Red Hat Summit2.2. 개인 영역에 게시되도록 DNS 레코드 구성
모든 OpenShift Container Platform 클러스터(공개 또는 비공개)의 경우 DNS 레코드는 기본적으로 공개 영역에 게시됩니다.
DNS 레코드가 대중에게 노출되는 것을 방지하려면 클러스터 DNS 구성에서 공개 영역을 제거할 수 있습니다. 내부 도메인 이름, 내부 IP 주소 또는 조직의 클러스터 수와 같은 민감한 정보가 노출되는 것을 피하고 싶을 수도 있고, 단순히 기록을 공개적으로 게시할 필요가 없을 수도 있습니다. 클러스터 내의 서비스에 연결할 수 있는 모든 클라이언트가 개인 영역의 DNS 레코드가 있는 개인 DNS 서비스를 사용하는 경우, 클러스터에 대한 공용 DNS 레코드가 필요하지 않습니다.
클러스터를 배포한 후 DNS 사용자 정의 리소스(CR)를 수정하여 개인 영역만 사용하도록 DNS를 수정할 수 있습니다. 이런 방식으로 DNS CR을 수정하면 이후 생성되는 모든 DNS 레코드가 공개 DNS 서버에 게시되지 않으므로 DNS 레코드에 대한 지식이 내부 사용자에게만 격리됩니다. 클러스터를 비공개로 구성하거나 DNS 레코드를 공개적으로 확인할 수 없도록 하려는 경우 이 작업을 수행할 수 있습니다.
또는 개인 클러스터에서도 DNS 레코드에 대한 공개 영역을 유지할 수 있습니다. 이렇게 하면 클라이언트가 해당 클러스터에서 실행되는 애플리케이션의 DNS 이름을 확인할 수 있습니다. 예를 들어, 조직에서는 공용 인터넷에 연결하는 기계를 보유할 수 있으며, 그런 다음 특정 개인 IP 범위에 대한 VPN 연결을 설정하여 개인 IP 주소에 연결할 수 있습니다. 이러한 머신의 DNS 조회는 공개 DNS를 사용하여 해당 서비스의 개인 주소를 확인한 다음 VPN을 통해 개인 주소에 연결합니다.
프로세스
다음 명령을 실행하고 출력을 모니터링하여 클러스터의
DNSCR을 확인합니다.oc get dnses.config.openshift.io/cluster -o yaml
$ oc get dnses.config.openshift.io/cluster -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow spec섹션에는 프라이빗 영역과 퍼블릭 영역이 모두 포함되어 있습니다.다음 명령을 실행하여
DNSCR에 패치를 적용하여 공개 영역을 제거합니다.oc patch dnses.config.openshift.io/cluster --type=merge --patch='{"spec": {"publicZone": null}}'$ oc patch dnses.config.openshift.io/cluster --type=merge --patch='{"spec": {"publicZone": null}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
dns.config.openshift.io/cluster patched
dns.config.openshift.io/cluster patchedCopy to Clipboard Copied! Toggle word wrap Toggle overflow Ingress Operator는
IngressController객체에 대한 DNS 레코드를 생성할 때DNSCR 정의를 참조합니다. 개인 영역만 지정된 경우 개인 레코드만 생성됩니다.중요공개 영역을 제거해도 기존 DNS 레코드는 수정되지 않습니다. 더 이상 공개적으로 게시되지 않도록 하려면 이전에 게시된 공개 DNS 레코드를 수동으로 삭제해야 합니다.
검증
클러스터의
DNSCR을 검토하고 다음 명령을 실행하고 출력을 관찰하여 공개 영역이 제거되었는지 확인하세요.oc get dnses.config.openshift.io/cluster -o yaml
$ oc get dnses.config.openshift.io/cluster -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}