Red Hat Summit10장. 클라우드 공급자 인증 정보 구성 변경
지원되는 구성의 경우 OpenShift Container Platform이 클라우드 공급자로 인증하는 방법을 변경할 수 있습니다.
클러스터에서 사용하는 클라우드 인증 정보 전략을 확인하려면 Cloud Credential Operator 모드 결정을 참조하십시오.
10.1. Cloud Credential Operator 유틸리티를 사용하여 클라우드 공급자 서비스 키 교체
일부 조직에서는 클러스터를 인증하는 서비스 키를 순환해야 합니다. CCO(Cloud Credential Operator) 유틸리티(ccoctl)를 사용하여 다음 클라우드 공급자에 설치된 클러스터의 키를 업데이트할 수 있습니다.
10.1.1. AWS OIDC 바인딩 서비스 계정 서명자 키 교체
STS를 사용하여 AWS(Amazon Web Services)의 OpenShift Container Platform 클러스터의 CCO(Cloud Credential Operator)가 수동 모드에서 작동하도록 구성된 경우 바인딩된 서비스 계정 서명자 키를 회전할 수 있습니다.
키를 교체하려면 클러스터에서 기존 키를 삭제하여 Kubernetes API 서버가 새 키를 생성합니다. 이 프로세스 중에 인증 실패를 줄이려면 기존 발행자 파일에 새 공개 키를 즉시 추가해야 합니다. 클러스터에서 인증에 새 키를 사용한 후 나머지 키를 제거할 수 있습니다.
OIDC 바인딩 서비스 계정 서명자 키를 교체하는 프로세스는 중단되며 상당한 시간이 걸립니다. 일부 단계는 시간에 민감합니다. 진행하기 전에 다음 고려 사항을 고려하십시오.
- 다음 단계를 읽고 시간 요구 사항을 이해하고 수락하는지 확인하십시오. 정확한 시간 요구 사항은 개별 클러스터에 따라 다르지만 최소 1시간이 걸릴 수 있습니다.
- 인증 실패 위험을 줄이려면 시간에 민감한 단계를 이해하고 준비해야 합니다.
- 이 프로세스 중에 모든 서비스 계정을 새로 고치고 클러스터의 모든 Pod를 다시 시작해야 합니다. 이러한 작업은 워크로드에 영향을 미칩니다. 이 영향을 완화하기 위해 이러한 서비스를 일시적으로 중단한 다음 클러스터가 준비되면 다시 배포할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 OpenShift CLI(oc)에 액세스할 수 있습니다.
ccoctl유틸리티에서 다음 권한과 함께 사용할 AWS 계정을 생성했습니다.-
s3:GetObject -
s3:PutObject -
s3:PutObjectTagging -
공용 CloudFront 배포 URL을 통해 IAM ID 공급자가 액세스하는 프라이빗 S3 버킷에 OIDC 구성을 저장하는 클러스터의 경우
ccoctl유틸리티를 실행하는 AWS 계정에cloudfront:ListDistributions권한이 필요합니다.
-
-
ccoctl유틸리티를 구성했습니다. 클러스터가 안정적인 상태에 있습니다. 다음 명령을 실행하여 클러스터가 안정적인지 확인할 수 있습니다.
oc adm wait-for-stable-cluster --minimum-stable-period=5s
$ oc adm wait-for-stable-cluster --minimum-stable-period=5sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
프로세스
다음 환경 변수를 구성합니다.
INFRA_ID=$(oc get infrastructures cluster -o jsonpath='{.status.infrastructureName}') CLUSTER_NAME=${INFRA_ID%-*}INFRA_ID=$(oc get infrastructures cluster -o jsonpath='{.status.infrastructureName}') CLUSTER_NAME=${INFRA_ID%-*}1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고클러스터는 이 예제와 다를 수 있으며 리소스 이름은 클러스터 이름과 동일하게 파생되지 않을 수 있습니다. 클러스터의 올바른 리소스 이름을 지정해야 합니다.
OIDC 구성을 공용 S3 버킷에 저장하는 AWS 클러스터의 경우 다음 환경 변수를 구성합니다.
