홈
제품
Red Hat Advanced Cluster Management for Kubernetes
2.12
거버넌스
6장. 보안 개요

6장. 보안 개요

Kubernetes 구성 요소에 대한 Red Hat Advanced Cluster Management의 보안을 관리합니다. 정의된 정책 및 프로세스를 통해 클러스터를 관리하여 위험을 식별하고 최소화합니다. 정책을 사용하여 규칙을 정의하고 제어를 설정합니다.

사전 요구 사항: Red Hat Advanced Cluster Management for Kubernetes에 대한 인증 서비스 요구 사항을 구성해야 합니다. 자세한 내용은 액세스 제어를 참조하십시오.

다음 주제를 읽고 클러스터 보안에 대해 자세히 알아보십시오.

6.1. 인증서 소개
링크 복사

다양한 인증서를 사용하여 Kubernetes 클러스터용 Red Hat Advanced Cluster Management의 진위 여부를 확인할 수 있습니다. 인증서 관리에 대해 알아보려면 계속 읽으십시오.

6.1.1. 인증서
링크 복사

Red Hat Advanced Cluster Management에서 실행되는 서비스에 필요한 모든 인증서는 Red Hat Advanced Cluster Management를 설치하는 동안 생성됩니다. Red Hat OpenShift Container Platform의 다음 구성 요소에서 생성 및 관리하는 다음 인증서 목록을 확인하십시오.

OpenShift Service Serving 인증서
Red Hat Advanced Cluster Management webhook 컨트롤러
Kubernetes 인증서 API
OpenShift 기본 수신

필수 액세스: 클러스터 관리자

인증서 관리에 대해 자세히 알아보려면 계속 읽으십시오.

참고: 사용자는 인증서 교체 및 업데이트를 담당합니다.

6.1.1.1. Red Hat Advanced Cluster Management hub 클러스터 인증서
링크 복사

OpenShift 기본 수신 인증서는 기술적으로 허브 클러스터 인증서입니다. Red Hat Advanced Cluster Management 설치 후 관찰 기능 인증서가 생성 및 사용하여 허브 클러스터와 관리 클러스터 간의 트래픽에 상호 TLS를 제공합니다.

open-cluster-management-observability 네임스페이스에는 다음 인증서가 포함되어 있습니다.
- observability-server-ca-certs: 서버 측 인증서에 서명하는 CA 인증서
- observability-client-ca-certs: 클라이언트 측 인증서에 서명하는 CA 인증서
- observability-server-certs: observability-observatorium-api 배포에서 사용하는 서버 인증서
- observability-grafana-certs: observability-rbac-query-proxy 배포에서 사용하는 클라이언트 인증서
open-cluster-management-addon-observability 네임스페이스에는 관리 클러스터에서 다음 인증서가 포함되어 있습니다.
- observability-managed-cluster-certs: 허브 서버의 observability-server-ca-certs 와 동일한 서버 CA 인증서 사용
- observability-controller-open-cluster-management.io-observability-signer-client-cert: metrics-collector-deployment에서 사용하는 클라이언트 인증서

CA 인증서는 5년 동안 유효하며 다른 인증서는 1년 동안 유효합니다. 모든 관찰 가능 인증서는 만료 시 자동으로 새로 고쳐집니다. 인증서가 자동으로 갱신될 때의 영향을 이해하려면 다음 목록을 확인하십시오.

CA가 아닌 인증서는 나머지 유효한 시간이 73일 미만이 아닌 경우 자동으로 갱신됩니다. 인증서가 갱신되면 관련 배포의 Pod가 갱신된 인증서를 사용하도록 자동으로 다시 시작됩니다.
CA 인증서는 나머지 유효한 시간이 1년을 넘지 않으면 자동으로 갱신됩니다. 인증서가 갱신되면 이전 CA가 삭제되지 않고 업데이트된 CA와 함께 생성됩니다. 이전 인증서와 갱신된 인증서 모두 관련 배포에서 사용되며 계속 작동합니다. 이전 CA 인증서는 만료 시 삭제됩니다.
인증서가 업데이트되면 허브 클러스터와 관리 클러스터 간의 트래픽이 중단되지 않습니다.

