12.3. etcd 암호화 비활성화
클러스터에서 etcd 데이터의 암호화를 비활성화할 수 있습니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
APIServer오브젝트를 수정합니다.$ oc edit apiserver
암호화필드 유형을identity로 설정합니다.spec: encryption: type: identity 1- 1
identity유형이 기본값이며, 이는 암호화가 수행되지 않음을 의미합니다.
파일을 저장하여 변경 사항을 적용합니다.
암호 해독 프로세스가 시작됩니다. 클러스터 크기에 따라 이 프로세스를 완료하는 데 20분 이상 걸릴 수 있습니다.
etcd 암호 해독에 성공했는지 확인합니다.
OpenShift API 서버의
Encrypted상태 조건을 검토하여 해당 리소스의 암호가 성공적으로 해독되었는지 확인합니다.$ oc get openshiftapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="Encrypted")]}{.reason}{"\n"}{.message}{"\n"}'암호 해독에 성공하면 출력에
DecryptionCompleted가 표시됩니다.DecryptionCompleted Encryption mode set to identity and everything is decrypted
출력에
DecryptionInProgress가 표시되면 암호 해독이 여전히 진행 중임을 나타냅니다. 몇 분 기다린 후 다시 시도합니다.쿠버네티스 API 서버의
Encrypted상태 조건을 검토하여 해당 리소스의 암호가 성공적으로 해독되었는지 확인합니다.$ oc get kubeapiserver -o=jsonpath='{range .items[0].status.conditions[?(@.type=="Encrypted")]}{.reason}{"\n"}{.message}{"\n"}'암호 해독에 성공하면 출력에
DecryptionCompleted가 표시됩니다.DecryptionCompleted Encryption mode set to identity and everything is decrypted
출력에
DecryptionInProgress가 표시되면 암호 해독이 여전히 진행 중임을 나타냅니다. 몇 분 기다린 후 다시 시도합니다.