AWS_BUCKET=$(oc get authentication cluster -o jsonpath={'.spec.serviceAccountIssuer'} | awk -F'://' '{print$2}' |awk -F'.' '{print$1}')AWS_BUCKET=$(oc get authentication cluster -o jsonpath={'.spec.serviceAccountIssuer'} | awk -F'://' '{print$2}' |awk -F'.' '{print$1}')Copy to Clipboard Copied! Toggle word wrap Toggle overflow 공개 CloudFront 배포 URL을 통해 IAM ID 공급자가 액세스하는 프라이빗 S3 버킷에 OIDC 구성을 저장하는 AWS 클러스터의 경우 다음 단계를 완료합니다.
다음 명령을 실행하여 공용 CloudFront 배포 URL을 추출합니다.
basename $(oc get authentication cluster -o jsonpath={'.spec.serviceAccountIssuer'} )$ basename $(oc get authentication cluster -o jsonpath={'.spec.serviceAccountIssuer'} )Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
<subdomain>.cloudfront.net
<subdomain>.cloudfront.netCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서
<subdomain>은 영숫자 문자열입니다.다음 명령을 실행하여 개인 S3 버킷 이름을 확인합니다.
aws cloudfront list-distributions --query "DistributionList.Items[].{DomainName: DomainName, OriginDomainName: Origins.Items[0].DomainName}[?contains(DomainName, '<subdomain>.cloudfront.net')]"$ aws cloudfront list-distributions --query "DistributionList.Items[].{DomainName: DomainName, OriginDomainName: Origins.Items[0].DomainName}[?contains(DomainName, '<subdomain>.cloudfront.net')]"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서
<s3_bucket>은 클러스터의 프라이빗 S3 버킷 이름입니다.다음 환경 변수를 구성합니다.
AWS_BUCKET=$<s3_bucket>
AWS_BUCKET=$<s3_bucket>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서
<s3_bucket>은 클러스터의 프라이빗 S3 버킷 이름입니다.
다음 명령을 실행하여 사용할 임시 디렉터리를 생성하고 환경 변수를 할당합니다.
TEMPDIR=$(mktemp -d)
$ TEMPDIR=$(mktemp -d)Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버가 새 바인딩된 서비스 계정 서명 키를 생성하도록 다음 바인딩된 서비스 계정 서명 키를 삭제합니다.
중요이 단계를 완료하면 Kubernetes API 서버가 새 키를 롤아웃하기 시작합니다. 인증 실패 위험을 줄이려면 나머지 단계를 최대한 빨리 완료하십시오. 나머지 단계는 워크로드에 방해가 될 수 있습니다.
준비가 되면 다음 명령을 실행하여 다음 바인딩된 서비스 계정 서명 키를 삭제합니다.
oc delete secrets/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator
$ oc delete secrets/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Kubernetes API 서버가 생성한 서비스 계정 서명 키 시크릿에서 공개 키를 다운로드합니다.
