Red Hat Summit11장. External Secrets Operator for Red Hat OpenShift
11.1. External Secrets Operator for Red Hat OpenShift 개요
Red Hat OpenShift용 External Secrets Operator는 external-secrets 애플리케이션을 배포 및 관리하기 위해 클러스터 전체 서비스로 작동합니다. external-secrets 애플리케이션은 외부 시크릿 관리 시스템과 통합되며 클러스터 내에서 시크릿 가져오기, 새로 고침 및 프로비저닝을 수행합니다.
External Secrets Operator for Red Hat OpenShift는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
11.1.1. Red Hat OpenShift용 External Secrets Operator 정보
Red Hat OpenShift에 External Secrets Operator를 사용하여 external-secrets 애플리케이션을 OpenShift Container Platform 클러스터와 통합합니다. external-secrets 애플리케이션은 AWS Secrets Manager,HashiCorp Vault,Google Secret Manager,Azure Key Vault,IBM Cloud Secrets Manager,AWS Systems Manager Parameter Store 와 같은 외부 공급자에 저장된 시크릿을 가져와서 안전한 방식으로 Kubernetes와 통합합니다.
외부 보안 Operator를 사용하면 다음을 수행할 수 있습니다.
- 시크릿 라이프사이클 관리에서 애플리케이션을 분리합니다.
- 규정 준수 요구 사항을 지원하기 위해 시크릿 스토리지를 중앙 집중화합니다.
- 안전하고 자동화된 보안 교체를 활성화합니다.
- 세분화된 액세스 제어를 사용하여 다중 클라우드 시크릿 소싱 지원.
- 액세스 제어 중앙 집중화 및 감사.
클러스터에서 두 개 이상의 외부 Secrets Operator를 사용하지 마십시오. 커뮤니티 외부 Secrets Operator가 클러스터에 설치된 경우 이를 제거한 후 Red Hat OpenShift용 외부 Secrets Operator를 설치해야 합니다.
external-secrets 애플리케이션에 대한 자세한 내용은 external-secrets 를 참조하십시오.
외부 Secrets Operator를 사용하여 외부 보안 저장소로 인증하고 시크릿을 검색하고 검색된 보안을 네이티브 Kubernetes 보안에 삽입합니다. 이 방법을 사용하면 애플리케이션에서 외부 시크릿에 직접 액세스하거나 관리할 필요가 없습니다.
11.1.2. External Secrets Operator for Red Hat OpenShift의 외부 시크릿 공급자
External Secrets Operator for Red Hat OpenShift는 다음과 같은 외부 시크릿 공급자 유형으로 테스트합니다.
Red Hat은 타사 보안 저장소 공급자 기능과 관련된 모든 요소를 테스트하지 않습니다. 타사 지원에 대한 자세한 내용은 Red Hat 타사 지원 정책을 참조하십시오.
11.1.3. 외부 보안 공급자 유형 테스트
다음 표에서는 테스트된 각 외부 보안 공급자 유형에 대한 테스트 범위를 보여줍니다.
| 보안 공급자 | 테스트 상태 | 참고 |
|---|---|---|
| AWS Secrets Manager | 부분적으로 테스트됨 | 기본 기능을 보장합니다. |
| AWS Systems Manager 매개변수 저장소 | 부분적으로 테스트됨 | 기본 기능을 보장합니다. |
| HashiCorp Vault | 부분적으로 테스트됨 | |
| Google Secrets Manager | 부분적으로 테스트됨 |
11.1.4. Red Hat OpenShift용 외부 보안 Operator에 대한 FIPS 컴플라이언스 정보
External Secrets Operator for Red Hat OpenShift는 FIPS 규정 준수를 지원합니다. FIPS 모드에서 OpenShift Container Platform을 실행하는 경우 External Secrets Operator는 x86_64, ppc64le 및 s390X 아키텍처에서 FIPS 검증을 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다. NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 검증 프로그램을 참조하십시오. 검증을 위해 제출된 개별 RHEL 암호화 라이브러리의 최신 NIST 상태에 대한 자세한 내용은 규정 준수 활동 및 정부 표준을 참조하십시오.
FIPS 모드를 활성화하려면 FIPS 모드에서 실행되는 OpenShift Container Platform 클러스터에 외부 Secrets Operator를 설치합니다. 자세한 내용은 "클러스터에 추가 보안이 필요합니까?"를 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}