets Operator를 설치하려면 명령줄 인터페이스(CLI)를 사용할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다.
프로세스
다음 명령을 실행하여
external-secrets-operator라는 새 프로젝트를 만듭니다.oc new-project external-secrets-operator
$ oc new-project external-secrets-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 내용이 포함된 YAML 파일을 정의하여
OperatorGroup객체를 만듭니다.operatorGroup.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
OperatorGroup오브젝트를 생성합니다.oc create -f operatorGroup.yaml
$ oc create -f operatorGroup.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 내용이 포함된 YAML 파일을 정의하여
구독객체를 만듭니다.subscription.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
Subscription오브젝트를 생성합니다.oc create -f subscription.yaml
$ oc create -f subscription.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 OLM 서브스크립션이 생성되었는지 확인합니다.
oc get subscription -n external-secrets-operator
$ oc get subscription -n external-secrets-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME PACKAGE SOURCE CHANNEL openshift-external-secrets-operator openshift-external-secrets-operator eso-010-index tech-preview-v0.1
NAME PACKAGE SOURCE CHANNEL openshift-external-secrets-operator openshift-external-secrets-operator eso-010-index tech-preview-v0.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Operator가 성공적으로 설치되었는지 확인합니다.
oc get csv -n external-secrets-operator
$ oc get csv -n external-secrets-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME DISPLAY VERSION REPLACES PHASE external-secrets-operator.v0.1.0 External Secrets Operator for Red Hat OpenShift 0.1.0 Succeeded
NAME DISPLAY VERSION REPLACES PHASE external-secrets-operator.v0.1.0 External Secrets Operator for Red Hat OpenShift 0.1.0 SucceededCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 입력하여 외부 비밀 운영자의 상태가 실행 중인지 확인하세요.
oc get pods -n external-secrets-operator
$ oc get pods -n external-secrets-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE external-secrets-operator-controller-manager-5699f4bc54-kbsmn 1/1 Running 0 25h
NAME READY STATUS RESTARTS AGE external-secrets-operator-controller-manager-5699f4bc54-kbsmn 1/1 Running 0 25hCopy to Clipboard Copied! Toggle word wrap Toggle overflow
11.3.5. CLI를 사용하여 Red Hat OpenShift용 외부 비밀 피연산자 설치
명령줄 인터페이스(CLI)를 사용하여 외부 비밀 피연산자를 설치할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다.
프로세스
다음 내용이 포함된 YAML 파일을 정의하여
externalsecrets.openshift.operator.io객체를 만듭니다.externalsecrets.yaml파일 예시Copy to Clipboard Copied! Toggle word wrap Toggle overflow 사양 구성에 대한 자세한 내용은 "Red Hat OpenShift API용 외부 비밀 연산자"를 참조하세요.
다음 명령을 실행하여
externalsecrets.openshift.operator.io객체를 만듭니다.oc create -f externalsecrets.yaml
$ oc create -f externalsecrets.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 입력하여
외부 비밀포드가 실행 중인지 확인하세요.oc get pods -n external-secrets
$ oc get pods -n external-secretsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE external-secrets-75d47cb9c8-6p4n2 1/1 Running 0 4h5m external-secrets-cert-controller-676444b897-qb6ft 1/1 Running 0 4h5m external-secrets-webhook-b566658ff-7m4d5 1/1 Running 0 4h5m
NAME READY STATUS RESTARTS AGE external-secrets-75d47cb9c8-6p4n2 1/1 Running 0 4h5m external-secrets-cert-controller-676444b897-qb6ft 1/1 Running 0 4h5m external-secrets-webhook-b566658ff-7m4d5 1/1 Running 0 4h5mCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
external-secrets-operator배포 개체가 성공적인 상태를 보고하는지 확인하세요.oc get externalsecrets.operator.openshift.io cluster -n external-secrets-operator -o jsonpath='{.status.conditions}' | jq .$ oc get externalsecrets.operator.openshift.io cluster -n external-secrets-operator -o jsonpath='{.status.conditions}' | jq .Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
11.4. Red Hat OpenShift용 External Secrets Operator 제거
OpenShift Container Platform에서 Red Hat OpenShift용 External Secrets Operator를 제거하려면 해당 Operator를 제거하고 관련 리소스를 제거하세요.
Red Hat OpenShift용 외부 비밀 연산자는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
11.4.1. 웹 콘솔을 사용하여 Red Hat OpenShift용 External Secrets Operator 제거
웹 콘솔을 사용하여 Red Hat OpenShift용 External Secrets Operator를 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
- 외부 비밀 운영자가 설치되었습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
다음 단계에 따라 Red Hat OpenShift용 External Secrets Operator를 제거하세요.
- Operators → 설치된 Operator로 이동합니다.
-
옵션 메뉴를 클릭하세요
Red Hat OpenShift용 외부 비밀 운영자 항목 옆에 있는 '운영자 제거'를 클릭합니다.
- 확인 대화 상자에서 설치 제거를 클릭합니다.
11.4.2. 웹 콘솔을 사용하여 Red Hat OpenShift 리소스에 대한 외부 비밀 연산자 제거
Red Hat OpenShift용 External Secrets Operator를 제거한 후에는 클러스터에서 관련 리소스를 선택적으로 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다. - OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에 로그인합니다.
external-secrets 네임스페이스에서 external-secrets애플리케이션 구성 요소의 배포를 제거합니다.- 프로젝트 드롭다운 메뉴를 클릭하여 사용 가능한 모든 프로젝트 목록을 보고, 외부 비밀 프로젝트를 선택합니다.
- 워크로드 → 배포로 이동합니다.
- 삭제할 배포를 선택합니다.
- 작업 드롭다운 메뉴를 클릭하고 배포 삭제 를 선택하여 확인 대화 상자를 확인합니다.
- 삭제 를 클릭하여 배포를 삭제합니다.
다음 단계에 따라 외부 비밀 운영자가 설치한 사용자 정의 리소스 정의(CRD)를 제거합니다.
- 관리 → 클러스터 리소스 정의로 이동합니다.
-
CRD를 필터링하려면 라벨 필드의 제안에서
external-secrets.io/component: controller를선택합니다. 다음 각 CRD 옆에 있는 옵션 메뉴
를 클릭하고 사용자 정의 리소스 정의 삭제를 선택합니다.
- ACR액세스 토큰
- ClusterExternalSecret
- 클러스터 생성기
- ClusterSecretStore
- ECRAuthorizationToken
- 외부 비밀
- GCR액세스토큰
- 발전기 상태
- GithubAccessToken
- Grafana
- 암호
- PushSecret
- QuayAccessToken
- SecretStore
- STS세션토큰
- UUID
- VaultDynamicSecret
- Webhook
다음 단계에 따라
external-secrets-operator네임스페이스를 제거합니다.- 관리 → 네임스페이스로 이동합니다.
-
옵션 메뉴를 클릭하세요
외부 비밀 연산자 옆에 있는 네임스페이스 삭제를 선택합니다.
-
확인 대화 상자에서 필드에
external-secrets-operator를입력하고 삭제를 클릭합니다.
11.4.3. CLI를 사용하여 Red Hat OpenShift 리소스에 대한 외부 비밀 연산자 제거
Red Hat OpenShift용 External Secrets Operator를 제거한 후에는 명령줄 인터페이스(CLI)를 사용하여 클러스터에서 관련 리소스를 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin권한이 있는 클러스터에 액세스할 수 있습니다.
프로세스
다음 명령을 실행하여 external
-secrets 네임스페이스에서 external-secrets애플리케이션 구성 요소의 배포를 삭제합니다.oc delete deployment -n external-secrets -l app=external-secrets
$ oc delete deployment -n external-secrets -l app=external-secretsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 External Secrets Operator가 설치한 사용자 정의 리소스 정의(CRD)를 삭제합니다.
oc delete customresourcedefinitions.apiextensions.k8s.io -l external-secrets.io/component=controller
$ oc delete customresourcedefinitions.apiextensions.k8s.io -l external-secrets.io/component=controllerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
external-secrets-operator네임스페이스를 삭제합니다.oc delete project external-secrets-operator
$ oc delete project external-secrets-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow
11.5. Red Hat OpenShift API용 외부 비밀 연산자
Red Hat OpenShift용 외부 비밀 연산자는 다음 두 가지 API를 사용하여 외부 비밀 애플리케이션 배포를 구성합니다.
| 그룹 | 버전 | 유형 |
|---|---|---|
|
|
|
|
|
|
|
|
다음 목록에는 Red Hat OpenShift API용 외부 비밀 연산자가 포함되어 있습니다.
- 외부 비밀
- ExternalSecretsList
- ExternalSecretsManager
- ExternalSecretsManagerList
11.5.1. externalSecretsManagerList
externalSecretsManagerList 객체는 externalSecretsManager 객체의 목록을 가져옵니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| ||
|
| string |
| ||
|
|
| |||
|
| array |
|
11.5.2. externalSecretsManager
externalSecretsManager 객체는 외부 비밀 운영자가 관리하는 배포의 구성과 정보를 정의합니다. 클러스터당 externalSecretsManager 인스턴스가 하나만 허용되므로 이름을 cluster 로 설정합니다.
externalSecretsManager를 사용하여 글로벌 옵션을 구성하고 선택적 기능을 활성화할 수 있습니다. 이는 운영자의 여러 컨트롤러를 관리하기 위한 중앙 집중식 구성 역할을 합니다. Operator는 설치 중에 자동으로 externalSecretsManager 객체를 생성합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| ||
|
| string |
| ||
|
|
| |||
|
| object |
| ||
|
| object |
|
11.5.3. externalSecretsList
externalSecretsList 객체는 externalSecrets 객체의 목록을 가져옵니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| ||
|
| string |
| ||
|
|
| |||
|
| array |
|
11.5.4. externalSecrets
externalSecrets 객체는 관리되는 외부 비밀 피연산자 배포에 대한 구성과 정보를 정의합니다. externalSecrets 객체는 클러스터당 하나의 인스턴스만 허용하므로 이름을 cluster 로 설정합니다.
externalSecrets 객체를 생성하면 external-secrets 피연산자를 관리하고 원하는 상태를 유지하는 배포가 생성됩니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| ||
|
| string |
| ||
|
|
| |||
|
| object |
| ||
|
| object |
|
11.5.5. Red Hat OpenShift API용 외부 비밀 연산자의 필드 나열
다음 필드는 Red Hat OpenShift API의 외부 비밀 운영자에 적용됩니다.
11.5.6. externalSecretsManagerSpec
externalSecretsManagerSpec 필드는 externalSecretsManager 개체의 원하는 동작을 정의합니다.
| 필드 | type | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| object |
| 선택 사항 | |
|
| array |
| 선택 사항 |
11.5.7. externalSecretsManagerStatus
externalSecretsManagerStatus 필드는 externalSecretsManager 개체의 가장 최근에 관찰된 상태를 보여줍니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| array |
| ||
|
|
|
형식: 날짜-시간 |
11.5.8. externalSecretsSpec
externalSecretsSpec 필드는 externalSecrets 객체의 원하는 동작을 정의합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| object |
| 선택 사항 | |
|
| object |
| 선택 사항 |
11.5.9. externalSecretsStatus
externalSecretsStatus 필드는 externalSecrets 개체의 가장 최근에 관찰된 상태를 보여줍니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| 조건 배열 |
| ||
|
| string |
|
11.5.10. globalConfig
globalConfig 필드는 외부 비밀 연산자의 동작을 구성합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| integer |
| 1 |
최대 범위 값은 5입니다 |
|
|
| 선택 사항 | ||
|
|
| 선택 사항 | ||
|
| 허용 배열 |
| 선택 사항 | |
|
| 객체(키:문자열, 값:문자열) | nodeSelector는 노드 레이블을 사용하여 스케줄링 기준을 정의합니다. 자세한 내용은 https://kubernetes.io/docs/concepts/configuration/assign-pod-node/를 참조하세요. | 선택 사항 | |
|
| 객체(키:문자열, 값:문자열) |
| 선택 사항 |
11.5.11. 특징
기능 필드는 선택적 기능을 활성화합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
옵션 기능의 | 필수 항목 | |
|
| boolean |
| 필수 항목 |
11.5.12. controllerStatus
controllerStatus 필드에는 운영자가 사용하는 컨트롤러의 관찰된 조건이 포함되어 있습니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| 필수 항목 | |
|
| array |
| ||
|
| integer |
| 최소: 0 |
11.5.13. externalSecretsConfig
externalSecretsConfig 필드는 external-secrets 피연산자의 동작을 구성합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| integer |
| 1 |
최대 범위 값은 5입니다 |
|
| string |
| 선택 사항 | |
|
| object |
| 선택 사항 | |
|
| object |
| ||
|
| object |
| 선택 사항 | |
|
|
| 선택 사항 | ||
|
|
| 선택 사항 | ||
|
| 허용 배열 |
| 선택 사항 | |
|
| 객체(키:문자열, 값:문자열) |
| 선택 사항 |
11.5.14. controllerConfig
controllerConfig 필드는 운영자가 external-secrets 피연산자를 설치하기 위한 기본값을 설정하도록 구성합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| 외부 비밀 | 선택 사항 |
|
| 객체(키:문자열, 값:문자열) |
| 선택 사항 |
11.5.15. bitwardenSecretManagerProvider
bitwardenSecretManagerProvider 필드는 bitwarden secrets manager 공급자를 활성화하고 bitwarden 서버에 연결하는 데 필요한 추가 서비스를 설정합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| false |
열거형: [참 거짓] |
|
| SecretReference |
| 선택 사항 |
11.5.16. webhookConfig
webhookConfig 필드는 외부 비밀 애플리케이션 웹훅의 세부 사항을 구성합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
|
| 5m | 선택 사항 |
11.5.17. certManagerConfig
certManagerConfig 필드는 cert-manager 운영자 설정을 구성합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| false |
열거형: [참 거짓] |
|
| string |
| false |
열거형: [참 거짓] |
|
| ObjectReference |
| 필수 항목 | |
|
|
| 8760h | 선택 사항 | |
|
|
| 30m | 선택 사항 |
11.5.18. objectReference
ObjectReference 필드는 이름, 종류, 그룹을 통해 객체를 참조합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| 필수 항목 | |
|
| string |
| 선택 사항 | |
|
| string |
| 선택 사항 |
11.5.19. secretReference
secretReference 필드는 사용된 동일한 네임스페이스에서 지정된 이름을 가진 비밀을 참조합니다.
| 필드 | 유형 | 설명 | 기본 | 확인 |
|---|---|---|---|---|
|
| string |
| 필수 항목 |
12장. 감사 로그 보기
OpenShift Container Platform 감사에서는 시스템의 개별 사용자, 관리자 또는 기타 구성 요소가 시스템에 영향을 준 활동 시퀀스를 설명하는 보안 관련 레코드 집합을 제공합니다.