oc get secret/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator \ -ojsonpath='{ .data.service-account\.pub }' | base64 \ -d > ${TEMPDIR}/serviceaccount-signer.public$ oc get secret/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator \ -ojsonpath='{ .data.service-account\.pub }' | base64 \ -d > ${TEMPDIR}/serviceaccount-signer.publicCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 공개 키를 사용하여
keys.json파일을 생성합니다.ccoctl aws create-identity-provider \ --dry-run \ --output-dir ${TEMPDIR} \ --name fake \ --region us-east-1$ ccoctl aws create-identity-provider \ --dry-run \1 --output-dir ${TEMPDIR} \ --name fake \2 --region us-east-13 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
keys.json파일의 이름을 변경합니다.cp ${TEMPDIR}/<number>-keys.json ${TEMPDIR}/jwks.new.json$ cp ${TEMPDIR}/<number>-keys.json ${TEMPDIR}/jwks.new.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서
<number>는 환경에 따라 달라지는 두 자리 숫자 값입니다.다음 명령을 실행하여 클라우드 공급자에서 기존
keys.json파일을 다운로드합니다.aws s3api get-object \ --bucket ${AWS_BUCKET} \ --key keys.json ${TEMPDIR}/jwks.current.json$ aws s3api get-object \ --bucket ${AWS_BUCKET} \ --key keys.json ${TEMPDIR}/jwks.current.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 두 개의
keys.json파일을 결합합니다.jq -s '{ keys: map(.keys[])}' ${TEMPDIR}/jwks.current.json ${TEMPDIR}/jwks.new.json > ${TEMPDIR}/jwks.combined.json$ jq -s '{ keys: map(.keys[])}' ${TEMPDIR}/jwks.current.json ${TEMPDIR}/jwks.new.json > ${TEMPDIR}/jwks.combined.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 교체 중에 이전 키와 새 키에 대한 인증을 활성화하려면 다음 명령을 실행하여 결합된
keys.json파일을 클라우드 공급자에 업로드합니다.aws s3api put-object \ --bucket ${AWS_BUCKET} \ --tagging "openshift.io/cloud-credential-operator/${CLUSTER_NAME}=owned" \ --key keys.json \ --body ${TEMPDIR}/jwks.combined.json$ aws s3api put-object \ --bucket ${AWS_BUCKET} \ --tagging "openshift.io/cloud-credential-operator/${CLUSTER_NAME}=owned" \ --key keys.json \ --body ${TEMPDIR}/jwks.combined.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버가 업데이트되고 새 키를 사용할 때까지 기다립니다. 다음 명령을 실행하여 업데이트 진행 상황을 모니터링할 수 있습니다.
oc adm wait-for-stable-cluster
$ oc adm wait-for-stable-clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All clusteroperators are stable
All clusteroperators are stableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 클러스터의 모든 Pod가 새 키를 사용하도록 하려면 다시 시작해야 합니다.
중요이 단계에서는 여러 노드에서 고가용성을 위해 구성된 서비스의 가동 시간을 유지하지만 그렇지 않은 모든 서비스에 대해서는 다운타임이 발생할 수 있습니다.
다음 명령을 실행하여 클러스터의 모든 Pod를 다시 시작합니다.
oc adm reboot-machine-config-pool mcp/worker mcp/master
$ oc adm reboot-machine-config-pool mcp/worker mcp/masterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 재시작 및 업데이트 프로세스를 모니터링합니다.
oc adm wait-for-node-reboot nodes --all
$ oc adm wait-for-node-reboot nodes --allCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All nodes rebooted
All nodes rebootedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 업데이트 진행 상황을 모니터링합니다.
oc adm wait-for-stable-cluster
$ oc adm wait-for-stable-clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All clusteroperators are stable
All clusteroperators are stableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 결합된
keys.json파일을 클라우드 공급자에서 업데이트된keys.json파일로 교체합니다.aws s3api put-object \ --bucket ${AWS_BUCKET} \ --tagging "openshift.io/cloud-credential-operator/${CLUSTER_NAME}=owned" \ --key keys.json \ --body ${TEMPDIR}/jwks.new.json$ aws s3api put-object \ --bucket ${AWS_BUCKET} \ --tagging "openshift.io/cloud-credential-operator/${CLUSTER_NAME}=owned" \ --key keys.json \ --body ${TEMPDIR}/jwks.new.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.1.2. Google Cloud OIDC 바인딩 서비스 계정 서명자 키 교체
Google Cloud의 OpenShift Container Platform 클러스터의 CCO(Cloud Credential Operator)가 GCP Workload Identity를 사용하여 수동 모드에서 작동하도록 구성된 경우 바인딩된 서비스 계정 서명자 키를 회전할 수 있습니다.
키를 교체하려면 클러스터에서 기존 키를 삭제하여 Kubernetes API 서버가 새 키를 생성합니다. 이 프로세스 중에 인증 실패를 줄이려면 기존 발행자 파일에 새 공개 키를 즉시 추가해야 합니다. 클러스터에서 인증에 새 키를 사용한 후 나머지 키를 제거할 수 있습니다.
