10.3.3. TLS 인증서를 사용하여 사용자 정의 도메인으로 서비스 보안
Knative 서비스의 사용자 정의 도메인을 구성한 후 TLS 인증서를 사용하여 매핑된 서비스를 보호할 수 있습니다. 이렇게 하려면 Kubernetes TLS 시크릿을 생성한 다음 생성한 TLS 시크릿을 사용하도록 DomainMapping
CR을 업데이트해야 합니다.
사전 요구 사항
-
Knative 서비스의 사용자 정의 도메인을 구성하고 작동 중인
DomainMapping
CR이 있습니다. - 인증 기관 공급자 또는 자체 서명 인증서의 TLS 인증서가 있어야 합니다.
-
인증 기관 공급자 또는 자체 서명된 인증서에서 인증서
및
키
파일을 획득했습니다. -
OpenShift CLI(
oc
)를 설치합니다.
프로세스
Kubernetes TLS 시크릿을 생성합니다.
$ oc create secret tls <tls_secret_name> --cert=<path_to_certificate_file> --key=<path_to_key_file>
Red Hat OpenShift Service Mesh를 OpenShift Serverless 설치의 수신으로 사용하는 경우 다음을 사용하여 Kubernetes TLS 시크릿에 레이블을 지정합니다.
“networking.internal.knative.dev/certificate-uid": “<value>”
cert-manager와 같은 타사 시크릿 공급자를 사용하는 경우, Kubernetes TLS 보안에 자동으로 레이블을 지정하도록 시크릿 관리자를 구성할 수 있습니다. cert-manager 사용자는 제공된 보안 템플릿을 사용하여 올바른 레이블이 있는 보안을 자동으로 생성할 수 있습니다. 이 경우 시크릿 필터링은 키를 기반으로만 수행되지만 이 값은 시크릿에 포함된 인증서 ID와 같은 유용한 정보를 제공할 수 있습니다.
참고{cert-manager-operator}는 기술 프리뷰 기능입니다. 자세한 내용은 {cert-manager-operator} 설명서 설치를 참조하십시오.
생성한 TLS 보안을 사용하도록
DomainMapping
CR을 업데이트합니다.apiVersion: serving.knative.dev/v1alpha1 kind: DomainMapping metadata: name: <domain_name> namespace: <namespace> spec: ref: name: <service_name> kind: Service apiVersion: serving.knative.dev/v1 # TLS block specifies the secret to be used tls: secretName: <tls_secret_name>
검증
DomainMapping
CR 상태가True
이고 출력의URL
열에 체계https
가 있는 매핑된 도메인이 표시되는지 확인합니다.$ oc get domainmapping <domain_name>
출력 예
NAME URL READY REASON example.com https://example.com True
선택 사항: 서비스가 공개적으로 노출되면 다음 명령을 실행하여 사용할 수 있는지 확인합니다.
$ curl https://<domain_name>
인증서가 자체 서명된 경우
curl
명령에-k
플래그를 추가하여 확인을 건너뜁니다.