6장. 외부 암호화 키 관리
6.1. OpenShift Container Platform의 Kubernetes KMS(Key Management Service) v2 링크 복사링크가 클립보드에 복사되었습니다!
OpenShift Container Platform에서 Kubernetes KMS(Key Management Service) v2를 구성하여 암호화 키 관리를 중앙 집중화하고 규정 준수 요구 사항을 충족할 수 있습니다.
Kubernetes KMS v2는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
6.1.1. Kubernetes KMS v2 암호화 정보 링크 복사링크가 클립보드에 복사되었습니다!
Kubernetes KMS v2는 외부 키 관리 서비스를 사용하여 etcd 데이터를 암호화하고 키 관리를 중앙 집중화합니다.
Kubernetes KMS v2는 다음을 제공합니다.
- 외부 KMS를 남겨 두지 않는 고객 관리 암호화 키
- 중앙 집중식 키 관리 및 감사
- 규정 준수 지원
6.1.1.1. 암호화된 리소스 링크 복사링크가 클립보드에 복사되었습니다!
KMS 암호화를 활성화하면 OpenShift Container Platform에서 etcd에서 다음과 같은 민감한 리소스를 암호화합니다.
- 보안
- ConfigMaps
- 경로
- OAuth 액세스 토큰
- OAuth 승인 토큰
리소스 유형, 네임스페이스 및 오브젝트 이름은 암호화되지 않습니다.
6.1.2. KMS 기술 프리뷰 제한 사항 링크 복사링크가 클립보드에 복사되었습니다!
Kubernetes KMS v2의 현재 제한 사항을 검토하여 배포를 계획하고 OpenShift Container Platform 4.21 이상에서 지원되지 않는 구성을 방지합니다.
6.1.2.1. 현재 제한 사항 링크 복사링크가 클립보드에 복사되었습니다!
- 플러그인에는 각 컨트롤 플레인 노드에 수동 설치가 필요합니다.
-
플러그인은
unix:///var/run/kmsplugin/kms.sock에서 수신 대기해야 합니다. - 한 번에 하나의 KMS 플러그인만 실행할 수 있습니다.
-
KMS-to-KMS 마이그레이션은
ID또는aescbc로 중간 마이그레이션