OIDC 바인딩 서비스 계정 서명자 키를 교체하는 프로세스는 중단되며 상당한 시간이 걸립니다. 일부 단계는 시간에 민감합니다. 진행하기 전에 다음 고려 사항을 고려하십시오.
- 다음 단계를 읽고 시간 요구 사항을 이해하고 수락하는지 확인하십시오. 정확한 시간 요구 사항은 개별 클러스터에 따라 다르지만 최소 1시간이 걸릴 수 있습니다.
- 인증 실패 위험을 줄이려면 시간에 민감한 단계를 이해하고 준비해야 합니다.
- 이 프로세스 중에 모든 서비스 계정을 새로 고치고 클러스터의 모든 Pod를 다시 시작해야 합니다. 이러한 작업은 워크로드에 영향을 미칩니다. 이 영향을 완화하기 위해 이러한 서비스를 일시적으로 중단한 다음 클러스터가 준비되면 다시 배포할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 OpenShift CLI(oc)에 액세스할 수 있습니다.
ccoctl유틸리티에서 사용하는 Google Cloud 계정에 다음 인증 옵션 중 하나를 추가했습니다.- IAM 워크로드 ID 풀 관리자 역할
다음과 같은 세분화된 권한:
-
storage.objects.create -
storage.objects.delete
-
-
ccoctl유틸리티를 구성했습니다. 클러스터가 안정적인 상태에 있습니다. 다음 명령을 실행하여 클러스터가 안정적인지 확인할 수 있습니다.
oc adm wait-for-stable-cluster --minimum-stable-period=5s
$ oc adm wait-for-stable-cluster --minimum-stable-period=5sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
프로세스
다음 환경 변수를 구성합니다.
CURRENT_ISSUER=$(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}') GCP_BUCKET=$(echo ${CURRENT_ISSUER} | cut -d "/" -f4)CURRENT_ISSUER=$(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}') GCP_BUCKET=$(echo ${CURRENT_ISSUER} | cut -d "/" -f4)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고클러스터는 이 예제와 다를 수 있으며 리소스 이름은 클러스터 이름과 동일하게 파생되지 않을 수 있습니다. 클러스터의 올바른 리소스 이름을 지정해야 합니다.
다음 명령을 실행하여 사용할 임시 디렉터리를 생성하고 환경 변수를 할당합니다.
TEMPDIR=$(mktemp -d)
$ TEMPDIR=$(mktemp -d)Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버가 새 바인딩된 서비스 계정 서명 키를 생성하도록 다음 바인딩된 서비스 계정 서명 키를 삭제합니다.
중요이 단계를 완료하면 Kubernetes API 서버가 새 키를 롤아웃하기 시작합니다. 인증 실패 위험을 줄이려면 나머지 단계를 최대한 빨리 완료하십시오. 나머지 단계는 워크로드에 방해가 될 수 있습니다.
준비가 되면 다음 명령을 실행하여 다음 바인딩된 서비스 계정 서명 키를 삭제합니다.
oc delete secrets/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator
$ oc delete secrets/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Kubernetes API 서버가 생성한 서비스 계정 서명 키 시크릿에서 공개 키를 다운로드합니다.
