Red Hat Summit9.6. Red Hat OpenShift용 cert-manager 운영자 인증
클라우드 인증 정보를 구성하여 클러스터에서 cert-manager Operator for Red Hat OpenShift를 인증할 수 있습니다.
9.6.1. AWS에서 인증
사전 요구 사항
- Red Hat OpenShift용 cert-manager Operator 버전 1.11.1 이상을 설치했습니다.
- 클라우드 자격 증명 운영자가 민트 모드 또는 패스스루 모드에서 작동하도록 구성했습니다.
프로세스
다음과 같이
sample-credential-request.yaml과 같은CredentialsRequest리소스 YAML 파일을 만듭니다.apiVersion: cloudcredential.openshift.io/v1 kind: CredentialsRequest metadata: name: cert-manager namespace: openshift-cloud-credential-operator spec: providerSpec: apiVersion: cloudcredential.openshift.io/v1 kind: AWSProviderSpec statementEntries: - action: - "route53:GetChange" effect: Allow resource: "arn:aws:route53:::change/*" - action: - "route53:ChangeResourceRecordSets" - "route53:ListResourceRecordSets" effect: Allow resource: "arn:aws:route53:::hostedzone/*" - action: - "route53:ListHostedZonesByName" effect: Allow resource: "*" secretRef: name: aws-creds namespace: cert-manager serviceAccountNames: - cert-manager다음 명령을 실행하여
CredentialsRequest리소스를 만듭니다.$ oc create -f sample-credential-request.yaml다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator에 대한 구독 객체를 업데이트합니다.
$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"aws-creds"}]}}}'
검증
다음 명령을 실행하여 재배포된 cert-manager 컨트롤러 포드의 이름을 가져옵니다.
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39s다음 명령을 실행하여
mountPath에 지정된 경로 아래에 마운트된 AWS 자격 증명 볼륨으로 cert-manager 컨트롤러 포드가 업데이트되었는지 확인합니다.$ oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yaml출력 예
... spec: containers: - args: ... - mountPath: /.aws name: cloud-credentials ... volumes: ... - name: cloud-credentials secret: ... secretName: aws-creds
9.6.2. AWS 보안 토큰 서비스를 통한 인증
사전 요구 사항
-
ccoctl바이너리를 추출하고 준비했습니다. - 수동 모드에서 Cloud Credential Operator를 사용하여 AWS STS로 OpenShift Container Platform 클러스터를 구성했습니다.
프로세스
다음 명령을 실행하여
CredentialsRequest리소스 YAML 파일을 저장할 디렉토리를 만듭니다.$ mkdir credentials-request다음 yaml을 적용하여
credentials-request디렉터리 아래에sample-credential-request.yaml과 같은CredentialsRequest리소스 YAML 파일을 만듭니다.apiVersion: cloudcredential.openshift.io/v1 kind: CredentialsRequest metadata: name: cert-manager namespace: openshift-cloud-credential-operator spec: providerSpec: apiVersion: cloudcredential.openshift.io/v1 kind: AWSProviderSpec statementEntries: - action: - "route53:GetChange" effect: Allow resource: "arn:aws:route53:::change/*" - action: - "route53:ChangeResourceRecordSets" - "route53:ListResourceRecordSets" effect: Allow resource: "arn:aws:route53:::hostedzone/*" - action: - "route53:ListHostedZonesByName" effect: Allow resource: "*" secretRef: name: aws-creds namespace: cert-manager serviceAccountNames: - cert-manager다음 명령을 실행하여
ccoctl도구를 사용하여CredentialsRequest객체를 처리합니다.$ ccoctl aws create-iam-roles \ --name <user_defined_name> --region=<aws_region> \ --credentials-requests-dir=<path_to_credrequests_dir> \ --identity-provider-arn <oidc_provider_arn> --output-dir=<path_to_output_dir>출력 예
2023/05/15 18:10:34 Role arn:aws:iam::XXXXXXXXXXXX:role/<user_defined_name>-cert-manager-aws-creds created 2023/05/15 18:10:34 Saved credentials configuration to: <path_to_output_dir>/manifests/cert-manager-aws-creds-credentials.yaml 2023/05/15 18:10:35 Updated Role policy for Role <user_defined_name>-cert-manager-aws-creds다음 단계에서 사용할 수 있도록 출력에서
<aws_role_arn>을복사합니다. For example,"arn:aws:iam::XXXXXXXXXXXX:role/<user_defined_name>-cert-manager-aws-creds"다음 명령을 실행하여 서비스 계정에
eks.amazonaws.com/role-arn="<aws_role_arn>"주석을 추가합니다.$ oc -n cert-manager annotate serviceaccount cert-manager eks.amazonaws.com/role-arn="<aws_role_arn>"새로운 Pod를 생성하려면 다음 명령을 실행하여 기존 cert-manager 컨트롤러 Pod를 삭제합니다.
