Red Hat Summit4.9. Machine Config Operator 인증서
4.9.1. 목적
이 인증 기관은 초기 프로비저닝 중에 노드에서 MCS(Machine Config Server)로의 연결을 보호하는 데 사용됩니다.
두 개의 인증서가 있습니다.
-
자체 서명된 CA,
machine-config-server-ca구성 맵(MCS CA) -
파생 인증서,
machine-config-server-tls시크릿(MCS 인증서)
4.9.1.1. 프로비저닝 세부 정보
RHCOS(Red Hat Enterprise Linux CoreOS)를 사용하는 OpenShift Container Platform 설치는 Ignition을 사용하여 설치됩니다. 이 프로세스는 두 부분으로 나뉩니다.
- MCS에서 제공하는 전체 구성의 URL을 참조하는 Ignition 구성이 생성됩니다.
-
사용자 프로비저닝 infrastucture 설치 방법의 경우
openshift-install명령으로 생성된worker.ign파일로 Ignition 구성 매니페스트입니다. Machine API Operator를 사용하는 설치 관리자 프로비저닝 인프라 설치 방법의 경우 이 구성이worker-user-data시크릿으로 표시됩니다.
현재 머신 구성 서버 끝점을 차단하거나 제한하는 방법이 지원되지 않습니다. 기존 구성 또는 상태가 없는 새로 프로비저닝된 머신이 구성을 가져올 수 있도록 머신 구성 서버를 네트워크에 노출해야 합니다. 이 모델에서 trust의 루트는 CSR(인증서 서명 요청) 끝점입니다. 여기서 kubelet은 클러스터에 참여하도록 승인에 대한 인증서 서명 요청을 보냅니다. 이로 인해 시크릿 및 인증서와 같은 중요한 정보를 배포하는 데 머신 구성을 사용해서는 안 됩니다.
머신 구성 서버 엔드포인트, 포트 22623 및 22624가 베어 메탈 시나리오에서 보호되도록 고객은 적절한 네트워크 정책을 구성해야 합니다.
4.9.1.2. 신뢰 체인 프로비저닝
MCS CA는 security.tls.certificateAuthorities 구성 필드 아래에 Ignition 구성에 삽입됩니다. 그런 다음 MCS는 웹 서버에서 제공하는 MCS 인증서를 사용하여 전체 구성을 제공합니다.
클라이언트는 서버에서 제공하는 MCS 인증서에 해당 인증 기관에 대한 신뢰 체인이 있는지 확인합니다. 이 경우 MCS CA는 해당 권한이며 MCS 인증서에 서명합니다. 이렇게 하면 클라이언트가 올바른 서버에 액세스합니다. 이 경우 클라이언트는 initramfs의 머신에서 실행되는 Ignition입니다.
4.9.1.3. 클러스터 내부의 주요 자료
다음 오브젝트는 openshift-machine-config-operator 네임스페이스에 저장됩니다.
-
MCS CA 번들은
machine-config-server-ca구성 맵으로 저장됩니다. MCS CA 번들은MachineConfigServerTLS 인증서에 대한 모든 유효한 CA를 저장합니다. -
MCS CA 서명 키는
machine-config-server-ca시크릿으로 저장됩니다. MCS CA 서명 키는MachineConfigServerTLS 인증서에 서명하는 데 사용됩니다. -
MCS 인증서는
MachineConfigServerTLS 인증서 및 키를 포함하는machine-config-server-tls시크릿으로 저장됩니다.
machine-config-server-ca 구성 맵은 다음과 같은 방식으로 사용됩니다.
-
인증서 컨트롤러는
machine-config-server-caconfigmap이 업데이트될 때마다openshift-machine-api네임스페이스에서*-user-data시크릿을 업데이트합니다. -
Machine Config Operator는
machine-config-server-caconfigmap에서master-user-data-managed및worker-user-data-managed시크릿을 렌더링합니다.
4.9.2. 관리
현재 이러한 인증서 중 하나를 직접 수정하는 것은 지원되지 않습니다.
4.9.3. 만료
MCS CA 및 MCS 인증서는 10년 동안 유효하며 8년 후에 MCO에 의해 자동으로 순환됩니다.
발급된 제공 인증서는 10년 동안 유효합니다.
4.9.4. 사용자 정의
Machine Config Operator 인증서를 사용자 지정할 수 없습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}