oc get secret/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator \ -ojsonpath='{ .data.service-account\.pub }' | base64 \ -d > ${TEMPDIR}/serviceaccount-signer.public$ oc get secret/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator \ -ojsonpath='{ .data.service-account\.pub }' | base64 \ -d > ${TEMPDIR}/serviceaccount-signer.publicCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 공개 키를 사용하여
keys.json파일을 생성합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
keys.json파일의 이름을 변경합니다.cp ${TEMPDIR}/<number>-keys.json ${TEMPDIR}/jwks.new.json$ cp ${TEMPDIR}/<number>-keys.json ${TEMPDIR}/jwks.new.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서
<number>는 환경에 따라 달라지는 두 자리 숫자 값입니다.다음 명령을 실행하여 클라우드 공급자에서 기존
keys.json파일을 다운로드합니다.gcloud storage cp gs://${GCP_BUCKET}/keys.json ${TEMPDIR}/jwks.current.json$ gcloud storage cp gs://${GCP_BUCKET}/keys.json ${TEMPDIR}/jwks.current.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 두 개의
keys.json파일을 결합합니다.jq -s '{ keys: map(.keys[])}' ${TEMPDIR}/jwks.current.json ${TEMPDIR}/jwks.new.json > ${TEMPDIR}/jwks.combined.json$ jq -s '{ keys: map(.keys[])}' ${TEMPDIR}/jwks.current.json ${TEMPDIR}/jwks.new.json > ${TEMPDIR}/jwks.combined.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 교체 중에 이전 키와 새 키에 대한 인증을 활성화하려면 다음 명령을 실행하여 결합된
keys.json파일을 클라우드 공급자에 업로드합니다.gcloud storage cp ${TEMPDIR}/jwks.combined.json gs://${GCP_BUCKET}/keys.json$ gcloud storage cp ${TEMPDIR}/jwks.combined.json gs://${GCP_BUCKET}/keys.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버가 업데이트되고 새 키를 사용할 때까지 기다립니다. 다음 명령을 실행하여 업데이트 진행 상황을 모니터링할 수 있습니다.
oc adm wait-for-stable-cluster
$ oc adm wait-for-stable-clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All clusteroperators are stable
All clusteroperators are stableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 클러스터의 모든 Pod가 새 키를 사용하도록 하려면 다시 시작해야 합니다.
중요이 단계에서는 여러 노드에서 고가용성을 위해 구성된 서비스의 가동 시간을 유지하지만 그렇지 않은 모든 서비스에 대해서는 다운타임이 발생할 수 있습니다.
다음 명령을 실행하여 클러스터의 모든 Pod를 다시 시작합니다.
oc adm reboot-machine-config-pool mcp/worker mcp/master
$ oc adm reboot-machine-config-pool mcp/worker mcp/masterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 재시작 및 업데이트 프로세스를 모니터링합니다.
oc adm wait-for-node-reboot nodes --all
$ oc adm wait-for-node-reboot nodes --allCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All nodes rebooted
All nodes rebootedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 업데이트 진행 상황을 모니터링합니다.
oc adm wait-for-stable-cluster
$ oc adm wait-for-stable-clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All clusteroperators are stable
All clusteroperators are stableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 결합된
keys.json파일을 클라우드 공급자에서 업데이트된keys.json파일로 교체합니다.gcloud storage cp ${TEMPDIR}/jwks.new.json gs://${GCP_BUCKET}/keys.json$ gcloud storage cp ${TEMPDIR}/jwks.new.json gs://${GCP_BUCKET}/keys.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.1.3. Azure OIDC 바인딩된 서비스 계정 서명자 키 교체
Microsoft Azure의 OpenShift Container Platform 클러스터에 대한 CCO(Cloud Credential Operator)가 Microsoft Entra Workload ID를 사용하여 수동 모드에서 작동하도록 구성된 경우 바인딩된 서비스 계정 서명자 키를 회전할 수 있습니다.
키를 교체하려면 클러스터에서 기존 키를 삭제하여 Kubernetes API 서버가 새 키를 생성합니다. 이 프로세스 중에 인증 실패를 줄이려면 기존 발행자 파일에 새 공개 키를 즉시 추가해야 합니다. 클러스터에서 인증에 새 키를 사용한 후 나머지 키를 제거할 수 있습니다.
OIDC 바인딩 서비스 계정 서명자 키를 교체하는 프로세스는 중단되며 상당한 시간이 걸립니다. 일부 단계는 시간에 민감합니다. 진행하기 전에 다음 고려 사항을 고려하십시오.
- 다음 단계를 읽고 시간 요구 사항을 이해하고 수락하는지 확인하십시오. 정확한 시간 요구 사항은 개별 클러스터에 따라 다르지만 최소 1시간이 걸릴 수 있습니다.
- 인증 실패 위험을 줄이려면 시간에 민감한 단계를 이해하고 준비해야 합니다.