12.1. API 감사 로그 정보
감사는 API 서버 수준에서 작동하며 서버로 들어오는 모든 요청을 기록합니다. 각 감사 로그에는 다음 정보가 포함됩니다.
| 필드 | 설명 |
|---|---|
|
| 이벤트가 생성된 감사 수준입니다. |
|
| 각 요청에 생성되는 고유 감사 ID입니다. |
|
| 이 이벤트 인스턴스가 생성되었을 때의 요청 처리 단계입니다. |
|
| 클라이언트에서 서버로 보낸 요청 URI입니다. |
|
| 요청과 관련된 Kubernetes 동사입니다. 리소스가 아닌 요청의 경우 소문자 HTTP 메서드입니다. |
|
| 인증된 사용자 정보입니다. |
|
| 선택 사항: 요청에서 다른 사용자를 가장하는 경우 가장된 사용자 정보입니다. |
|
| 선택 사항: 요청이 발생한 소스 IP 및 중간 프록시입니다. |
|
| 선택 사항: 클라이언트에서 보고한 사용자 에이전트 문자열입니다. 사용자 에이전트는 클라이언트에서 제공하며 신뢰할 수 없습니다. |
|
|
선택 사항: 이 요청의 대상이 되는 오브젝트 참조입니다. 이는 |
|
|
선택 사항: |
|
|
선택 사항: 요청의 API 오브젝트로, JSON 형식으로 되어 있습니다. |
|
|
선택 사항: 응답에서 반환된 API 오브젝트로, JSON 형식으로 되어 있습니다. |
|
| 요청이 API 서버에 도달한 시간입니다. |
|
| 요청이 현재 감사 단계에 도달한 시간입니다. |
|
|
선택 사항: 인증, 권한 부여 및 승인 플러그인을 포함하여 요청 제공 체인에서 호출된 플러그인에 의해 설정될 수 있는 감사 이벤트와 함께 저장된 비정형 키 값 맵입니다. 이러한 주석은 감사 이벤트용이며 제출된 오브젝트의 |
Kubernetes API 서버의 출력 예:
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"ad209ce1-fec7-4130-8192-c4cc63f1d8cd","stage":"ResponseComplete","requestURI":"/api/v1/namespaces/openshift-kube-controller-manager/configmaps/cert-recovery-controller-lock?timeout=35s","verb":"update","user":{"username":"system:serviceaccount:openshift-kube-controller-manager:localhost-recovery-client","uid":"dd4997e3-d565-4e37-80f8-7fc122ccd785","groups":["system:serviceaccounts","system:serviceaccounts:openshift-kube-controller-manager","system:authenticated"]},"sourceIPs":["::1"],"userAgent":"cluster-kube-controller-manager-operator/v0.0.0 (linux/amd64) kubernetes/$Format","objectRef":{"resource":"configmaps","namespace":"openshift-kube-controller-manager","name":"cert-recovery-controller-lock","uid":"5c57190b-6993-425d-8101-8337e48c7548","apiVersion":"v1","resourceVersion":"574307"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2020-04-02T08:27:20.200962Z","stageTimestamp":"2020-04-02T08:27:20.206710Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"system:openshift:operator:kube-controller-manager-recovery\" of ClusterRole \"cluster-admin\" to ServiceAccount \"localhost-recovery-client/openshift-kube-controller-manager\""}}
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"ad209ce1-fec7-4130-8192-c4cc63f1d8cd","stage":"ResponseComplete","requestURI":"/api/v1/namespaces/openshift-kube-controller-manager/configmaps/cert-recovery-controller-lock?timeout=35s","verb":"update","user":{"username":"system:serviceaccount:openshift-kube-controller-manager:localhost-recovery-client","uid":"dd4997e3-d565-4e37-80f8-7fc122ccd785","groups":["system:serviceaccounts","system:serviceaccounts:openshift-kube-controller-manager","system:authenticated"]},"sourceIPs":["::1"],"userAgent":"cluster-kube-controller-manager-operator/v0.0.0 (linux/amd64) kubernetes/$Format","objectRef":{"resource":"configmaps","namespace":"openshift-kube-controller-manager","name":"cert-recovery-controller-lock","uid":"5c57190b-6993-425d-8101-8337e48c7548","apiVersion":"v1","resourceVersion":"574307"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2020-04-02T08:27:20.200962Z","stageTimestamp":"2020-04-02T08:27:20.206710Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"system:openshift:operator:kube-controller-manager-recovery\" of ClusterRole \"cluster-admin\" to ServiceAccount \"localhost-recovery-client/openshift-kube-controller-manager\""}}12.2. 감사 로그 보기
각 제어 평면 노드에 대한 OpenShift API 서버, Kubernetes API 서버, OpenShift OAuth API 서버 및 OpenShift OAuth 서버의 로그를 볼 수 있습니다.
프로세스
감사 로그를 보려면 다음을 수행합니다.
OpenShift API 서버 감사 로그를 확인하세요.
각 제어 평면 노드에서 사용할 수 있는 OpenShift API 서버 감사 로그를 나열하세요.
oc adm node-logs --role=master --path=openshift-apiserver/
$ oc adm node-logs --role=master --path=openshift-apiserver/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 노드 이름과 로그 이름을 제공하여 특정 OpenShift API 서버 감사 로그를 확인합니다.
oc adm node-logs <node_name> --path=openshift-apiserver/<log_name>
$ oc adm node-logs <node_name> --path=openshift-apiserver/<log_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들면 다음과 같습니다.
oc adm node-logs ci-ln-m0wpfjb-f76d1-vnb5x-master-0 --path=openshift-apiserver/audit-2021-03-09T00-12-19.834.log
$ oc adm node-logs ci-ln-m0wpfjb-f76d1-vnb5x-master-0 --path=openshift-apiserver/audit-2021-03-09T00-12-19.834.logCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"381acf6d-5f30-4c7d-8175-c9c317ae5893","stage":"ResponseComplete","requestURI":"/metrics","verb":"get","user":{"username":"system:serviceaccount:openshift-monitoring:prometheus-k8s","uid":"825b60a0-3976-4861-a342-3b2b561e8f82","groups":["system:serviceaccounts","system:serviceaccounts:openshift-monitoring","system:authenticated"]},"sourceIPs":["10.129.2.6"],"userAgent":"Prometheus/2.23.0","responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2021-03-08T18:02:04.086545Z","stageTimestamp":"2021-03-08T18:02:04.107102Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"prometheus-k8s\" of ClusterRole \"prometheus-k8s\" to ServiceAccount \"prometheus-k8s/openshift-monitoring\""}}{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"381acf6d-5f30-4c7d-8175-c9c317ae5893","stage":"ResponseComplete","requestURI":"/metrics","verb":"get","user":{"username":"system:serviceaccount:openshift-monitoring:prometheus-k8s","uid":"825b60a0-3976-4861-a342-3b2b561e8f82","groups":["system:serviceaccounts","system:serviceaccounts:openshift-monitoring","system:authenticated"]},"sourceIPs":["10.129.2.6"],"userAgent":"Prometheus/2.23.0","responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2021-03-08T18:02:04.086545Z","stageTimestamp":"2021-03-08T18:02:04.107102Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"prometheus-k8s\" of ClusterRole \"prometheus-k8s\" to ServiceAccount \"prometheus-k8s/openshift-monitoring\""}}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Kubernetes API 서버 감사 로그를 확인하세요.
각 제어 평면 노드에서 사용할 수 있는 Kubernetes API 서버 감사 로그를 나열하세요.
oc adm node-logs --role=master --path=kube-apiserver/
$ oc adm node-logs --role=master --path=kube-apiserver/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 노드 이름과 로그 이름을 제공하여 특정 Kubernetes API 서버 감사 로그를 확인합니다.
oc adm node-logs <node_name> --path=kube-apiserver/<log_name>
$ oc adm node-logs <node_name> --path=kube-apiserver/<log_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들면 다음과 같습니다.
oc adm node-logs ci-ln-m0wpfjb-f76d1-vnb5x-master-0 --path=kube-apiserver/audit-2021-03-09T14-07-27.129.log
$ oc adm node-logs ci-ln-m0wpfjb-f76d1-vnb5x-master-0 --path=kube-apiserver/audit-2021-03-09T14-07-27.129.logCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"cfce8a0b-b5f5-4365-8c9f-79c1227d10f9","stage":"ResponseComplete","requestURI":"/api/v1/namespaces/openshift-kube-scheduler/serviceaccounts/openshift-kube-scheduler-sa","verb":"get","user":{"username":"system:serviceaccount:openshift-kube-scheduler-operator:openshift-kube-scheduler-operator","uid":"2574b041-f3c8-44e6-a057-baef7aa81516","groups":["system:serviceaccounts","system:serviceaccounts:openshift-kube-scheduler-operator","system:authenticated"]},"sourceIPs":["10.128.0.8"],"userAgent":"cluster-kube-scheduler-operator/v0.0.0 (linux/amd64) kubernetes/$Format","objectRef":{"resource":"serviceaccounts","namespace":"openshift-kube-scheduler","name":"openshift-kube-scheduler-sa","apiVersion":"v1"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2021-03-08T18:06:42.512619Z","stageTimestamp":"2021-03-08T18:06:42.516145Z","annotations":{"authentication.k8s.io/legacy-token":"system:serviceaccount:openshift-kube-scheduler-operator:openshift-kube-scheduler-operator","authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"system:openshift:operator:cluster-kube-scheduler-operator\" of ClusterRole \"cluster-admin\" to ServiceAccount \"openshift-kube-scheduler-operator/openshift-kube-scheduler-operator\""}}{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"cfce8a0b-b5f5-4365-8c9f-79c1227d10f9","stage":"ResponseComplete","requestURI":"/api/v1/namespaces/openshift-kube-scheduler/serviceaccounts/openshift-kube-scheduler-sa","verb":"get","user":{"username":"system:serviceaccount:openshift-kube-scheduler-operator:openshift-kube-scheduler-operator","uid":"2574b041-f3c8-44e6-a057-baef7aa81516","groups":["system:serviceaccounts","system:serviceaccounts:openshift-kube-scheduler-operator","system:authenticated"]},"sourceIPs":["10.128.0.8"],"userAgent":"cluster-kube-scheduler-operator/v0.0.0 (linux/amd64) kubernetes/$Format","objectRef":{"resource":"serviceaccounts","namespace":"openshift-kube-scheduler","name":"openshift-kube-scheduler-sa","apiVersion":"v1"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2021-03-08T18:06:42.512619Z","stageTimestamp":"2021-03-08T18:06:42.516145Z","annotations":{"authentication.k8s.io/legacy-token":"system:serviceaccount:openshift-kube-scheduler-operator:openshift-kube-scheduler-operator","authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"system:openshift:operator:cluster-kube-scheduler-operator\" of ClusterRole \"cluster-admin\" to ServiceAccount \"openshift-kube-scheduler-operator/openshift-kube-scheduler-operator\""}}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
OpenShift OAuth API 서버 감사 로그를 확인하세요.
각 제어 평면 노드에서 사용할 수 있는 OpenShift OAuth API 서버 감사 로그를 나열하세요.
oc adm node-logs --role=master --path=oauth-apiserver/
$ oc adm node-logs --role=master --path=oauth-apiserver/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 노드 이름과 로그 이름을 제공하여 특정 OpenShift OAuth API 서버 감사 로그를 확인합니다.
oc adm node-logs <node_name> --path=oauth-apiserver/<log_name>
$ oc adm node-logs <node_name> --path=oauth-apiserver/<log_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들면 다음과 같습니다.
oc adm node-logs ci-ln-m0wpfjb-f76d1-vnb5x-master-0 --path=oauth-apiserver/audit-2021-03-09T13-06-26.128.log
$ oc adm node-logs ci-ln-m0wpfjb-f76d1-vnb5x-master-0 --path=oauth-apiserver/audit-2021-03-09T13-06-26.128.logCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"dd4c44e2-3ea1-4830-9ab7-c91a5f1388d6","stage":"ResponseComplete","requestURI":"/apis/user.openshift.io/v1/users/~","verb":"get","user":{"username":"system:serviceaccount:openshift-monitoring:prometheus-k8s","groups":["system:serviceaccounts","system:serviceaccounts:openshift-monitoring","system:authenticated"]},"sourceIPs":["10.0.32.4","10.128.0.1"],"userAgent":"dockerregistry/v0.0.0 (linux/amd64) kubernetes/$Format","objectRef":{"resource":"users","name":"~","apiGroup":"user.openshift.io","apiVersion":"v1"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2021-03-08T17:47:43.653187Z","stageTimestamp":"2021-03-08T17:47:43.660187Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"basic-users\" of ClusterRole \"basic-user\" to Group \"system:authenticated\""}}{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"dd4c44e2-3ea1-4830-9ab7-c91a5f1388d6","stage":"ResponseComplete","requestURI":"/apis/user.openshift.io/v1/users/~","verb":"get","user":{"username":"system:serviceaccount:openshift-monitoring:prometheus-k8s","groups":["system:serviceaccounts","system:serviceaccounts:openshift-monitoring","system:authenticated"]},"sourceIPs":["10.0.32.4","10.128.0.1"],"userAgent":"dockerregistry/v0.0.0 (linux/amd64) kubernetes/$Format","objectRef":{"resource":"users","name":"~","apiGroup":"user.openshift.io","apiVersion":"v1"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2021-03-08T17:47:43.653187Z","stageTimestamp":"2021-03-08T17:47:43.660187Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"basic-users\" of ClusterRole \"basic-user\" to Group \"system:authenticated\""}}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
OpenShift OAuth 서버 감사 로그를 확인하세요.