$ oc delete pods -l app.kubernetes.io/name=cert-manager -n cert-managerAWS 인증 정보는 1분 이내에 새 cert-manager 컨트롤러 Pod에 적용됩니다.
검증
다음 명령을 실행하여 업데이트된 cert-manager 컨트롤러 포드의 이름을 가져옵니다.
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 39s다음 명령을 실행하여 AWS 자격 증명이 업데이트되었는지 확인하세요.
$ oc set env -n cert-manager po/<cert_manager_controller_pod_name> --list출력 예
# pods/cert-manager-57f9555c54-vbcpg, container cert-manager-controller # POD_NAMESPACE from field path metadata.namespace AWS_ROLE_ARN=XXXXXXXXXXXX AWS_WEB_IDENTITY_TOKEN_FILE=/var/run/secrets/eks.amazonaws.com/serviceaccount/token
9.6.3. Google Cloud에서 인증
사전 요구 사항
- Red Hat OpenShift용 cert-manager Operator 버전 1.11.1 이상을 설치했습니다.
- 클라우드 자격 증명 운영자가 민트 모드 또는 패스스루 모드에서 작동하도록 구성했습니다.
프로세스
다음 yaml을 적용하여
sample-credential-request.yaml과 같은CredentialsRequest리소스 YAML 파일을 만듭니다.apiVersion: cloudcredential.openshift.io/v1 kind: CredentialsRequest metadata: name: cert-manager namespace: openshift-cloud-credential-operator spec: providerSpec: apiVersion: cloudcredential.openshift.io/v1 kind: GCPProviderSpec predefinedRoles: - roles/dns.admin secretRef: name: gcp-credentials namespace: cert-manager serviceAccountNames: - cert-manager참고dns.admin역할은 Google Cloud DNS 리소스를 관리하기 위한 서비스 계정에 관리자 권한을 제공합니다. cert-manager가 최소한의 권한을 가진 서비스 계정으로 실행되도록 하려면 다음 권한이 있는 사용자 지정 역할을 만들 수 있습니다.-
dns.resourceRecordSets.* -
dns.changes.* -
dns.managedZones.list
-
다음 명령을 실행하여
CredentialsRequest리소스를 만듭니다.$ oc create -f sample-credential-request.yaml다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator에 대한 구독 객체를 업데이트합니다.
$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"gcp-credentials"}]}}}'
검증
다음 명령을 실행하여 재배포된 cert-manager 컨트롤러 포드의 이름을 가져옵니다.
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39s다음 명령을 실행하여
mountPath에 지정된 경로 아래에 마운트된 Google Cloud 자격 증명 볼륨으로 cert-manager 컨트롤러 포드가 업데이트되었는지 확인합니다.$ oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yaml출력 예
spec: containers: - args: ... volumeMounts: ... - mountPath: /.config/gcloud name: cloud-credentials .... volumes: ... - name: cloud-credentials secret: ... items: - key: service_account.json path: application_default_credentials.json secretName: gcp-credentials
9.6.4. Google Cloud Workload Identity로 인증
사전 요구 사항
-
ccoctl바이너리를 추출하여 준비합니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.11.1 이상을 설치했습니다.