- 이 프로세스 중에 모든 서비스 계정을 새로 고치고 클러스터의 모든 Pod를 다시 시작해야 합니다. 이러한 작업은 워크로드에 영향을 미칩니다. 이 영향을 완화하기 위해 이러한 서비스를 일시적으로 중단한 다음 클러스터가 준비되면 다시 배포할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 OpenShift CLI(oc)에 액세스할 수 있습니다.
ccoctl유틸리티에서 다음 권한과 함께 사용할 글로벌 Azure 계정을 생성했습니다.-
Microsoft.Storage/storageAccounts/listkeys/action -
Microsoft.Storage/storageAccounts/read -
Microsoft.Storage/storageAccounts/write -
Microsoft.Storage/storageAccounts/blobServices/containers/read -
Microsoft.Storage/storageAccounts/blobServices/containers/write
-
-
ccoctl유틸리티를 구성했습니다. 클러스터가 안정적인 상태에 있습니다. 다음 명령을 실행하여 클러스터가 안정적인지 확인할 수 있습니다.
oc adm wait-for-stable-cluster --minimum-stable-period=5s
$ oc adm wait-for-stable-cluster --minimum-stable-period=5sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
프로세스
다음 환경 변수를 구성합니다.
CURRENT_ISSUER=$(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}') AZURE_STORAGE_ACCOUNT=$(echo ${CURRENT_ISSUER} | cut -d "/" -f3 | cut -d "." -f1) AZURE_STORAGE_CONTAINER=$(echo ${CURRENT_ISSUER} | cut -d "/" -f4)CURRENT_ISSUER=$(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}') AZURE_STORAGE_ACCOUNT=$(echo ${CURRENT_ISSUER} | cut -d "/" -f3 | cut -d "." -f1) AZURE_STORAGE_CONTAINER=$(echo ${CURRENT_ISSUER} | cut -d "/" -f4)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고클러스터는 이 예제와 다를 수 있으며 리소스 이름은 클러스터 이름과 동일하게 파생되지 않을 수 있습니다. 클러스터의 올바른 리소스 이름을 지정해야 합니다.
다음 명령을 실행하여 사용할 임시 디렉터리를 생성하고 환경 변수를 할당합니다.
TEMPDIR=$(mktemp -d)
$ TEMPDIR=$(mktemp -d)Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버가 새 바인딩된 서비스 계정 서명 키를 생성하도록 다음 바인딩된 서비스 계정 서명 키를 삭제합니다.
중요이 단계를 완료하면 Kubernetes API 서버가 새 키를 롤아웃하기 시작합니다. 인증 실패 위험을 줄이려면 나머지 단계를 최대한 빨리 완료하십시오. 나머지 단계는 워크로드에 방해가 될 수 있습니다.
준비가 되면 다음 명령을 실행하여 다음 바인딩된 서비스 계정 서명 키를 삭제합니다.
oc delete secrets/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator
$ oc delete secrets/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 Kubernetes API 서버가 생성한 서비스 계정 서명 키 시크릿에서 공개 키를 다운로드합니다.