각 제어 평면 노드에서 사용할 수 있는 OpenShift OAuth 서버 감사 로그를 나열하세요.
oc adm node-logs --role=master --path=oauth-server/
$ oc adm node-logs --role=master --path=oauth-server/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 노드 이름과 로그 이름을 제공하여 특정 OpenShift OAuth 서버 감사 로그를 확인합니다.
oc adm node-logs <node_name> --path=oauth-server/<log_name>
$ oc adm node-logs <node_name> --path=oauth-server/<log_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들면 다음과 같습니다.
oc adm node-logs ci-ln-m0wpfjb-f76d1-vnb5x-master-0 --path=oauth-server/audit-2022-05-11T18-57-32.395.log
$ oc adm node-logs ci-ln-m0wpfjb-f76d1-vnb5x-master-0 --path=oauth-server/audit-2022-05-11T18-57-32.395.logCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"13c20345-f33b-4b7d-b3b6-e7793f805621","stage":"ResponseComplete","requestURI":"/login","verb":"post","user":{"username":"system:anonymous","groups":["system:unauthenticated"]},"sourceIPs":["10.128.2.6"],"userAgent":"Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0","responseStatus":{"metadata":{},"code":302},"requestReceivedTimestamp":"2022-05-11T17:31:16.280155Z","stageTimestamp":"2022-05-11T17:31:16.297083Z","annotations":{"authentication.openshift.io/decision":"error","authentication.openshift.io/username":"kubeadmin","authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":""}}{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"13c20345-f33b-4b7d-b3b6-e7793f805621","stage":"ResponseComplete","requestURI":"/login","verb":"post","user":{"username":"system:anonymous","groups":["system:unauthenticated"]},"sourceIPs":["10.128.2.6"],"userAgent":"Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0","responseStatus":{"metadata":{},"code":302},"requestReceivedTimestamp":"2022-05-11T17:31:16.280155Z","stageTimestamp":"2022-05-11T17:31:16.297083Z","annotations":{"authentication.openshift.io/decision":"error","authentication.openshift.io/username":"kubeadmin","authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":""}}Copy to Clipboard Copied! Toggle word wrap Toggle overflow authentication.openshift.io/decision주석에 사용할 수 있는 값은allow,deny또는error입니다.
12.3. 감사 로그 필터링
jq 또는 다른 JSON 구문 분석 툴을 사용하여 API 서버 감사 로그를 필터링할 수 있습니다.
설정된 감사 로그 정책에 의해 API 서버 감사 로그에 기록되는 정보의 양을 제어할 수 있습니다.
다음 절차에서는 jq를 사용하여 컨트롤 플레인 노드node-1.example.com에서 감사 로그를 필터링하는 예를 제공합니다. jq를 사용하는 방법에 대한 자세한 내요ㅇ은 jq 설명서를 참조하십시오.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. -
jq를 설치했습니다.
프로세스
사용자가 OpenShift API 서버 감사 로그를 필터링합니다.
oc adm node-logs node-1.example.com \ --path=openshift-apiserver/audit.log \ | jq 'select(.user.username == "myusername")'
$ oc adm node-logs node-1.example.com \ --path=openshift-apiserver/audit.log \ | jq 'select(.user.username == "myusername")'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 사용자 에이전트가 OpenShift API 서버 감사 로그를 필터링합니다.
oc adm node-logs node-1.example.com \ --path=openshift-apiserver/audit.log \ | jq 'select(.userAgent == "cluster-version-operator/v0.0.0 (linux/amd64) kubernetes/$Format")'
$ oc adm node-logs node-1.example.com \ --path=openshift-apiserver/audit.log \ | jq 'select(.userAgent == "cluster-version-operator/v0.0.0 (linux/amd64) kubernetes/$Format")'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 API 버전 별로 Kubernetes API 서버 감사 로그를 필터링하고 사용자 에이전트만 출력합니다.
oc adm node-logs node-1.example.com \ --path=kube-apiserver/audit.log \ | jq 'select(.requestURI | startswith("/apis/apiextensions.k8s.io/v1beta1")) | .userAgent'$ oc adm node-logs node-1.example.com \ --path=kube-apiserver/audit.log \ | jq 'select(.requestURI | startswith("/apis/apiextensions.k8s.io/v1beta1")) | .userAgent'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 동사 제외하여 OpenShift OAuth API 서버 감사 로그를 필터링합니다.
oc adm node-logs node-1.example.com \ --path=oauth-apiserver/audit.log \ | jq 'select(.verb != "get")'
$ oc adm node-logs node-1.example.com \ --path=oauth-apiserver/audit.log \ | jq 'select(.verb != "get")'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 사용자 이름을 식별했지만 오류로 인해 실패한 이벤트별로 OpenShift OAuth 서버 감사 로그를 필터링합니다.
oc adm node-logs node-1.example.com \ --path=oauth-server/audit.log \ | jq 'select(.annotations["authentication.openshift.io/username"] != null and .annotations["authentication.openshift.io/decision"] == "error")'
$ oc adm node-logs node-1.example.com \ --path=oauth-server/audit.log \ | jq 'select(.annotations["authentication.openshift.io/username"] != null and .annotations["authentication.openshift.io/decision"] == "error")'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
12.4. 감사 로그 수집
클러스터 디버깅을 위해 감사 로그를 수집하려면 must-gather 도구를 사용하면 됩니다. 수집된 로그를 검토하거나 Red Hat 지원팀에 보낼 수 있습니다.
프로세스
-- /usr/bin/gather_audit_logs:를 사용하여oc adm must-gather명령을 실행합니다.oc adm must-gather -- /usr/bin/gather_audit_logs
$ oc adm must-gather -- /usr/bin/gather_audit_logsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 작업 디렉토리에서 생성된
must-gather디렉토리에서 압축 파일을 만듭니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다.tar cvaf must-gather.tar.gz must-gather.local.472290403699006248
$ tar cvaf must-gather.tar.gz must-gather.local.4722904036990062481 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
must-gather-local.472290403699006248을 실제 디렉터리 이름으로 교체합니다.
- 압축 파일을 Red Hat 고객 포털 의 고객 지원 페이지의 지원 케이스에 첨부합니다.
13장. 감사 로그 정책 구성
이제 사용할 감사 로그 정책 프로필을 선택하여 API 서버 감사 로그에 기록되는 정보의 양을 제어할 수 있습니다.
13.1. 감사 로그 정책 프로필 정보
감사 로그 프로필은 OpenShift API 서버, Kubernetes API 서버, OpenShift OAuth API 서버 및 OpenShift OAuth 서버에 들어오는 요청을 기록하는 방법을 정의합니다.
OpenShift Container Platform에서는 다음과 같이 사전 정의된 감사 정책 프로필을 제공합니다.
| Profile | 설명 |
|---|---|
|
| 읽기 및 쓰기 요청에 대한 메타데이터만 기록합니다. OAuth 액세스 토큰 요청을 제외하고 요청 본문을 기록하지 않습니다. 이는 기본 정책입니다. |
|
|
모든 요청에 대한 메타데이터를 기록하는 것 외에도 API 서버에 대한 모든 쓰기 요청( |
|
|
모든 요청에 대한 메타데이터 기록 외에도 API 서버에 대한 모든 읽기 및 쓰기 요청( |
|
| OAuth 액세스 토큰 요청 및 OAuth 승인 토큰 요청을 포함한 어떠한 요청도 기록되지 않습니다. 이 프로필이 설정되면 사용자 정의 규칙은 무시됩니다. 주의
문제를 해결할 때 유익할 수 있는 데이터를 로깅하지 않는 것의 위험을 충분히 알고 있지 않는 한 |
-
Secret,Route,OAuthClient개체와 같은 민감한 리소스는 메타데이터 수준에서만 기록됩니다. OpenShift OAuth 서버 이벤트는 메타데이터 수준에서만 기록됩니다.
기본적으로 OpenShift Container Platform에서는 Default 감사 로그 프로필을 사용합니다. 요청 본문도 기록하는 다른 감사 정책 프로필을 사용할 수 있지만 CPU, 메모리, I/O 등 리소스 사용량이 증가한다는 점에 유의하세요.
13.2. 감사 로그 정책 구성
API 서버로 들어오는 요청을 기록할 때 사용할 감사 로그 정책을 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
APIServer리소스를 편집합니다.oc edit apiserver cluster
$ oc edit apiserver clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow spec.audit.profile필드를 업데이트합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
Default,WriteRequestBodies,AllRequestBodies또는None으로 설정합니다. 기본 프로필은Default입니다.
주의문제를 해결할 때 유용할 수 있는 데이터를 로깅하지 않는 한
None프로필을 사용하여 감사 로깅을 비활성화하지 않는 것이 좋습니다. 감사 로깅을 비활성화하고 지원 상황이 발생하는 경우 적절하게 해결하려면 감사 로깅을 활성화하고 문제를 재현해야 할 수 있습니다.- 파일을 저장하여 변경 사항을 적용합니다.
검증
Kubernetes API 서버 Pod의 새 버전이 출시되었는지 확인합니다. 모든 노드가 새 버전으로 업데이트되는 데 몇 분이 걸릴 수 있습니다.
oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버의
NodeInstallerProgressing상태 조건을 검토하여 모든 노드가 최신 버전인지 확인합니다. 업데이트가 성공적으로 실행되면 출력에AllNodesAtLatestRevision이 표시됩니다.AllNodesAtLatestRevision 3 nodes are at revision 12
AllNodesAtLatestRevision 3 nodes are at revision 121 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 이 예에서 최신 버전 번호는
12입니다.
출력에 다음 메시지 중 하나와 유사한 메시지가 표시되면 업데이트가 계속 진행 중입니다. 몇 분 기다린 후 다시 시도합니다.
-
3 nodes are at revision 11; 0 nodes have achieved new revision 12 -
2 nodes are at revision 11; 1 nodes are at revision 12
13.3. 사용자 정의 규칙을 사용하여 감사 로그 정책 구성
사용자 정의 규칙을 정의하는 감사 로그 정책을 구성할 수 있습니다. 여러 그룹을 지정하고 해당 그룹에 사용할 프로필을 정의할 수 있습니다.
이러한 사용자 정의 규칙은 최상위 프로필 필드보다 우선합니다. 사용자 지정 규칙은 위에서 아래로 평가되고 일치하는 첫 번째 규칙이 적용됩니다.
최상위 프로필 필드를 None 으로 설정하면 Kubernetes API 서버와 같은 API 서버는 사용자 지정 규칙을 무시하고 감사 로깅을 비활성화합니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
APIServer리소스를 편집합니다.oc edit apiserver cluster
$ oc edit apiserver clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow spec.audit.customRules필드를 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 파일을 저장하여 변경 사항을 적용합니다.
검증
Kubernetes API 서버 Pod의 새 버전이 출시되었는지 확인합니다. 모든 노드가 새 버전으로 업데이트되는 데 몇 분이 걸릴 수 있습니다.
oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버의
NodeInstallerProgressing상태 조건을 검토하여 모든 노드가 최신 버전인지 확인합니다. 업데이트가 성공적으로 실행되면 출력에AllNodesAtLatestRevision이 표시됩니다.AllNodesAtLatestRevision 3 nodes are at revision 12
AllNodesAtLatestRevision 3 nodes are at revision 121 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 이 예에서 최신 버전 번호는
12입니다.
출력에 다음 메시지 중 하나와 유사한 메시지가 표시되면 업데이트가 계속 진행 중입니다. 몇 분 기다린 후 다시 시도합니다.
-
3 nodes are at revision 11; 0 nodes have achieved new revision 12 -
2 nodes are at revision 11; 1 nodes are at revision 12
13.4. 감사 로깅 비활성화
OpenShift Container Platform에 대한 감사 로깅을 비활성화할 수 있습니다. 감사 로깅을 비활성화하면 OAuth 액세스 토큰 요청 및 OAuth 인증 토큰 요청도 기록되지 않습니다.
문제를 해결할 때 유용할 수 있는 데이터를 로깅하지 않는 한 None 프로필을 사용하여 감사 로깅을 비활성화하지 않는 것이 좋습니다. 감사 로깅을 비활성화하고 지원 상황이 발생하는 경우 적절하게 해결하려면 감사 로깅을 활성화하고 문제를 재현해야 할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
APIServer리소스를 편집합니다.oc edit apiserver cluster
$ oc edit apiserver clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow spec.audit.profile필드를None으로 설정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고spec.audit.customRules필드에 사용자 정의 규칙을 지정하여 특정 그룹에 대한 감사 로깅만 비활성화할 수도 있습니다.- 파일을 저장하여 변경 사항을 적용합니다.
검증
Kubernetes API 서버 Pod의 새 버전이 출시되었는지 확인합니다. 모든 노드가 새 버전으로 업데이트되는 데 몇 분이 걸릴 수 있습니다.
oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버의
NodeInstallerProgressing상태 조건을 검토하여 모든 노드가 최신 버전인지 확인합니다. 업데이트가 성공적으로 실행되면 출력에AllNodesAtLatestRevision이 표시됩니다.AllNodesAtLatestRevision 3 nodes are at revision 12
AllNodesAtLatestRevision 3 nodes are at revision 121 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 이 예에서 최신 버전 번호는
12입니다.
출력에 다음 메시지 중 하나와 유사한 메시지가 표시되면 업데이트가 계속 진행 중입니다. 몇 분 기다린 후 다시 시도합니다.
-
3 nodes are at revision 11; 0 nodes have achieved new revision 12 -
2 nodes are at revision 11; 1 nodes are at revision 12
14장. TLS 보안 프로필 설정
TLS 보안 프로필은 서버가 서버에 연결할 때 클라이언트가 사용할 수 있는 암호를 규제하는 방법을 제공합니다. 이렇게 하면 OpenShift Container Platform 구성 요소에서 알려진 비보안 프로토콜, 암호 또는 알고리즘을 허용하지 않는 암호화 라이브러리를 사용할 수 있습니다.
클러스터 관리자는 다음 구성 요소 각각에 사용할 TLS 보안 프로필을 선택할 수 있습니다.
- Ingress 컨트롤러
컨트롤 플레인
여기에는 Kubernetes API 서버, Kubernetes 컨트롤러 관리자, Kubernetes 스케줄러, OpenShift API 서버, OpenShift OAuth API 서버, OpenShift OAuth 서버, etcd, Machine Config Operator 및 Machine Config Server가 포함됩니다.
- Kubernetes API 서버의 HTTP 서버 역할을 하는 kubelet
14.1. TLS 보안 프로필 이해
TLS(Transport Layer Security) 보안 프로필을 사용하여 다양한 OpenShift Container Platform 구성 요소에 필요한 TLS 암호를 정의할 수 있습니다. OpenShift Container Platform TLS 보안 프로필은 Mozilla 권장 구성을 기반으로 합니다.
각 구성 요소에 대해 다음 TLS 보안 프로필 중 하나를 지정할 수 있습니다.
| Profile | 설명 |
|---|---|
|
| 이 프로필은 레거시 클라이언트 또는 라이브러리와 함께 사용하기 위한 것입니다. 프로필은 이전 버전과의 호환성 권장 구성을 기반으로 합니다.
참고 Ingress 컨트롤러의 경우 최소 TLS 버전이 1.0에서 1.1로 변환됩니다. |
|
| 이 프로필은 Ingress Controller, kubelet 및 제어 평면에 대한 기본 TLS 보안 프로필입니다. 프로필은 중간 호환성 권장 구성을 기반으로 합니다.