- 수동 모드에서 Cloud Credential Operator를 사용하여 Google Cloud Workload Identity로 OpenShift Container Platform 클러스터를 구성했습니다.
프로세스
다음 명령을 실행하여
CredentialsRequest리소스 YAML 파일을 저장할 디렉토리를 만듭니다.$ mkdir credentials-requestcredentials-request디렉토리에서 다음CredentialsRequest매니페스트를 포함하는 YAML 파일을 만듭니다.apiVersion: cloudcredential.openshift.io/v1 kind: CredentialsRequest metadata: name: cert-manager namespace: openshift-cloud-credential-operator spec: providerSpec: apiVersion: cloudcredential.openshift.io/v1 kind: GCPProviderSpec predefinedRoles: - roles/dns.admin secretRef: name: gcp-credentials namespace: cert-manager serviceAccountNames: - cert-manager참고dns.admin역할은 Google Cloud DNS 리소스를 관리하기 위한 서비스 계정에 관리자 권한을 제공합니다. cert-manager가 최소한의 권한을 가진 서비스 계정으로 실행되도록 하려면 다음 권한이 있는 사용자 지정 역할을 만들 수 있습니다.-
dns.resourceRecordSets.* -
dns.changes.* -
dns.managedZones.list
-
다음 명령을 실행하여
ccoctl도구를 사용하여CredentialsRequest객체를 처리합니다.$ ccoctl gcp create-service-accounts \ --name <user_defined_name> --output-dir=<path_to_output_dir> \ --credentials-requests-dir=<path_to_credrequests_dir> \ --workload-identity-pool <workload_identity_pool> \ --workload-identity-provider <workload_identity_provider> \ --project <gcp_project_id>명령 예
$ ccoctl gcp create-service-accounts \ --name abcde-20230525-4bac2781 --output-dir=/home/outputdir \ --credentials-requests-dir=/home/credentials-requests \ --workload-identity-pool abcde-20230525-4bac2781 \ --workload-identity-provider abcde-20230525-4bac2781 \ --project openshift-gcp-devel다음 명령을 실행하여 클러스터의 매니페스트 디렉토리에 생성된 비밀을 적용합니다.
$ ls <path_to_output_dir>/manifests/*-credentials.yaml | xargs -I{} oc apply -f {}다음 명령을 실행하여 Red Hat OpenShift용 cert-manager Operator에 대한 구독 객체를 업데이트합니다.
$ oc -n cert-manager-operator patch subscription openshift-cert-manager-operator --type=merge -p '{"spec":{"config":{"env":[{"name":"CLOUD_CREDENTIALS_SECRET_NAME","value":"gcp-credentials"}]}}}'
검증
다음 명령을 실행하여 재배포된 cert-manager 컨트롤러 포드의 이름을 가져옵니다.
$ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager출력 예
NAME READY STATUS RESTARTS AGE cert-manager-bd7fbb9fc-wvbbt 1/1 Running 0 15m39s다음 명령을 실행하여
mountPath에 지정된 경로 아래에 마운트된 Google Cloud 워크로드 ID 자격 증명 볼륨으로 cert-manager 컨트롤러 포드가 업데이트되었는지 확인합니다.$ oc get -n cert-manager pod/<cert-manager_controller_pod_name> -o yaml출력 예
spec: containers: - args: ... volumeMounts: - mountPath: /var/run/secrets/openshift/serviceaccount name: bound-sa-token ... - mountPath: /.config/gcloud name: cloud-credentials ... volumes: - name: bound-sa-token projected: ... sources: - serviceAccountToken: audience: openshift ... path: token - name: cloud-credentials secret: ... items: - key: service_account.json path: application_default_credentials.json secretName: gcp-credentials
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}