Red Hat Summit11장. Red Hat OpenShift용 외부 비밀 운영자
11.1. Red Hat OpenShift용 외부 비밀 연산자 개요
Red Hat OpenShift용 외부 비밀 운영자는 외부 비밀 애플리케이션을 배포하고 관리하는 클러스터 전체 서비스로 작동합니다. 외부 비밀 애플리케이션은 외부 비밀 관리 시스템과 통합되어 클러스터 내에서 비밀 가져오기, 새로 고침, 프로비저닝을 수행합니다.
Red Hat OpenShift용 외부 비밀 연산자는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
11.1.1. Red Hat OpenShift용 외부 비밀 운영자 정보
Red Hat OpenShift용 외부 비밀 연산자를 사용하여 외부 비밀 애플리케이션을 OpenShift Container Platform 클러스터와 통합합니다. 외부 비밀 애플리케이션은 AWS Secrets Manager , HashiCorp Vault , Google Secret Manager , Azure Key Vault , IBM Cloud Secrets Manager , AWS Systems Manager Parameter Store 와 같은 외부 공급자에 저장된 비밀을 가져와서 안전한 방식으로 Kubernetes와 통합합니다.
외부 비밀 연산자를 사용하면 다음이 보장됩니다.
- 비밀 수명 주기 관리에서 애플리케이션을 분리합니다.
- 규정 준수 요구 사항을 지원하기 위해 비밀 저장소를 중앙화합니다.
- 안전하고 자동화된 비밀 순환을 가능하게 합니다.
- 세분화된 액세스 제어를 통해 멀티 클라우드 비밀 소싱을 지원합니다.
- 접근 제어를 중앙화하고 감사합니다.
클러스터에서 두 개 이상의 외부 비밀 연산자를 사용하지 마세요. 클러스터에 커뮤니티 외부 비밀 운영자가 설치되어 있는 경우 Red Hat OpenShift용 외부 비밀 운영자를 설치하기 전에 이를 제거해야 합니다.
external-secrets 애플리케이션에 대한 자세한 내용은 external-secrets를 참조하세요.
외부 비밀 연산자를 사용하여 외부 비밀 저장소에 인증하고 비밀을 검색하고 검색된 비밀을 기본 Kubernetes 비밀에 삽입합니다. 이 방법을 사용하면 애플리케이션이 외부 비밀에 직접 액세스하거나 이를 관리할 필요가 없습니다.
11.1.2. Red Hat OpenShift용 외부 비밀 운영자를 위한 외부 비밀 공급자
Red Hat OpenShift용 외부 비밀 연산자는 다음 외부 비밀 공급자 유형으로 테스트되었습니다.
Red Hat은 타사 비밀 저장소 공급자 기능과 관련된 모든 요소를 테스트하지 않습니다. 타사 지원에 대한 자세한 내용은 Red Hat 타사 지원 정책을 참조하세요.
11.1.3. 외부 비밀 공급자 유형 테스트
다음 표는 테스트된 각 외부 비밀 공급자 유형에 대한 테스트 범위를 보여줍니다.
| 비밀 제공자 | 테스트 상태 | 참고 |
|---|---|---|
| AWS 시크릿 관리자 | 부분적으로 테스트됨 | 기본 기능을 보장합니다. |
| AWS Systems Manager 매개변수 저장소 | 부분적으로 테스트됨 | 기본 기능을 보장합니다. |
| HashiCorp 볼트 | 부분적으로 테스트됨 | |
| Google 시크릿 관리자 | 부분적으로 테스트됨 |
11.1.4. Red Hat OpenShift용 외부 비밀 운영자에 대한 FIPS 규정 준수 정보
Red Hat OpenShift용 외부 비밀 운영자는 FIPS 규정 준수를 지원합니다. FIPS 모드에서 OpenShift Container Platform을 실행하는 경우, External Secrets Operator는 x86_64, ppc64le 및 s390X 아키텍처에서 FIPS 유효성 검사를 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다. NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 검증 프로그램을 참조하십시오. 검증을 위해 제출된 RHEL 암호화 라이브러리의 개별 버전에 대한 최신 NIST 상태에 대한 자세한 내용은 규정 준수 활동 및 정부 표준을 참조하세요.
FIPS 모드를 활성화하려면 FIPS 모드에서 실행되는 OpenShift Container Platform 클러스터에 External Secrets Operator를 설치합니다. 자세한 내용은 "클러스터에 추가 보안이 필요합니까?"를 참조하세요.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}