참고 이 프로필은 대부분의 클라이언트에서 권장되는 구성입니다. |
|
| 이 프로필은 이전 버전과의 호환성이 필요하지 않은 최신 클라이언트와 사용하기 위한 것입니다. 이 프로필은 최신 호환성 권장 구성을 기반으로 합니다.
|
|
| 이 프로필을 사용하면 사용할 TLS 버전과 암호를 정의할 수 있습니다. 주의
|
미리 정의된 프로파일 유형 중 하나를 사용하는 경우 유효한 프로파일 구성은 릴리스마다 변경될 수 있습니다. 예를 들어 릴리스 X.Y.Z에 배포된 중간 프로필을 사용하는 사양이 있는 경우 릴리스 X.Y.Z+1로 업그레이드하면 새 프로필 구성이 적용되어 롤아웃이 발생할 수 있습니다.
14.2. TLS 보안 프로필 세부 정보 보기
Ingress 컨트롤러, 컨트롤 플레인, kubelet 등 다음 각 구성 요소에 대해 사전 정의된 TLS 보안 프로필의 최소 TLS 버전 및 암호를 볼 수 있습니다.
프로필에 대한 최소 TLS 버전 및 암호 목록의 효과적인 구성은 구성 요소마다 다를 수 있습니다.
프로세스
특정 TLS 보안 프로필의 세부 정보를 확인합니다.
oc explain <component>.spec.tlsSecurityProfile.<profile>
$ oc explain <component>.spec.tlsSecurityProfile.<profile>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<component>에 대해ingresscontroller,apiserver또는kubeletconfig를 지정합니다.<profile>에 대해old,intermediate,custom을 지정합니다.
예를 들어 컨트롤 플레인의
intermediate프로필에 포함된 암호를 확인하려면 다음을 수행합니다.oc explain apiserver.spec.tlsSecurityProfile.intermediate
$ oc explain apiserver.spec.tlsSecurityProfile.intermediateCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 구성 요소의
tlsSecurityProfile필드에 대한 모든 세부 정보를 확인합니다.oc explain <component>.spec.tlsSecurityProfile
$ oc explain <component>.spec.tlsSecurityProfile1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<component>에 대해ingresscontroller,apiserver또는kubeletconfig를 지정합니다.
예를 들어 Ingress 컨트롤러의
tlsSecurityProfile필드의 모든 세부 정보를 확인하려면 다음을 수행합니다.oc explain ingresscontroller.spec.tlsSecurityProfile
$ oc explain ingresscontroller.spec.tlsSecurityProfileCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
14.3. Ingress 컨트롤러의 TLS 보안 프로필 구성
Ingress 컨트롤러에 대한 TLS 보안 프로필을 구성하려면 IngressController CR(사용자 정의 리소스)을 편집하여 사전 정의된 또는 사용자 지정 TLS 보안 프로필을 지정합니다. TLS 보안 프로필이 구성되지 않은 경우 기본값은 API 서버에 설정된 TLS 보안 프로필을 기반으로 합니다.
Old TLS 보안 프로파일을 구성하는 샘플 IngressController CR
TLS 보안 프로필은 Ingress 컨트롤러의 TLS 연결에 대한 최소 TLS 버전과 TLS 암호를 정의합니다.
Status.Tls Profile 아래의 IngressController CR(사용자 정의 리소스) 및 Spec.Tls Security Profile 아래 구성된 TLS 보안 프로필에서 구성된 TLS 보안 프로필의 암호 및 최소 TLS 버전을 확인할 수 있습니다. Custom TLS 보안 프로필의 경우 특정 암호 및 최소 TLS 버전이 두 매개변수 아래에 나열됩니다.
HAProxy Ingress 컨트롤러 이미지는 TLS 1.3 및 Modern 프로필을 지원합니다.
Ingress Operator는 Old 또는 Custom 프로파일의 TLS 1.0을 1.1로 변환합니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
openshift-ingress-operator프로젝트에서IngressControllerCR을 편집하여 TLS 보안 프로필을 구성합니다.oc edit IngressController default -n openshift-ingress-operator
$ oc edit IngressController default -n openshift-ingress-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow spec.tlsSecurityProfile필드를 추가합니다.Custom프로필에 대한IngressControllerCR 샘플Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 파일을 저장하여 변경 사항을 적용합니다.
검증
IngressControllerCR에 프로파일이 설정되어 있는지 확인합니다.oc describe IngressController default -n openshift-ingress-operator
$ oc describe IngressController default -n openshift-ingress-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
14.4. 컨트롤 플레인의 TLS 보안 프로필 구성
컨트롤 플레인에 대한 TLS 보안 프로필을 구성하려면 APIServer CR(사용자 정의 리소스)을 편집하여 사전 정의된 또는 사용자 지정 TLS 보안 프로필을 지정합니다. APIServer CR에서 TLS 보안 프로필을 설정하면 다음 컨트롤 플레인 구성 요소로 설정이 전파됩니다.
- Kubernetes API 서버
- Kubernetes 컨트롤러 관리자
- Kubernetes 스케줄러
- OpenShift API 서버
- OpenShift OAuth API 서버
- OpenShift OAuth 서버
- etcd
- Machine Config Operator
- 머신 구성 서버
TLS 보안 프로필이 구성되지 않은 경우 기본 TLS 보안 프로필은 Intermediate입니다.
Ingress 컨트롤러의 기본 TLS 보안 프로필은 API 서버에 설정된 TLS 보안 프로필을 기반으로 합니다.
Old TLS 보안 프로파일을 구성하는 샘플 APIServer CR
TLS 보안 프로필은 컨트롤 플레인 구성 요소와 통신하는 데 필요한 최소 TLS 버전 및 TLS 암호를 정의합니다.
Spec.Tls Security Profile의 APIServer CR(사용자 정의 리소스)에서 구성된 TLS 보안 프로필을 확인할 수 있습니다. Custom TLS 보안 프로필의 경우 특정 암호 및 최소 TLS 버전이 나열됩니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
기본
APIServerCR을 편집하여 TLS 보안 프로필을 구성합니다.oc edit APIServer cluster
$ oc edit APIServer clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow spec.tlsSecurityProfile필드를 추가합니다.Custom프로파일의APIServerCR 샘플Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 파일을 저장하여 변경 사항을 적용합니다.
검증
TLS 보안 프로필이
APIServerCR에 설정되어 있는지 확인합니다.oc describe apiserver cluster
$ oc describe apiserver clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow TLS 보안 프로필이
etcdCR에 설정되어 있는지 확인합니다.oc describe etcd cluster
$ oc describe etcd clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow TLS 보안 프로필이 Machine Config Server 포드에 설정되어 있는지 확인하세요.
oc logs machine-config-server-5msdv -n openshift-machine-config-operator
$ oc logs machine-config-server-5msdv -n openshift-machine-config-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
... ...
# ... I0905 13:48:36.968688 1 start.go:51] Launching server with tls min version: VersionTLS12 & cipher suites [TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256] # ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
14.5. kubelet의 TLS 보안 프로필 구성
HTTP 서버 역할을 할 때 kubelet에 대한 TLS 보안 프로필을 구성하려면 KubeletConfig CR(사용자 정의 리소스)을 생성하여 특정 노드에 대해 사전 정의 또는 사용자 지정 TLS 보안 프로필을 지정합니다. TLS 보안 프로필이 구성되지 않은 경우 기본 TLS 보안 프로필은 Intermediate입니다.
kubelet은 HTTP/GRPC 서버를 사용하여 명령을 Pod에 전송하고 로그를 수집하며 kubelet을 통해 Pod에서 exec 명령을 실행하는 Kubernetes API 서버와 통신합니다.
작업자 노드에서 Old TLS 보안 프로필을 구성하는 샘플 KubeletConfig CR
구성된 노드의 kubelet.conf 파일에서 구성된 TLS 보안 프로필의 암호 및 최소 TLS 버전을 확인할 수 있습니다.
사전 요구 사항
-
클러스터 관리자역할이 있는 사용자로 OpenShift Container Platform에 로그인했습니다.
프로세스
KubeletConfigCR을 생성하여 TLS 보안 프로필을 구성합니다.Custom프로파일의 샘플KubeletConfigCRCopy to Clipboard Copied! Toggle word wrap Toggle overflow KubeletConfig오브젝트를 생성합니다.oc create -f <filename>
$ oc create -f <filename>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 클러스터의 작업자 노드 수에 따라 구성된 노드가 하나씩 재부팅될 때까지 기다립니다.
검증
프로필이 설정되었는지 확인하려면 노드가 Ready 상태가 된 후 다음 단계를 수행합니다.
구성된 노드의 디버그 세션을 시작합니다.
oc debug node/<node_name>
$ oc debug node/<node_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 디버그 쉘 내에서
/host를 root 디렉터리로 설정합니다.chroot /host
sh-4.4# chroot /hostCopy to Clipboard Copied! Toggle word wrap Toggle overflow kubelet.conf파일을 확인합니다.cat /etc/kubernetes/kubelet.conf
sh-4.4# cat /etc/kubernetes/kubelet.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
15장. seccomp 프로필 구성
OpenShift Container Platform 컨테이너 또는 Pod는 하나 이상의 잘 정의된 작업을 수행하는 단일 애플리케이션을 실행합니다. 애플리케이션에는 일반적으로 기본 운영 체제 커널 API의 작은 하위 집합만 필요합니다. 보안 컴퓨팅 모드인 seccomp는 컨테이너에서 실행되는 프로세스가 사용 가능한 시스템 호출의 하위 집합만 사용하도록 제한하는 데 사용할 수 있는 Linux 커널 기능입니다.
제한된 v2 SCC는 4.19에서 새로 생성된 모든 Pod에 적용됩니다. 이러한 포드에는 기본 seccomp 프로필 런타임/기본값이 적용됩니다.
seccomp 프로필은 디스크에 JSON 파일로 저장됩니다.
seccomp 프로필은 권한 있는 컨테이너에 적용할 수 없습니다.
15.1. Pod에 적용된 기본 seccomp 프로필 확인
OpenShift Container Platform은 runtime/default 로 참조되는 기본 seccomp 프로필과 함께 제공됩니다. 4.19에서는 새로 생성된 포드의 보안 컨텍스트 제약(SCC)이 restricted-v2 로 설정되고 기본 seccomp 프로필이 포드에 적용됩니다.
프로세스
다음 명령을 실행하여 포드에 설정된 보안 컨텍스트 제약(SCC)과 기본 seccomp 프로필을 확인할 수 있습니다.
네임스페이스에서 어떤 포드가 실행 중인지 확인하세요.
oc get pods -n <namespace>
$ oc get pods -n <namespace>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들어,
워크숍네임스페이스에서 어떤 포드가 실행 중인지 확인하려면 다음을 실행합니다.oc get pods -n workshop
$ oc get pods -n workshopCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE parksmap-1-4xkwf 1/1 Running 0 2m17s parksmap-1-deploy 0/1 Completed 0 2m22s
NAME READY STATUS RESTARTS AGE parksmap-1-4xkwf 1/1 Running 0 2m17s parksmap-1-deploy 0/1 Completed 0 2m22sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 포드를 검사하세요:
oc get pod parksmap-1-4xkwf -n workshop -o yaml
$ oc get pod parksmap-1-4xkwf -n workshop -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
15.1.1. 업그레이드된 클러스터
4.19로 업그레이드된 클러스터에서는 인증된 모든 사용자가 제한된 SCC 및 제한된 v2 SCC에 액세스할 수 있습니다.
예를 들어 업그레이드 시 OpenShift Container Platform v4.10 클러스터에서 restricted SCC에 의해 허용된 워크로드는 restricted-v2에 의해 허용될 수 있습니다. restricted-v2는 restricted 및 restricted-v2 간에 더 제한적인 SCC이기 때문입니다.
워크로드는 retricketed-v2 로 실행될 수 있어야 합니다.
반대로 privilegeEscalation: true가 필요한 작업 부하의 경우 이 작업 부하에서는 인증된 모든 사용자가 제한된 SCC를 계속 사용할 수 있습니다. 이는 restricted-v2가 privilegeEscalation을 허용하지 않기 때문입니다.
15.1.2. 새로 설치된 클러스터
새로 설치된 OpenShift Container Platform 4.11 이상 클러스터의 경우, restricted-v2는 모든 인증된 사용자가 사용할 수 있는 SCC로서 restricted SCC를 대체합니다. privilegeEscalation: true 인 워크로드는 기본적으로 인증된 사용자에게 사용 가능한 유일한 SCC인 restricted-v2 가 클러스터에 허용되지 않습니다.
privilegeEscalation 기능은 restricted으로 허용되지만 restricted-v2로는 허용되지 않습니다. 제한된 SCC에서 허용한 기능보다 제한된 v2 에서 거부하는 기능이 더 많습니다.
privilegeEscalation: true가 설정된 워크로드는 새로 설치된 OpenShift Container Platform 4.11 이상 클러스터에 수용될 수 있습니다. RoleBinding을 사용하여 워크로드를 실행하는 ServiceAccount(또는 이 워크로드를 허용할 수 있는 다른 SCC)에 제한된 SCC에 대한 액세스 권한을 부여하려면 다음 명령을 실행합니다.
oc -n <workload-namespace> adm policy add-scc-to-user <scc-name> -z <serviceaccount_name>
$ oc -n <workload-namespace> adm policy add-scc-to-user <scc-name> -z <serviceaccount_name>
OpenShift Container Platform 4.19에서는 seccomp.security.alpha.kubernetes.io/pod:runtime/default 및 container.seccomp.security.alpha.kubernetes.io/<container_name>:runtime/default라는 포드 주석을 추가하는 기능이 더 이상 제공되지 않습니다.
15.2. 사용자 정의 seccomp 프로필 구성
애플리케이션 요구 사항에 따라 필터를 업데이트할 수 있는 사용자 지정 seccomp 프로필을 구성할 수 있습니다. 이를 통해 클러스터 관리자는 OpenShift Container Platform에서 실행되는 워크로드의 보안을 보다 효과적으로 제어할 수 있습니다.
seccomp 보안 프로필은 프로세스에서 수행할 수 있는 시스템 호출(syscall)을 나열합니다. 권한은 SELinux보다 광범위하며, 시스템 전체 쓰기 와 같은 작업을 제한합니다.
15.2.1. seccomp 프로필 생성
MachineConfig 오브젝트를 사용하여 프로필을 생성할 수 있습니다.
seccomp는 컨테이너 내에서 시스템 호출(syscall)을 제한하여 애플리케이션 액세스를 제한할 수 있습니다.
사전 요구 사항
- 클러스터 관리자 권한이 있습니다.