oc get secret/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator \ -ojsonpath='{ .data.service-account\.pub }' | base64 \ -d > ${TEMPDIR}/serviceaccount-signer.public$ oc get secret/next-bound-service-account-signing-key \ -n openshift-kube-apiserver-operator \ -ojsonpath='{ .data.service-account\.pub }' | base64 \ -d > ${TEMPDIR}/serviceaccount-signer.publicCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 공개 키를 사용하여
keys.json파일을 생성합니다.ccoctl aws create-identity-provider \ --dry-run \ --output-dir ${TEMPDIR} \ --name fake \ --region us-east-1$ ccoctl aws create-identity-provider \1 --dry-run \2 --output-dir ${TEMPDIR} \ --name fake \3 --region us-east-14 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
keys.json파일의 이름을 변경합니다.cp ${TEMPDIR}/<number>-keys.json ${TEMPDIR}/jwks.new.json$ cp ${TEMPDIR}/<number>-keys.json ${TEMPDIR}/jwks.new.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 여기서
<number>는 환경에 따라 달라지는 두 자리 숫자 값입니다.다음 명령을 실행하여 클라우드 공급자에서 기존
keys.json파일을 다운로드합니다.az storage blob download \ --container-name ${AZURE_STORAGE_CONTAINER} \ --account-name ${AZURE_STORAGE_ACCOUNT} \ --name 'openid/v1/jwks' \ -f ${TEMPDIR}/jwks.current.json$ az storage blob download \ --container-name ${AZURE_STORAGE_CONTAINER} \ --account-name ${AZURE_STORAGE_ACCOUNT} \ --name 'openid/v1/jwks' \ -f ${TEMPDIR}/jwks.current.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 두 개의
keys.json파일을 결합합니다.jq -s '{ keys: map(.keys[])}' ${TEMPDIR}/jwks.current.json ${TEMPDIR}/jwks.new.json > ${TEMPDIR}/jwks.combined.json$ jq -s '{ keys: map(.keys[])}' ${TEMPDIR}/jwks.current.json ${TEMPDIR}/jwks.new.json > ${TEMPDIR}/jwks.combined.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow 교체 중에 이전 키와 새 키에 대한 인증을 활성화하려면 다음 명령을 실행하여 결합된
keys.json파일을 클라우드 공급자에 업로드합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes API 서버가 업데이트되고 새 키를 사용할 때까지 기다립니다. 다음 명령을 실행하여 업데이트 진행 상황을 모니터링할 수 있습니다.
oc adm wait-for-stable-cluster
$ oc adm wait-for-stable-clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All clusteroperators are stable
All clusteroperators are stableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 클러스터의 모든 Pod가 새 키를 사용하도록 하려면 다시 시작해야 합니다.
중요이 단계에서는 여러 노드에서 고가용성을 위해 구성된 서비스의 가동 시간을 유지하지만 그렇지 않은 모든 서비스에 대해서는 다운타임이 발생할 수 있습니다.
다음 명령을 실행하여 클러스터의 모든 Pod를 다시 시작합니다.
oc adm reboot-machine-config-pool mcp/worker mcp/master
$ oc adm reboot-machine-config-pool mcp/worker mcp/masterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 재시작 및 업데이트 프로세스를 모니터링합니다.
oc adm wait-for-node-reboot nodes --all
$ oc adm wait-for-node-reboot nodes --allCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All nodes rebooted
All nodes rebootedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 업데이트 진행 상황을 모니터링합니다.
oc adm wait-for-stable-cluster
$ oc adm wait-for-stable-clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 프로세스에는 15분 이상 걸릴 수 있습니다. 다음 출력은 프로세스가 완료되었음을 나타냅니다.
All clusteroperators are stable
All clusteroperators are stableCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 결합된
keys.json파일을 클라우드 공급자에서 업데이트된keys.json파일로 교체합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
10.1.4. IBM Cloud 인증 정보 교체
기존 서비스 ID에 대한 API 키를 교체하고 해당 시크릿을 업데이트할 수 있습니다.
사전 요구 사항
-
ccoctl유틸리티를 구성했습니다. - 라이브 OpenShift Container Platform 클러스터에 기존 서비스 ID가 설치되어 있어야 합니다.
프로세스
ccoctl유틸리티를 사용하여 서비스 ID의 API 키를 교체하고 다음 명령을 실행하여 시크릿을 업데이트합니다.ccoctl <provider_name> refresh-keys \ --kubeconfig <openshift_kubeconfig_file> \ --credentials-requests-dir <path_to_credential_requests_directory> \ --name <name>$ ccoctl <provider_name> refresh-keys \1 --kubeconfig <openshift_kubeconfig_file> \2 --credentials-requests-dir <path_to_credential_requests_directory> \3 --name <name>4 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고클러스터에서
TechPreviewNoUpgrade기능 세트에서 활성화한 기술 프리뷰 기능을 사용하는 경우--enable-tech-preview매개변수를 포함해야 합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}