Red Hat Summit9.11. cert-manager 운영자를 위한 네트워크 정책 구성
Red Hat OpenShift용 cert-manager Operator는 구성 요소의 수신 및 송신 트래픽을 제어하여 보안을 강화하기 위해 미리 정의된 NetworkPolicy 리소스를 제공합니다. 기본적으로 이 기능은 업그레이드 중에 연결 문제나 변경 사항의 중단을 방지하기 위해 비활성화되어 있습니다. 이 기능을 사용하려면 CertManager 사용자 정의 리소스(CR)에서 해당 기능을 활성화해야 합니다.
기본 정책을 활성화한 후에는 아웃바운드 트래픽을 허용하기 위해 추가 이그레스 규칙을 수동으로 구성해야 합니다. 이러한 규칙은 Red Hat OpenShift용 cert-manager 운영자가 API 서버와 내부 DNS를 넘어 외부 서비스와 통신하는 데 필요합니다.
사용자 지정 이탈 규칙이 필요한 서비스의 예는 다음과 같습니다.
- 예를 들어 ACME 서버, Let's Encrypt
- DNS-01 챌린지 제공자(예: AWS Route53 또는 Cloudflare)
- HashiCorp Vault와 같은 외부 CA
향후 릴리스에서는 네트워크 정책이 기본적으로 활성화될 예정이며, 이로 인해 업그레이드 중에 연결 오류가 발생할 수 있습니다. 이러한 변경에 대비하여 필요한 송신 정책을 구성하세요.
9.11.1. 기본 수신 및 송신 규칙
기본 네트워크 정책은 각 구성 요소에 다음과 같은 수신 및 송신 규칙을 적용합니다.
| Component | 유입 포트 | 탈출구 | 설명 |
|---|---|---|---|
|
| 9402 | 6443, 5353 | 메트릭 서버로의 유입 트래픽과 OpenShift API 서버로의 유출 트래픽을 허용합니다. |
|
| 9402, 10250 | 6443 | 메트릭 및 웹훅 서버로의 유입 트래픽과 OpenShift API 서버 및 내부 DNS 서버로의 유출 트래픽을 허용합니다. |
|
| 9402 | 6443 | 메트릭 서버로의 유입 트래픽과 OpenShift API 서버로의 유출 트래픽을 허용합니다. |
|
| 6443, 9402 | 6443 | gRPC Istio 인증서 요청 API, 메트릭 서버로의 수신 트래픽과 OpenShift API 서버로의 송신 트래픽을 허용합니다. |
9.11.2. 네트워크 정책 구성 매개변수
CertManager 사용자 정의 리소스(CR)를 업데이트하여 cert-manager Operator 구성 요소에 대한 네트워크 정책을 활성화하고 구성할 수 있습니다. CR에는 기본 네트워크 정책을 활성화하고 사용자 정의 송신 규칙을 정의하기 위한 다음 매개변수가 포함되어 있습니다.
| 필드 | 유형 | 설명 |
|---|---|---|
|
|
| cert-manager Operator 구성 요소에 대한 기본 네트워크 정책을 활성화할지 여부를 지정합니다. 중요 기본 네트워크 정책을 활성화하면 비활성화할 수 없습니다. 이러한 제한은 우발적인 보안 저하를 방지합니다. 이 설정을 활성화하기 전에 네트워크 정책 요구 사항을 계획하세요. |
|
|
|
사용자 정의 네트워크 정책 구성 목록을 정의합니다. 구성을 적용하려면 |
|
|
|
이 네트워크 정책이 대상으로 하는 구성 요소를 지정합니다. 유효한 값은 |
|
|
|
지정된 구성 요소에 대한 이탈 규칙을 정의합니다. 모든 외부 공급자에 대한 연결을 허용하려면 |
|
|
| 지정된 공급자에 대한 네트워크 포트 및 프로토콜 목록을 정의합니다. |
|
|
|
|
9.11.3. 네트워크 정책 구성 예
다음 예제에서는 네트워크 정책 및 사용자 지정 규칙 활성화와 관련된 다양한 시나리오를 다룹니다.
네트워크 정책 관리를 활성화하기 위한 예
모든 외부 발급자 공급자에게 이탈을 허용하는 예
특정 발급자 공급자에게 이탈을 허용하는 예
다음 구성을 사용하면 cert-manager 운영자 컨트롤러가 ACME 챌린지 자체 검사를 수행할 수 있습니다. 이 프로세스에는 ACME 공급자, DNS API 엔드포인트 및 재귀 DNS 서버에 대한 연결이 필요합니다.
9.11.4. 네트워크 정책 생성 확인
기본 및 사용자 지정 NetworkPolicy 리소스가 생성되었는지 확인할 수 있습니다.
사전 요구 사항
-
CertManager사용자 정의 리소스에서 Red Hat OpenShift용 cert-manager Operator에 대한 네트워크 정책을 활성화했습니다.
프로세스
다음 명령을 실행하여
cert-manager네임스페이스의NetworkPolicy리소스 목록을 확인합니다.oc get networkpolicy -n cert-manager
$ oc get networkpolicy -n cert-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력에는 기본 정책과 사용자가 만든 사용자 지정 정책이 나열됩니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}