- 사용자 정의 SCC(보안 컨텍스트 제약 조건)를 생성했습니다. 자세한 내용은 추가 리소스를 참조하십시오.
프로세스
MachineConfig오브젝트를 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
15.2.2. 사용자 정의 seccomp 프로필 설정
사전 요구 사항
- 클러스터 관리자 권한이 있어야 합니다.
- 사용자 정의 SCC(보안 컨텍스트 제약 조건)를 생성했습니다. 자세한 내용은 "추가 리소스"를 참조하십시오.
- 사용자 지정 seccomp 프로필을 생성했습니다.
프로세스
-
Machine Config를 사용하여 사용자 정의 seccomp 프로필을
/var/lib/kubelet/seccomp/<custom-name>.json에 업로드합니다. 자세한 단계는 "추가 리소스"를 참조하십시오. 생성된 사용자 지정 seccomp 프로필에 대한 참조를 제공하여 사용자 정의 SCC를 업데이트합니다.
seccompProfiles: - localhost/<custom-name>.json
seccompProfiles: - localhost/<custom-name>.json1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 사용자 지정 seccomp 프로필의 이름을 제공합니다.
15.2.3. 워크로드에 사용자 정의 seccomp 프로필 적용
사전 요구 사항
- 클러스터 관리자가 사용자 지정 seccomp 프로필을 설정했습니다. 자세한 내용은 "사용자 지정 seccomp 프로필 설정"을 참조하십시오.
프로세스
securityContext.seccompProfile.type필드를 다음과 같이 설정하여 워크로드에 seccomp 프로필을 적용합니다.예제
spec: securityContext: seccompProfile: type: Localhost localhostProfile: <custom-name>.jsonspec: securityContext: seccompProfile: type: Localhost localhostProfile: <custom-name>.json1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 사용자 지정 seccomp 프로필의 이름을 제공합니다.
또는 Pod 주석
seccomp.security.alpha.kubernetes.io/pod: localhost/<custom-name>.json을 사용할 수 있습니다. 하지만 이 방법은 OpenShift Container Platform 4.19에서는 더 이상 지원되지 않습니다.
배포하는 동안 승인 컨트롤러는 다음을 확인합니다.
- 사용자 역할에서 허용하는 현재 SCC에 대한 주석입니다.
- seccomp 프로필을 포함하는 SCC를 pod에 사용할 수 있습니다.
Pod에 SCC가 허용되면 kubelet은 지정된 seccomp 프로필을 사용하여 Pod를 실행합니다.
seccomp 프로필이 모든 작업자 노드에 배포되었는지 확인합니다.
사용자 정의 SCC에는 CAP_NET_ADMIN 허용과 같은 Pod에 필요한 다른 조건을 충족하거나 Pod에 자동으로 할당되는 적절한 우선순위가 있어야 합니다.
16장. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
16.1. 추가 호스트에서 JavaScript를 기반으로 API 서버에 액세스하도록 허용
기본 OpenShift Container Platform 구성에서는 웹 콘솔에서만 요청을 API 서버로 보낼 수 있습니다.
다른 호스트 이름을 사용하여 JavaScript 애플리케이션에서 API 서버 또는 OAuth 서버에 액세스해야 하는 경우 허용할 추가 호스트 이름을 구성할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
APIServer리소스를 편집합니다.oc edit apiserver.config.openshift.io cluster
$ oc edit apiserver.config.openshift.io clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow spec섹션 아래에additionalCORSAllowedOrigins필드를 추가하고 하나 이상의 추가 호스트 이름을 지정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 호스트 이름은 API 서버 및 OAuth 서버에 대한 HTTP 요청의 CORS 헤더와 일치하는 Golang 정규식으로 지정됩니다.
참고이 예에서는 다음 구문을 사용합니다.
-
(?i)는 대소문자를 구분하지 않습니다. -
//는 도메인 시작 부분에 고정되고http:또는https:다음의 이중 슬래시와 일치합니다. -
\.은 도메인 이름에서 점을 이스케이프합니다. -
(:|\z)는 도메인 이름(\z)의 끝 또는 포트 구분 기호(:)과 일치하는지 확인합니다.
- 파일을 저장하여 변경 사항을 적용합니다.
17장. Pod에서 취약점 스캔
Red Hat Quay Container Security Operator를 사용하면 클러스터의 활성 포드에서 사용되는 컨테이너 이미지에 대한 OpenShift Container Platform 웹 콘솔의 취약성 검사 결과에 액세스할 수 있습니다. Red Hat Quay 컨테이너 보안 운영자:
- 모든 네임스페이스 또는 지정된 네임스페이스에서 Pod와 관련된 컨테이너 감시
- 이미지 레지스트리가 이미지 스캐닝을 실행 중인 경우(예: Quay.io 또는 Clair 스캐닝이 포함된 Red Hat Quay 레지스트리) 컨테이너가 어디에서 왔는지 컨테이너 레지스트리에 대한 취약성 정보를 쿼리합니다.
-
Kubernetes API의
ImageManifestVuln오브젝트를 통해 취약점 노출
여기에 나와 있는 지침을 사용하면 Red Hat Quay Container Security Operator가 openshift-operators 네임스페이스에 설치되므로 OpenShift Container Platform 클러스터의 모든 네임스페이스에서 사용할 수 있습니다.
17.1. Red Hat Quay 컨테이너 보안 운영자 설치
OpenShift Container Platform 웹 콘솔 Operator Hub에서 또는 CLI를 사용하여 Red Hat Quay Container Security Operator를 설치할 수 있습니다.
사전 요구 사항
-
ocCLI를 설치했습니다. -
클러스터 관리자권한이 있는 사용자로 웹 콘솔에 액세스할 수 있습니다. - 클러스터에서 실행되는 Red Hat Quay 또는 Quay.io 레지스트리에서 온 컨테이너가 있습니다.
프로세스
OpenShift Container Platform 웹 콘솔을 사용하여 Red Hat Quay Container Security Operator를 설치할 수 있습니다.
- 웹 콘솔에서 Operators → OperatorHub 로 이동하여 Security를 선택합니다.
- Red Hat Quay Container Security Operator Operator를 선택한 다음 설치를 선택합니다.
-
Red Hat Quay Container Security Operator 페이지에서 설치를 선택합니다. 업데이트 채널 , 설치 모드 , 업데이트 승인이 자동으로 선택됩니다. 설치된 네임스페이스 필드는 기본적으로
openshift-operators로 설정됩니다. 필요에 따라 이러한 설정을 조정할 수 있습니다. - 설치를 선택합니다. 잠시 후 Red Hat Quay Container Security Operator가 설치된 운영자 페이지에 나타납니다.
선택 사항: Red Hat Quay Container Security Operator에 사용자 정의 인증서를 추가할 수 있습니다. 예를 들어 현재 디렉터리에
quay.crt라는 인증서를 생성합니다. 그런 다음, 다음 명령을 실행하여 Red Hat Quay Container Security Operator에 사용자 지정 인증서를 추가합니다.oc create secret generic container-security-operator-extra-certs --from-file=quay.crt -n openshift-operators
$ oc create secret generic container-security-operator-extra-certs --from-file=quay.crt -n openshift-operatorsCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 선택 사항: 사용자 정의 인증서를 추가한 경우 새 인증서가 적용되도록 Red Hat Quay Container Security Operator Pod를 다시 시작하세요.
또는 CLI를 사용하여 Red Hat Quay Container Security Operator를 설치할 수 있습니다.
다음 명령을 입력하여 Container Security Operator와 해당 채널의 최신 버전을 검색합니다.
oc get packagemanifests container-security-operator \ -o jsonpath='{range .status.channels[*]}{@.currentCSV} {@.name}{"\n"}{end}' \ | awk '{print "STARTING_CSV=" $1 " CHANNEL=" $2 }' \ | sort -Vr \ | head -1$ oc get packagemanifests container-security-operator \ -o jsonpath='{range .status.channels[*]}{@.currentCSV} {@.name}{"\n"}{end}' \ | awk '{print "STARTING_CSV=" $1 " CHANNEL=" $2 }' \ | sort -Vr \ | head -1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
STARTING_CSV=container-security-operator.v3.8.9 CHANNEL=stable-3.8
STARTING_CSV=container-security-operator.v3.8.9 CHANNEL=stable-3.8Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 명령의 출력을 사용하여 Red Hat Quay Container Security Operator에 대한
구독사용자 정의 리소스를 만들고 이를container-security-operator.yaml로 저장합니다. 예를 들면 다음과 같습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 입력하여 구성을 적용합니다.
oc apply -f container-security-operator.yaml
$ oc apply -f container-security-operator.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
subscription.operators.coreos.com/container-security-operator created
subscription.operators.coreos.com/container-security-operator createdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
17.2. Red Hat Quay 컨테이너 보안 운영자 사용
다음 절차에서는 Red Hat Quay Container Security Operator를 사용하는 방법을 보여줍니다.
사전 요구 사항
- Red Hat Quay Container Security Operator를 설치했습니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 홈 → 개요 로 이동합니다. 상태 섹션에서 이미지 취약점은 발견된 취약점의 수를 제공합니다.
- 이미지 취약점을 클릭하면 이미지 취약점 분석 탭이 나타납니다. 이 탭에는 취약점의 심각도, 취약점을 수정할 수 있는지 여부, 취약점의 총 개수가 자세히 나와 있습니다.
감지된 취약점은 다음 두 가지 방법 중 하나로 해결할 수 있습니다.
- 취약점 섹션에서 링크를 선택하세요. 이렇게 하면 컨테이너가 나온 컨테이너 레지스트리로 이동하여 취약점에 대한 정보를 볼 수 있습니다.
- 네임스페이스 링크를 선택합니다. 이렇게 하면 이미지 매니페스트 취약점 페이지로 이동하여 선택한 이미지의 이름과 해당 이미지가 실행 중인 모든 네임스페이스를 볼 수 있습니다.
취약한 이미지가 무엇인지, 해당 취약성을 해결하는 방법, 이미지가 실행되는 네임스페이스를 파악한 후에는 다음 작업을 수행하여 보안을 강화할 수 있습니다.
- 이미지를 실행하고 있는 조직 내의 모든 사람에게 경고하고 취약점을 수정하도록 요청하세요.
이미지가 있는 포드를 시작한 배포나 다른 객체를 삭제하여 이미지 실행을 중지합니다.
참고포드를 삭제하면 대시보드에서 취약점 정보가 재설정되는 데 몇 분이 걸릴 수 있습니다.
17.3. CLI에서 이미지 취약점 쿼리
oc 명령을 사용하면 Red Hat Quay Container Security Operator가 감지한 취약점에 대한 정보를 표시할 수 있습니다.
사전 요구 사항
- OpenShift Container Platform 인스턴스에 Red Hat Quay Container Security Operator를 설치했습니다.
프로세스
감지된 컨테이너 이미지 취약점을 쿼리하려면 다음 명령을 입력하세요.
oc get vuln --all-namespaces
$ oc get vuln --all-namespacesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAMESPACE NAME AGE default sha256.ca90... 6m56s skynet sha256.ca90... 9m37s
NAMESPACE NAME AGE default sha256.ca90... 6m56s skynet sha256.ca90... 9m37sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 특정 취약점에 대한 세부 정보를 표시하려면 취약점 이름과 네임스페이스를
oc describe명령에 추가합니다. 다음 예는 취약점이 있는 RPM 패키지가 포함된 이미지를 가진 활성 컨테이너를 보여줍니다.oc describe vuln --namespace mynamespace sha256.ac50e3752...
$ oc describe vuln --namespace mynamespace sha256.ac50e3752...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
17.4. Red Hat Quay 컨테이너 보안 운영자 제거
Container Security Operator를 제거하려면 Operator를 제거하고 imagemanifestvulns.secscan.quay.redhat.com 사용자 정의 리소스 정의(CRD)를 삭제해야 합니다.
프로세스
- OpenShift Container Platform 웹 콘솔에서 운영자 → 설치된 운영자를 클릭합니다.
-
옵션 메뉴를 클릭하세요
컨테이너 보안 운영자의.
- Operator 제거를 클릭합니다.
- 팝업 창에서 제거를 클릭하여 결정을 확인하세요.
CLI를 사용하여
imagemanifestvulns.secscan.quay.redhat.comCRD를 삭제합니다.다음 명령을 입력하여
imagemanifestvulns.secscan.quay.redhat.com사용자 정의 리소스 정의를 제거합니다.oc delete customresourcedefinition imagemanifestvulns.secscan.quay.redhat.com
$ oc delete customresourcedefinition imagemanifestvulns.secscan.quay.redhat.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
customresourcedefinition.apiextensions.k8s.io "imagemanifestvulns.secscan.quay.redhat.com" deleted
customresourcedefinition.apiextensions.k8s.io "imagemanifestvulns.secscan.quay.redhat.com" deletedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
18장. NBDE(Network-Bound Disk Encryption)
18.1. 디스크 암호화 기술 정보
NBDE(Network-Bound Disk Encryption)를 사용하면 시스템을 다시 시작할 때 암호를 수동으로 입력하지 않고도 실제 및 가상 시스템에서 하드 드라이브의 root 볼륨을 암호화할 수 있습니다.
18.1.1. 디스크 암호화 기술 비교
에지 서버에서 저장 데이터를 보호하기 위해 네트워크 바운드 디스크 암호화(NBDE)의 장점을 알아보려면 Clevis를 사용하지 않는 키 에스크로 및 TPM 디스크 암호화를 Red Hat Enterprise Linux(RHEL)를 실행하는 시스템의 NBDE와 비교해 보세요.
다음 표에는 위협 모델과 각 암호화 솔루션의 복잡성과 관련된 몇 가지 장단점이 표시되어 있습니다.
| 시나리오 | 키 에스크로 | TPM 디스크 암호화 (Clevis 제외) | NBDE |
|---|---|---|---|
| 단일 디스크 도난으로부터 보호 | X | X | X |
| 전체 서버 도난으로부터 보호 | X | X | |
| 시스템은 네트워크와 독립적으로 재부팅 가능 | X | ||
| 주기적인 키 재입력 없음 | X | ||
| 키가 네트워크를 통해 전송되지 않음 | X | X | |
| OpenShift에서 지원 | X | X |
18.1.1.1. 키 에스크로
키 에스크로는 암호화 키를 저장하는 기존 시스템입니다. 네트워크의 키 서버는 암호화된 부팅 디스크가 있는 노드의 암호화 키를 저장하고 쿼리할 때 이를 반환합니다. 키 관리, 전송 암호화 및 인증에 대한 복잡성으로 인해 부팅 디스크 암호화를 위한 합리적인 선택이 아닙니다.
Red Hat Enterprise Linux(RHEL)에서 사용할 수 있지만 키 에스크로 기반 디스크 암호화 설정 및 관리는 수동 프로세스이며 노드를 자동으로 추가하는 것을 포함하여 OpenShift Container Platform 자동화 작업에 적합하지 않으며 현재 OpenShift Container Platform에서 지원되지 않습니다.
18.1.1.2. TPM 암호화
신뢰할 수 있는 TPM(Platform Module) 디스크 암호화는 데이터 센터나 원격 보호 위치에 설치하는 데 가장 적합합니다. dm-crypt 및 BitLocker와 같은 전체 디스크 암호화 유틸리티는 TPM 바인드 키를 사용하여 디스크를 암호화한 다음 노드의 마더보드에 연결된 TPM에 TPM 바인드 키를 저장합니다. 이 방법의 주요 이점은 외부 종속성이 없으며 노드는 외부 상호 작용 없이 부팅 시 자체 디스크를 암호 해독할 수 있다는 것입니다.
디스크가 노드에서 도난되어 외부에서 분석되는 경우 TPM 디스크 암호화는 데이터의 암호 해독을 방지합니다. 그러나 안전하지 않은 위치의 경우 이것으로 충분하지 않을 수 있습니다. 예를 들어 공격자가 전체 노드를 압축하는 경우 노드가 자체 디스크를 암호 해독하므로 공격자는 노드의 전원을 켤 때 데이터를 가로챌 수 있습니다. 물리적 TPM2 칩이 있는 노드와 VPM(Virtual Trusted Platform Module) 액세스 권한이 있는 가상 머신에 적용됩니다.
18.1.1.3. NBDE(Network-Bound Disk Encryption)
NBDE(Network-Bound Disk Encryption)는 네트워크 전체에서 안전하고 익명의 방식으로 암호화 키를 외부 서버 또는 서버 집합에 효과적으로 연결합니다. 노드가 암호화 키를 저장하지 않거나 네트워크를 통해 전송하지 않지만 유사한 방식으로 작동한다는 점에서 키 에스크로가 아닙니다.
Clevis 및 Tang은 네트워크 바인딩 암호화를 제공하는 일반 클라이언트 및 서버 구성 요소입니다. Red Hat Enterprise Linux CoreOS(RHCOS)는 이러한 구성 요소를 Linux Unified Key Setup-on-disk-format(LUKS)과 함께 사용하여 루트 및 비루트 스토리지 볼륨을 암호화하고 복호화하여 네트워크 바운드 디스크 암호화를 수행합니다.
노드가 시작되면 암호화 핸드셰이크를 수행하여 미리 정의된 Tang 서버 집합에 연결을 시도합니다. 필요한 수의 Tang 서버 수에 도달할 수 있는 경우 노드는 디스크 암호 해독 키를 구성하고 디스크를 잠금 해제하여 계속 부팅할 수 있습니다. 네트워크 중단 또는 서버를 사용할 수 없으므로 노드가 Tang 서버에 액세스할 수 없는 경우 노드는 부팅할 수 없으며 Tang 서버를 다시 사용할 수 있을 때까지 무기한 다시 시도합니다. 키가 네트워크에 있는 노드에 효과적으로 연결되기 때문에, 공격자가 미사용 데이터에 액세스하려고 하면 노드의 디스크와 Tang 서버에 대한 네트워크 액세스도 가져와야 합니다.
다음 그림은 NBDE의 배포 모델을 보여줍니다.
다음 그림은 재부팅 중에 NBDE 동작을 보여줍니다.
18.1.1.4. 보안 공유 암호화
Shamir의 비밀 공유(sss)는 안전하게 키를 분할, 배포 및 재조정하기 위한 암호화 알고리즘입니다. OpenShift Container Platform은 이 알고리즘을 사용하여 더 복잡한 키 보안 조합을 지원할 수 있습니다.
여러 Tang 서버를 사용하도록 클러스터 노드를 구성하면 OpenShift Container Platform은 sss를 사용하여 지정된 서버 중 하나를 사용할 수 있는 경우 성공하는 암호 해독 정책을 설정합니다. 추가 보안을 위해 계층을 만들 수 있습니다. 예를 들어 OpenShift Container Platform에 디스크 암호 해독을 위해 지정된 Tang 서버 목록 중 하나와 TPM이 모두 필요한 정책을 정의할 수 있습니다.
18.1.2. Tang 서버 디스크 암호화
다음 구성 요소와 기술은 NBDE(Network-Bound Disk Encryption)를 구현합니다.
그림 18.1. LUKS1 암호화 볼륨을 사용할 때의 NBDE 스키마입니다 luksmeta 패키지는 LUKS2 볼륨에 사용되지 않습니다.
Tang은 데이터를 네트워크 상에 바인딩하는 서버입니다. 그러면 노드가 특정 보안 네트워크에 바인딩될 때 데이터를 포함하는 노드를 사용할 수 있습니다. Tang은 상태 비저장이며 TLS(전송 계층 보안) 또는 인증이 필요하지 않습니다. 키 서버가 모든 암호화 키를 저장하고 모든 암호화 키에 대한 지식이 있는 에스크로 기반 솔루션과 달리 Tang은 노드 키와 상호 작용하지 않으므로 노드에서 식별 정보를 얻을 수 없습니다.
Clevis는 Linux Unified Key Setup-on-disk-format(LUKS) 볼륨의 자동 잠금 해제를 제공하는 자동화된 암호 해독을 위한 플러그형 프레임워크입니다. Clevis 패키지는 노드에서 실행되며 기능의 클라이언트 측면을 제공합니다.
클레비스 핀은 클레비스 프레임워크에 추가된 플러그인입니다. 다음 세 가지 고정 유형이 있습니다.
- TPM2
- 디스크 암호화를 TPM2에 바인딩합니다.
- Tang
- 디스크 암호화를 Tang 서버에 바인딩하여 NBDE를 활성화합니다.
- Shamir의 시크릿 공유 (sss)
다른 핀의 더 복잡한 조합을 허용합니다. 다음과 같은 더 미묘한 정책을 허용합니다.
- 이 세 개의 Tang 서버 중 하나에 연결할 수 있어야합니다.
- 이 5 개의 Tang 서버 중 세 개에 연결할 수 있어야합니다.
- TPM2 및 이 세 Tang 서버 중 하나 이상에 연결할 수 있어야합니다.
18.1.3. Tang 서버 위치 계획
Tang 서버 환경을 계획할 때 Tang 서버의 실제 및 네트워크 위치를 고려하십시오.
- 물리적 위치
Tang 서버의 지리적 위치는 무단 액세스 또는 도난으로부터 적절하게 보호되고 중요한 서비스를 실행하는 데 필요한 가용성과 접근성을 제공하는 한 비교적 중요하지 않습니다.
항상 Tang 서버를 사용할 수 있는 한 Clevis 클라이언트가 있는 노드에는 로컬 Tang 서버가 필요하지 않습니다. 재해 복구에는 위치에 관계없이 Tang 서버에 대한 중복 전원 및 중복 네트워크 연결이 필요합니다.
- 네트워크 위치
Tang 서버에 대한 네트워크 액세스 권한이 있는 노드는 고유한 디스크 파티션 또는 동일한 Tang 서버에서 암호화된 다른 디스크를 해독할 수 있습니다.
지정된 호스트에서 네트워크 연결 여부가 있는지 확인하는 Tang 서버의 네트워크 위치를 선택하여 암호 해독 권한을 허용합니다. 예를 들어 방화벽 보호는 모든 유형의 게스트 또는 공용 네트워크에서 액세스하지 못하거나, 보안이 유지되지 않은 모든 네트워크 파이크에서 액세스하지 못하도록 할 수 있습니다.
또한 프로덕션 네트워크와 개발 네트워크 간의 네트워크 분리를 유지 관리합니다. 이를 통해 적절한 네트워크 위치를 정의하고 추가 보안 계층을 추가할 수 있습니다.
동일한 리소스(예: 동일한
rolebindings.rbac.authorization.k8s.io클러스터)에 Tang 서버를 배포하지 마십시오. 그러나 Tang 서버 및 기타 보안 리소스의 클러스터는 여러 추가 클러스터 및 클러스터 리소스를 지원하는 데 유용한 구성일 수 있습니다.
18.1.4. Tang 서버 크기 조정 요구사항
가용성, 네트워크 및 물리적 위치에 대한 요구 사항은 서버 용량에 대해 우려하지 않고 사용할 Tang 서버 수를 결정하는 데 영향을 미칩니다.
Tang 서버는 Tang 리소스를 사용하여 암호화된 데이터 상태를 유지 관리하지 않습니다. Tang 서버는 완전히 독립적이거나 중요한 자료만 공유하므로 확장이 용이합니다.
Tang 서버는 핵심 자료를 처리하는 두 가지 방법이 있습니다.
여러 Tang 서버는 주요 자료를 공유합니다.
- 동일한 URL 뒤에서 키를 공유하는 Tang 서버를 로드 밸런싱해야 합니다. 구성은 라운드 로빈 DNS만큼 간단하거나 물리적 로드 밸런서를 사용할 수 있습니다.
- 단일 Tang 서버에서 여러 Tang 서버로 확장할 수 있습니다. Tang 서버가 주요 자료와 동일한 URL을 공유하는 경우 Tang 서버 확장은 노드에서 다시 키 또는 클라이언트 재구성을 필요로 하지 않습니다.
- 클라이언트 노드 설정 및 키 순환에는 Tang 서버 한 개만 필요합니다.
여러 Tang 서버는 자체 주요 자료를 생성합니다.
- 설치 시 여러 Tang 서버를 구성할 수 있습니다.
- 로드 밸런서 백그라운드에서 개별 Tang 서버를 확장할 수 있습니다.
- 모든 Tang 서버는 클라이언트 노드 설정 또는 키 교체 중에 사용할 수 있어야 합니다.
- 클라이언트 노드가 기본 구성을 사용하여 부팅되면 Clevis 클라이언트는 모든 Tang 서버에 연결합니다. 해독을 진행하려면 n 개의 Tang 서버만 온라인 상태 여야합니다. n의 기본값은 1입니다.
- Red Hat은 Tang 서버의 동작을 변경하는 설치 후 구성을 지원하지 않습니다.
18.1.5. 로깅 고려 사항
Tang 트래픽의 중앙 집중식 로깅은 예기치 않은 암호 해독 요청과 같은 항목을 탐지할 수 있기 때문에 유용합니다. 예를 들면 다음과 같습니다.
- 부팅 시퀀스에 해당하지 않는 암호의 암호 해독을 요청하는 노드
- 알려진 유지 관리 활동 외부에서 암호 해독을 요청하는 노드(예:암호 키)
18.2. Tang 서버 설치 시 고려 사항
클러스터 노드를 설치할 때 NBDE(Network-Bound Disk Encryption)를 활성화해야 합니다. 그러나 설치 시 초기화된 후 언제든지 디스크 암호화 정책을 변경할 수 있습니다.
18.2.1. 설치 시나리오
Tang 서버 설치를 계획할 때 다음 권장 사항을 고려하십시오.
소규모 환경은 여러 Tang 서버를 사용하는 경우에도 하나의 핵심 자료 세트를 사용할 수 있습니다.
- 키 교체가 더 쉽습니다.
- Tang 서버는 고가용성을 허용하도록 쉽게 확장할 수 있습니다.
대규모 환경은 다음과 같은 여러 주요 자료 세트의 혜택을 누릴 수 있습니다.
- 물리적으로 다양한 설치를 통해 지리적 지역 간 주요 자료를 복사하고 동기화할 필요가 없습니다.
- 키 교체는 대규모 환경에서 더 복잡합니다.
- 노드 설치 및 다시 키를 지정하려면 모든 Tang 서버에 대한 네트워크 연결이 필요합니다.
- 암호 해독 중에 모든 Tang 서버를 쿼리하는 부팅 노드로 인해 네트워크 트래픽이 약간 증가할 수 있습니다. 하나의 Clevis 클라이언트 쿼리만 성공해야 하지만 Clevis는 모든 Tang 서버를 쿼리합니다.
추가 복잡성:
-
추가 수동 재구성을 통해 디스크 파티션의 암호를 해독하기 위해
any N of M servers online의 Shamir의 시크릿 공유(sss)를 허용할 수 있습니다. 이 시나리오에서 디스크를 해독하려면 여러 주요 자료 집합과 초기 설치 후 Clevis 클라이언트를 사용하여 Tang 서버 및 노드를 수동으로 관리해야 합니다.
-
추가 수동 재구성을 통해 디스크 파티션의 암호를 해독하기 위해
높은 수준의 권장 사항:
- 단일 RAN 배포의 경우 제한된 Tang 서버 집합은 해당 도메인 컨트롤러(DC)에서 실행할 수 있습니다.
- 여러 RAN 배포의 경우 각 해당 DC에서 Tang 서버를 실행할지 또는 글로벌 Tang 환경이 시스템의 다른 요구 사항 및 요구 사항에 더 적합한지 여부를 결정해야 합니다.
18.2.2. Tang 서버 설치
하나 이상의 Tang 서버를 배포하려면 시나리오에 따라 다음 옵션 중에서 선택할 수 있습니다.
18.2.2.1. 컴퓨팅 요구 사항
Tang 서버의 컴퓨팅 요구 사항은 매우 낮습니다. 서버를 프로덕션에 배포하는 데 사용하는 일반적인 서버 평가 구성은 충분한 컴퓨팅 용량을 프로비저닝할 수 있습니다.
고가용성 고려 사항은 고객 요구를 충족하기 위한 추가 컴퓨팅 성능은 가용성에만 해당하지 않습니다.
18.2.2.2. 부팅 시 자동 시작
Tang 서버가 사용하는 주요 자료의 중요한 특성으로 인해 Tang 서버의 부팅 시퀀스 중 수동 개입 오버헤드가 유용할 수 있습니다.
기본적으로 Tang 서버가 시작되고 예상되는 로컬 볼륨에 주요 자료가 없으면 새로운 자료를 만들고 제공합니다. 기존 주요 자료로 시작하거나 시작을 중단하고 수동 개입을 기다리면 이 기본 동작을 방지할 수 있습니다.
18.2.2.3. HTTP와 HTTPS 비교
Tang 서버에 대한 트래픽은 암호화(HTTPS) 또는 일반 텍스트(HTTP)일 수 있습니다. 이 트래픽을 암호화할 때 큰 보안 이점이 없으며 암호를 해독하면 Clevis 클라이언트를 실행하는 노드에서 TLS(Transport Layer Security) 인증서 검사와 관련된 복잡성 또는 실패 조건이 제거됩니다.
노드의 Clevis 클라이언트와 Tang 서버 간에 암호화되지 않은 트래픽을 수동 모니터링할 수 있지만, 이 트래픽을 사용하여 주요 자료를 확인하는 기능은 향후 이론적인 문제가 될 수 있습니다. 이러한 트래픽 분석에는 대량의 캡처된 데이터가 필요합니다. 키 교체는 즉시 무효화됩니다. 마지막으로 수동 모니터링을 수행할 수 있는 모든 위협 행위자는 Tang 서버에 대한 수동 연결을 수행하는 데 필요한 네트워크 액세스 권한을 이미 획득했으며 캡처된 Clevis 헤더의 수동 암호 해독을 수행할 수 있습니다.
그러나 설치 사이트에 있는 다른 네트워크 정책에는 애플리케이션과 관계없이 트래픽 암호화가 필요할 수 있으므로 이 결정을 클러스터 관리자에게 맡기는 것이 좋습니다.
18.3. Tang 서버 암호화 키 관리
암호화 키를 다시 생성하는 암호화 메커니즘은 노드에 저장된 인식되지 않은 키와 관련 Tang 서버의 개인 키를 기반으로 합니다.
Tang 서버 개인 키와 노드의 암호화된 디스크를 모두 취득한 공격자의 가능성을 보호하기 위해 주기적으로 다시 키를 변경하는 것이 좋습니다.
Tang 서버에서 이전 키를 삭제하려면 모든 노드에 대해 키 다시 입력 작업을 수행해야 합니다.
다음 섹션에서는 이전 키를 다시 키우고 삭제하는 절차를 제공합니다.
18.3.1. Tang 서버의 키 백업
Tang 서버는 /usr/libexec/tangd-keygen을 사용하여 새로운 키를 생성하고 기본적으로 /var/db/tang 디렉토리에 저장합니다. 오류가 발생할 경우 Tang 서버를 복구하려면 이 디렉터리를 백업하십시오. 키는 민감하며, 이를 사용한 모든 호스트의 부팅 디스크 암호 해독을 수행할 수 있으므로 키를 이에 따라 보호해야 합니다.
프로세스
-
/var/db/tang디렉토리에서 키를 복원할 수 있는 temp 디렉토리로 백업 키를 복사합니다.
18.3.2. Tang 서버의 키 복구
백업에서 키에 액세스하여 Tang 서버의 키를 복구할 수 있습니다.
프로세스
백업 폴더에서
/var/db/tang/디렉터리로 키를 복원합니다.Tang 서버가 시작되면 이 복원된 키를 알리고 사용합니다.
18.3.3. Tang 서버 키 다시 지정
이 절차에서는 각각 고유한 키가 있는 세 개의 Tang 서버 세트를 예제로 사용합니다.
중복된 Tang 서버를 사용하면 노드가 자동으로 부팅되지 않을 가능성이 줄어듭니다.
Tang 서버 및 연결된 모든 NBDE 암호화 노드를 다시 입력하는 것은 3단계 절차입니다.
사전 요구 사항
- 하나 이상의 노드에 작동하는 NBDE(Network-Bound Disk Encryption)를 설치합니다.
프로세스
- 새 Tang 서버 키를 생성합니다.
- 새 키를 사용하도록 모든 NBDE 암호화 노드를 다시 입력합니다.
이전 Tang 서버 키를 삭제합니다.
참고모든 NBDE 암호화 노드가 키 변경을 완료하기 전에 이전 키를 삭제하면 해당 노드가 다른 구성된 Tang 서버에 지나치게 의존하게 됩니다.
그림 18.2. Tang 서버 재키핑을 위한 워크플로우 예
18.3.3.1. 새 Tang 서버 키 생성
사전 요구 사항
- Tang 서버를 실행하는 Linux 시스템의 root 쉘입니다.
Tang 서버 키 교체를 쉽게 확인하려면 이전 키를 사용하여 작은 테스트 파일을 암호화합니다.
echo plaintext | clevis encrypt tang '{"url":"http://localhost:7500”}' -y >/tmp/encrypted.oldkey# echo plaintext | clevis encrypt tang '{"url":"http://localhost:7500”}' -y >/tmp/encrypted.oldkeyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 암호화에 성공하고 파일을 해독하여 동일한 문자열
plaintext를 생성할 수 있는지 확인합니다.clevis decrypt </tmp/encrypted.oldkey
# clevis decrypt </tmp/encrypted.oldkeyCopy to Clipboard Copied! Toggle word wrap Toggle overflow
프로세스
Tang 서버 키를 저장하는 디렉터리를 찾아 액세스합니다. 일반적으로
/var/db/tang디렉토리입니다. 현재 공개된 키 지문을 확인합니다.tang-show-keys 7500
# tang-show-keys 7500Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
36AHjNH3NZDSnlONLz1-V4ie6t8
36AHjNH3NZDSnlONLz1-V4ie6t8Copy to Clipboard Copied! Toggle word wrap Toggle overflow Tang 서버 키 디렉토리를 입력합니다.
cd /var/db/tang/
# cd /var/db/tang/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 현재 Tang 서버 키를 나열합니다.
ls -A1
# ls -A1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
36AHjNH3NZDSnlONLz1-V4ie6t8.jwk gJZiNPMLRBnyo_ZKfK4_5SrnHYo.jwk
36AHjNH3NZDSnlONLz1-V4ie6t8.jwk gJZiNPMLRBnyo_ZKfK4_5SrnHYo.jwkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 일반적인 Tang 서버 작업 중에는 이 디렉터리에 두 개의
.jwk파일이 있습니다. 하나는 서명 및 확인용이고 다른 하나는 키 파생을 위한 것입니다.이전 키의 알림을 비활성화합니다.
for key in *.jwk; do \ mv -- "$key" ".$key"; \ done
# for key in *.jwk; do \ mv -- "$key" ".$key"; \ doneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새 클라이언트는 NBDE(Network-Bound Disk Encryption) 또는 요청 키를 설정해도 더 이상 이전 키가 표시되지 않습니다. 기존 클라이언트는 삭제될 때까지 이전 키에 계속 액세스하고 사용할 수 있습니다. Tang 서버는 UNIX 숨겨진 파일에 저장된 키를 읽지만 알림은 하지 않으며
.문자로 시작합니다.새 키를 생성합니다.
/usr/libexec/tangd-keygen /var/db/tang
# /usr/libexec/tangd-keygen /var/db/tangCopy to Clipboard Copied! Toggle word wrap Toggle overflow 현재 Tang 서버 키를 나열하여 이전 키가 현재 숨겨진 파일이고 새 키가 있는지 확인합니다.
ls -A1
# ls -A1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
.36AHjNH3NZDSnlONLz1-V4ie6t8.jwk .gJZiNPMLRBnyo_ZKfK4_5SrnHYo.jwk Bp8XjITceWSN_7XFfW7WfJDTomE.jwk WOjQYkyK7DxY_T5pMncMO5w0f6E.jwk
.36AHjNH3NZDSnlONLz1-V4ie6t8.jwk .gJZiNPMLRBnyo_ZKfK4_5SrnHYo.jwk Bp8XjITceWSN_7XFfW7WfJDTomE.jwk WOjQYkyK7DxY_T5pMncMO5w0f6E.jwkCopy to Clipboard Copied! Toggle word wrap Toggle overflow Tang은 새 키를 자동으로 알립니다.
참고보다 최근 Tang 서버 설치에는 광고 비활성화 및 새 키를 동시에 생성하는 도우미
/usr/libexec/tangd-rotate-keys디렉토리가 있습니다.- 동일한 주요 자료를 공유하는 로드 밸런서 장치에서 여러 Tang 서버를 실행하는 경우, 계속하기 전에 여기서 변경한 사항이 전체 서버 집합에서 올바르게 동기화되는지 확인하십시오.
검증
Tang 서버가 새 키를 알리고 이전 키를 알리지 않는지 확인합니다.
tang-show-keys 7500
# tang-show-keys 7500Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
WOjQYkyK7DxY_T5pMncMO5w0f6E
WOjQYkyK7DxY_T5pMncMO5w0f6ECopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 키가 보급되지는 않았지만 암호 해독 요청에 계속 사용할 수 있는지 확인합니다.
clevis decrypt </tmp/encrypted.oldkey
# clevis decrypt </tmp/encrypted.oldkeyCopy to Clipboard Copied! Toggle word wrap Toggle overflow
18.3.3.2. 모든 NBDE 노드 키 다시 지정
원격 클러스터에 다운타임을 발생시키지 않고 DaemonSet 오브젝트를 사용하여 원격 클러스터의 모든 노드를 다시 입력할 수 있습니다.
재키잉 중에 노드의 전원이 꺼지면 부팅이 불가능해질 수 있으며, 이 경우 Red Hat Advanced Cluster Management(RHACM) 또는 GitOps 파이프라인을 통해 다시 배포해야 합니다.
사전 요구 사항
-
NBDE(Network-Bound Disk Encryption) 노드가 있는 모든 클러스터에 대한
cluster-admin액세스가 있어야 합니다. - Tang 서버의 키가 변경되지 않았더라도 모든 Tang 서버는 재키잉을 진행하는 모든 NBDE 노드에서 액세스할 수 있어야 합니다.
- Tang 서버 URL과 모든 Tang 서버의 키 지문을 가져옵니다.
프로세스
다음 템플릿을 기반으로
DaemonSet오브젝트를 생성합니다. 이 템플릿은 3개의 중복 Tang 서버를 설정하지만 다른 상황에 맞게 쉽게 조정할 수 있습니다.NEW_TANG_PIN환경의 Tang 서버 URL과 지문을 사용자 환경에 맞게 변경합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 경우
tangserver01을 다시 입력하더라도tangserver01의 새 지문뿐만 아니라 다른 모든 Tang 서버의 현재 지문도 지정해야 합니다. 키 재지정 작업의 모든 지문을 지정하지 않으면 메시지 가로채기 공격의 기회가 열립니다.다시 키를 지정해야 하는 모든 클러스터에 데몬 세트를 배포하려면 다음 명령을 실행합니다.
oc apply -f tang-rekey.yaml
$ oc apply -f tang-rekey.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 그러나 대규모로 실행하려면 ACM 정책에서 데몬 세트를 래핑합니다. 이 ACM 구성에는 데몬 세트를 배포하기 위한 하나의 정책, 모든 데몬 세트 pod가 준비되었는지 확인하는 두 번째 정책 및 적절한 클러스터 세트에 적용하는 배치 규칙이 포함되어야 합니다.
데몬 세트가 모든 서버를 성공적으로 다시 시작했는지 확인한 후 데몬 세트를 삭제합니다. 데몬 세트를 삭제하지 않으면 다음 키 재지정 작업을 수행하기 전에 삭제해야 합니다.
검증
데몬 세트를 배포한 후 데몬 세트를 모니터링하여 키 지정 작업이 성공적으로 완료되었는지 확인합니다. 예제 데몬 세트의 스크립트는 키 재지정에 실패한 경우 오류와 함께 종료되고 성공한 경우 CURRENT 상태로 유지됩니다. 키 재지정이 성공적으로 완료되면 Pod를 READY로 표시하는 준비 프로브도 있습니다.
다음은 키 재지정이 완료되기 전에 데몬 세트의 출력 목록의 예입니다.
oc get -n openshift-machine-config-operator ds tang-rekey
$ oc get -n openshift-machine-config-operator ds tang-rekeyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE tang-rekey 1 1 0 1 0 kubernetes.io/os=linux 11s
NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE tang-rekey 1 1 0 1 0 kubernetes.io/os=linux 11sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음은 키 재지정을 성공적으로 완료한 후 데몬 세트의 출력 목록의 예입니다.
oc get -n openshift-machine-config-operator ds tang-rekey
$ oc get -n openshift-machine-config-operator ds tang-rekeyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE tang-rekey 1 1 1 1 1 kubernetes.io/os=linux 13h
NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE tang-rekey 1 1 1 1 1 kubernetes.io/os=linux 13hCopy to Clipboard Copied! Toggle word wrap Toggle overflow
키를 다시 입력하는 데는 일반적으로 몇 분이 소요됩니다.
ACM 정책을 사용하여 데몬 세트를 여러 클러스터에 배포하는 경우 모든 데몬 세트의 준비 수가 DESIRED 수인지 확인하는 규정 준수 정책을 포함해야 합니다. 이러한 방식으로 이러한 정책에 대한 규정 준수는 모든 데몬 세트 Pod가 READY이고 키 재지정이 성공적으로 완료되었음을 보여줍니다. ACM 검색을 사용하여 모든 데몬 세트 상태를 쿼리할 수도 있습니다.
18.3.3.3. Tang 서버의 임시 키 재지정 오류 문제 해결
Tang 서버를 다시 입력하는 오류 조건이 일시적인지 확인하려면 다음 절차를 수행합니다. 임시 오류 상태에는 다음이 포함될 수 있습니다.
- 임시 네트워크 중단
- Tang 서버 유지 관리
일반적으로 이러한 유형의 임시 오류 조건이 발생하면 데몬 세트가 오류를 성공적으로 해결하거나 데몬 세트를 삭제하고 임시 오류 조건이 해결될 때까지 다시 시도할 수 없습니다.
프로세스
- 일반적인 Kubernetes pod 재시작 정책을 사용하여 키 재지정 작업을 수행하는 Pod를 다시 시작합니다.
- 연결된 Tang 서버를 사용할 수 없는 경우 모든 서버가 다시 온라인 상태가 될 때까지 다시 키를 입력합니다.
18.3.3.4. Tang 서버의 영구적인 키 재지정 오류 문제 해결
Tang 서버를 다시 시작한 후 READY 수는 연장된 기간이 지나면 DESIRED 개수와 동일하지 않으므로 영구적인 오류 상태를 나타낼 수 있습니다. 이 경우 다음 조건이 적용될 수 있습니다.
-
NEW_TANG_PIN정의의 Tang 서버 URL 또는 지문의 오타 오류입니다. - Tang 서버가 해제되거나 키가 영구적으로 손실됩니다.
사전 요구 사항
- 이 절차에 표시된 명령은 Tang 서버 또는 Tang 서버에 대한 네트워크 액세스 권한이 있는 Linux 시스템에서 실행할 수 있습니다.
프로세스
데몬 세트에 정의된 대로 각 Tang 서버의 구성에 대해 간단한 암호화 및 암호 해독 작업을 수행하여 Tang 서버 구성을 확인합니다.
이는 잘못된 지문이 있는 암호화 및 암호 해독 시도의 예입니다.
echo "okay" | clevis encrypt tang \ '{"url":"http://tangserver02:7500","thp":"badthumbprint"}' | \ clevis decrypt$ echo "okay" | clevis encrypt tang \ '{"url":"http://tangserver02:7500","thp":"badthumbprint"}' | \ clevis decryptCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Unable to fetch advertisement: 'http://tangserver02:7500/adv/badthumbprint'!
Unable to fetch advertisement: 'http://tangserver02:7500/adv/badthumbprint'!Copy to Clipboard Copied! Toggle word wrap Toggle overflow 올바른 지문이 있는 암호화 및 암호 해독 시도의 예입니다.
echo "okay" | clevis encrypt tang \ '{"url":"http://tangserver03:7500","thp":"goodthumbprint"}' | \ clevis decrypt$ echo "okay" | clevis encrypt tang \ '{"url":"http://tangserver03:7500","thp":"goodthumbprint"}' | \ clevis decryptCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
okay
okayCopy to Clipboard Copied! Toggle word wrap Toggle overflow 근본 원인을 확인한 후 기본 상황을 해결합니다.
- 작동하지 않는 데몬 세트를 삭제합니다.
데몬 세트 정의를 편집하여 기본 문제를 해결합니다. 여기에는 다음 작업이 포함될 수 있습니다.
- Tang 서버 항목을 편집하여 URL과 지문을 수정합니다.
- 더 이상 서비스 중이 아닌 Tang 서버를 제거합니다.
- 해제된 서버를 대체하는 새 Tang 서버를 추가합니다.
- 업데이트된 데몬 세트를 다시 배포합니다.
구성에서 Tang 서버를 교체, 제거 또는 추가할 때 현재 서버를 포함하여 하나 이상의 원본 서버가 계속 작동하는 한 키 재지정 작업이 성공적으로 수행됩니다. 원래 Tang 서버가 작동하지 않거나 복구할 수 없는 경우 시스템을 복구할 수 없으며 영향을 받는 노드를 다시 배포해야 합니다.
검증
데몬 세트의 각 pod에서 로그를 확인하여 키 재지정이 성공적으로 완료되었는지 확인합니다. 키 재지정에 성공하지 못하면 로그에 실패 조건이 표시될 수 있습니다.
데몬 세트에 의해 생성된 컨테이너의 이름을 찾으세요.
oc get pods -A | grep tang-rekey
$ oc get pods -A | grep tang-rekeyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
openshift-machine-config-operator tang-rekey-7ks6h 1/1 Running 20 (8m39s ago) 89m
openshift-machine-config-operator tang-rekey-7ks6h 1/1 Running 20 (8m39s ago) 89mCopy to Clipboard Copied! Toggle word wrap Toggle overflow 컨테이너에서 로그를 인쇄합니다. 다음 로그는 성공적인 키 재지정 작업에서 가져온 것입니다.
oc logs tang-rekey-7ks6h
$ oc logs tang-rekey-7ks6hCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
18.3.4. 이전 Tang 서버 키 삭제
사전 요구 사항
- Tang 서버를 실행하는 Linux 시스템의 root 쉘입니다.
프로세스
Tang 서버 키가 저장된 디렉터리를 찾아 액세스합니다. 일반적으로
/var/db/tang디렉토리입니다.cd /var/db/tang/
# cd /var/db/tang/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 공개된 키와 의도하지 않은 키를 표시하여 현재 Tang 서버 키를 나열합니다.
ls -A1
# ls -A1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
.36AHjNH3NZDSnlONLz1-V4ie6t8.jwk .gJZiNPMLRBnyo_ZKfK4_5SrnHYo.jwk Bp8XjITceWSN_7XFfW7WfJDTomE.jwk WOjQYkyK7DxY_T5pMncMO5w0f6E.jwk
.36AHjNH3NZDSnlONLz1-V4ie6t8.jwk .gJZiNPMLRBnyo_ZKfK4_5SrnHYo.jwk Bp8XjITceWSN_7XFfW7WfJDTomE.jwk WOjQYkyK7DxY_T5pMncMO5w0f6E.jwkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 키를 삭제합니다.
rm .*.jwk
# rm .*.jwkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 현재 Tang 서버 키를 나열하여 의도하지 않은 키가 더 이상 존재하지 않는지 확인합니다.
ls -A1
# ls -A1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Bp8XjITceWSN_7XFfW7WfJDTomE.jwk WOjQYkyK7DxY_T5pMncMO5w0f6E.jwk
Bp8XjITceWSN_7XFfW7WfJDTomE.jwk WOjQYkyK7DxY_T5pMncMO5w0f6E.jwkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
이 시점에서 서버는 새 키를 계속 알립니다. 그러나 이전 키를 기반으로 암호를 해독하려는 시도는 실패합니다.
현재 공개된 키 지문을 위해 Tang 서버를 쿼리합니다.
tang-show-keys 7500
# tang-show-keys 7500Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
WOjQYkyK7DxY_T5pMncMO5w0f6E
WOjQYkyK7DxY_T5pMncMO5w0f6ECopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전에 만든 테스트 파일을 해독하여 이전 키에 대한 암호 해독이 실패하는지 확인합니다.
clevis decrypt </tmp/encryptValidation
# clevis decrypt </tmp/encryptValidationCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Error communicating with the server!
Error communicating with the server!Copy to Clipboard Copied! Toggle word wrap Toggle overflow
동일한 주요 자료를 공유하는 로드 밸런서 장치에서 여러 Tang 서버를 실행하는 경우 계속하기 전에 변경 사항이 전체 서버 세트에서 올바르게 동기화되는지 확인하십시오.
18.4. 재해 복구 고려 사항
이 섹션에서는 몇 가지 잠재적 재해 상황과 각 상황에 대응하는 절차에 대해 설명합니다. 추가 상황이 발견되거나 가능할 것으로 추정되면 여기에 추가됩니다.
18.4.1. 클라이언트 시스템 손실
Tang 서버를 사용하여 디스크 파티션을 해독하는 클러스터 노드가 손실되는 것은 재해가 아닙니다. 시스템이 도난되었는지, 하드웨어 장애 발생 또는 다른 손실 시나리오는 중요하지 않습니다. 디스크는 암호화되어 복구할 수 없는 것으로 간주됩니다.
그러나 도난이 발생하는 경우 Tang 서버의 키를 미리 교체하고 나머지 모든 노드의 키를 다시 입력하여 공격자가 Tang 서버에 액세스할 수 있는 경우에도 디스크를 복구할 수 없게 됩니다.
이 상황에서 복구하려면 노드를 다시 설치하거나 교체합니다.
18.4.2. 클라이언트 네트워크 연결 손실에 대한 계획
개별 노드에 대한 네트워크 연결이 끊어지면 자동으로 부팅할 수 없게 됩니다.
네트워크 연결이 끊어질 수 있는 작업을 계획하는 경우 현장 기술자가 수동으로 사용할 암호를 표시한 다음 나중에 키를 교체하여 무효화할 수 있습니다.
프로세스
네트워크를 사용할 수 없게 되기 전에 다음 명령을 사용하여
/dev/vda2장치의 첫 번째-s 1슬롯에 사용된 암호를 표시하십시오.sudo clevis luks pass -d /dev/vda2 -s 1
$ sudo clevis luks pass -d /dev/vda2 -s 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 값을 무효화하고 다음 명령을 사용하여 임의의 부팅 시간 암호를 다시 생성합니다.
sudo clevis luks regen -d /dev/vda2 -s 1
$ sudo clevis luks regen -d /dev/vda2 -s 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
18.4.3. 예기치 않은 네트워크 연결 손실
네트워크 중단이 예기치 않고 노드가 재부팅되면 다음 시나리오를 고려하십시오.
- 노드가 여전히 온라인 상태인 경우 네트워크 연결이 복원될 때까지 재부팅하지 않아야 합니다. 이는 단일 노드 클러스터에는 적용되지 않습니다.
- 노드는 네트워크 연결이 복원되거나 사전 설정된 암호가 콘솔에 수동으로 입력될 때까지 오프라인 상태로 유지됩니다. 예외적으로 네트워크 관리자는 액세스를 다시 설정하기 위해 네트워크 세그먼트를 재구성할 수 있지만, NBDE의 의도에 어긋나는 것으로 네트워크 액세스 권한이 부족하다는 것은 부팅 기능이 없다는 것을 의미합니다.
- 노드에서 네트워크 액세스 권한이 부족하면 노드의 기능 및 부팅 기능에 영향을 줄 것으로 예상할 수 있습니다. 노드가 수동 조작을 통해 부팅되는 경우에도 네트워크 액세스 부족으로 인해 거의 사용되지 않습니다.
18.4.4. 수동으로 네트워크 연결 복구
네트워크 복구를 위해 현장 기술자도 다소 복잡하고 수동 집약적인 프로세스를 사용할 수 있습니다.
프로세스
- 현장 기술자는 하드 디스크에서 Clevis 헤더를 추출합니다. BIOS 잠금에 따라 이 작업을 수행하려면 디스크를 제거하고 랩 시스템에 설치해야 할 수 있습니다.
- 현장 기술자는 Tang 네트워크에 대한 합법적 액세스 권한이 있는 Clevis 헤더를 동료에게 전송합니다. 그런 다음 암호 해독을 수행합니다.
- Tang 네트워크에 대한 제한된 액세스의 필요성으로 인해 기술자는 VPN 또는 기타 원격 연결을 통해 해당 네트워크에 액세스할 수 없어야 합니다. 마찬가지로 기술자는 디스크의 암호를 자동으로 해독하기 위해 원격 서버를 이 네트워크에 패치할 수 없습니다.
- 기술자는 디스크를 다시 설치하고 동료가 제공한 일반 텍스트 암호를 수동으로 입력합니다.
- Tang 서버에 직접 액세스하지 않아도 시스템이 성공적으로 시작됩니다. 설치 사이트에서 네트워크 액세스가 가능한 다른 사이트로 주요 자료의 전송은 신중하게 수행해야 합니다.
- 네트워크 연결이 복원되면 기술자는 암호화 키를 교체합니다.
18.4.5. 네트워크 연결의 긴급 복구
네트워크 연결을 수동으로 복구할 수 없는 경우 다음 단계를 고려하십시오. 네트워크 연결을 복구하는 다른 방법을 사용할 수 있는 경우 이러한 단계는 권장되지 않습니다.
- 이 방법은 매우 신뢰할 수 있는 기술자만 수행해야 합니다.
- Tang 서버의 핵심 자료를 원격 사이트로 가져오는 것은 주요 자료의 위반으로 간주되며 모든 서버를 재암호화하고 다시 암호화해야 합니다.
- 이 방법은 극단적 사례에서만 사용하거나 실효성을 입증하기 위해 개념 증명 복구 방법으로 사용해야 합니다.
- 마찬가지로 극단적이지만 이론적으로 가능한 것은 무중단 전력 공급 장치(UPS)로 서버에 전원을 공급하고, 서버를 네트워크 연결이 있는 위치로 전송하여 디스크를 부팅하고 암호를 해독한 다음, 계속 작업을 계속하기 위해 원래 위치에 서버를 복원하는 것입니다.
- 백업 수동 암호를 사용하려면 오류 상황이 발생하기 전에 생성해야 합니다.
- 공격 시나리오가 독립 실행형 Tang 설치에 비해 TPM 및 Tang에서 더 복잡해지므로 동일한 방법을 활용하는 경우 긴급 재해 복구 프로세스도 더 복잡해집니다.
18.4.6. 네트워크 세그먼트 손실
네트워크 세그먼트가 손실되어 Tang 서버를 일시적으로 사용할 수 없게 되므로 다음과 같은 결과가 발생합니다.
- 다른 서버를 사용할 수 있는 경우 OpenShift Container Platform 노드는 정상적으로 계속 부팅됩니다.
- 새 노드는 네트워크 세그먼트가 복원될 때까지 암호화 키를 설정할 수 없습니다. 이 경우 고가용성 및 중복성을 위해 원격 지리적 위치에 대한 연결을 확인하십시오. 새 노드를 설치하거나 기존 노드를 다시 시작하는 경우 해당 작업에서 참조하는 모든 Tang 서버를 사용할 수 있어야 하기 때문입니다.
각 클라이언트가 가장 가까운 세 클라이언트에 연결되어 있는 5개 지역과 같이 매우 다양한 네트워크를 위한 하이브리드 모델은 조사할 만한 가치가 있습니다.
이 시나리오에서 새 클라이언트는 연결할 수 있는 서버의 하위 집합을 사용하여 암호화 키를 설정할 수 있습니다. 예를 들어 tang1, tang2 및 tang3서버 세트에서 tang2에 연결할 수 없는 클라이언트가 여전히 tang1 및 tang3을 사용하여 암호화 키를 설정할 수 있고 나중에 전체 세트로 다시 설정될 수 있습니다. 이로 인해 수동 조작이나 사용 가능한 더 복잡한 자동화가 포함될 수 있습니다.
18.4.7. Tang 서버 손실
주요 자료가 동일한 서버 세트 내에서 부하 분산된 서버 집합 내에서 개별 Tang 서버가 손실되는 것은 클라이언트에 완전히 투명합니다.
동일한 URL(즉, 전체 부하 분산 집합)과 연결된 모든 Tang 서버의 일시적인 오류는 네트워크 세그먼트 손실과 동일하게 간주될 수 있습니다. 미리 구성된 다른 Tang 서버를 사용할 수 있는 한 기존 클라이언트는 디스크 파티션을 암호 해독할 수 있습니다. 새 클라이언트는 이러한 서버 중 하나 이상이 온라인 상태가 될 때까지 등록할 수 없습니다.
서버를 다시 설치하거나 백업에서 서버를 복원하여 Tang 서버의 물리적 손실을 완화할 수 있습니다. 주요 자료의 백업 및 복원 프로세스가 무단 액세스로부터 적절히 보호되는지 확인합니다.
18.4.8. 손상된 주요 자료 키 재지정
Tang 서버 또는 관련 데이터의 물리적 도난을 통해 키 자료가 권한 없는 타사에 노출되는 경우 키를 즉시 교체합니다.
프로세스
- 영향을 받는 자료를 보관하는 모든 Tang 서버에 키를 다시 입력합니다.
- Tang 서버를 사용하여 모든 클라이언트를 다시 입력합니다.
- 원래의 주요 자료를 삭제합니다.
- 마스터 암호화 키의 의도하지 않은 노출을 초리해는 모든 경우를 확인합니다. 가능한 경우 손상된 노드를 오프라인으로 사용하여 디스크를 다시 암호화합니다.
속도가 느리지만 동일한 물리적 하드웨어에 다시 포맷하고 다시 설치하면 자동화 및 테스트가 쉽습니다.
Legal Notice
Copyright © 2025 Red Hat
OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).
Modified versions must remove all Red Hat trademarks.
Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.
Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}