다음 Red Hat Advanced Cluster Management Hub 클러스터 인증서 표를 확인하십시오.

Expand

표 6.1. Red Hat Advanced Cluster Management hub 클러스터 인증서
네임스페이스	시크릿 이름	Pod 레이블
open-cluster-management	channels-apps-open-cluster-management-webhook-svc-ca	app=multicluster-operators-channel	open-cluster-management
channels-apps-open-cluster-management-webhook-svc-signed-ca	app=multicluster-operators-channel	open-cluster-management	multicluster-operators-application-svc-ca
app=multicluster-operators-application	open-cluster-management	multicluster-operators-application-svc-signed-ca	app=multicluster-operators-application
open-cluster-management-hub	registration-webhook-serving-cert signer-secret	필요하지 않음	open-cluster-management-hub

6.1.1.2. Red Hat Advanced Cluster Management 관리 인증서
링크 복사

Red Hat Advanced Cluster Management 관리 인증서 및 관련 시크릿이 포함된 구성 요소 Pod의 요약된 목록은 다음 표를 참조하십시오.

Expand

표 6.2. Red Hat Advanced Cluster Management 관리 인증서가 포함된 Pod
네임스페이스	시크릿 이름(해당되는 경우)
open-cluster-management-agent-addon	cluster-proxy-open-cluster-management.io-proxy-agent-signer-client-cert
open-cluster-management-agent-addon	cluster-proxy-service-proxy-server-certificates

6.1.1.2.1. 관리형 클러스터 인증서
링크 복사

인증서를 사용하여 허브 클러스터로 관리되는 클러스터를 인증할 수 있습니다. 따라서 이러한 인증서와 관련된 문제 해결 시나리오를 알고 있어야 합니다.

관리형 클러스터 인증서는 자동으로 새로 고쳐집니다.

6.1.1.3. 추가 리소스
링크 복사

인증서 정책 컨트롤러를 사용하여 관리 클러스터에서 인증서 정책을 생성하고 관리합니다. 자세한 내용은 인증서 정책 컨트롤러 를 참조하십시오.
SSL/TLS 인증서를 사용하여 개인 호스팅 Git 서버에 안전하게 연결하는 방법에 대한 자세한 내용은 보안 HTTPS 연결에 사용자 정의 CA 인증서 사용을 참조하십시오.
자세한 내용은 OpenShift Service Serving 인증서 를 참조하십시오.
OpenShift Container Platform 기본 인그레스는 허브 클러스터 인증서입니다. 자세한 내용은 기본 수신 인증서 교체 를 참조하십시오.
주제는 인증서 소개 를 참조하십시오.

6.1.2. 인증서 관리
링크 복사

인증서를 새로 고침, 교체, 교체 및 나열하는 방법에 대한 정보를 계속 읽습니다.

6.1.2.1. Red Hat Advanced Cluster Management Webhook 인증서 새로 고침
링크 복사

Red Hat Advanced Cluster Management 서비스에서 생성 및 관리하는 인증서인 Red Hat Advanced Cluster Management 관리 인증서를 새로 고칠 수 있습니다.

Red Hat Advanced Cluster Management에서 관리하는 인증서를 새로 고치려면 다음 단계를 완료합니다.

다음 명령을 실행하여 Red Hat Advanced Cluster Management 관리 인증서와 연결된 보안을 삭제합니다.
```
oc delete secret -n <namespace> <secret> 
```
```
oc delete secret -n <namespace> <secret> 
```
1
Copy to Clipboard Toggle word wrap
1
& lt;namespace& gt ; 및 <secret >을 사용하려는 값으로 바꿉니다.
다음 명령을 실행하여 Red Hat Advanced Cluster Management 관리 인증서와 연결된 서비스를 다시 시작합니다.
```
oc delete pod -n <namespace> -l <pod-label> 
```
```
oc delete pod -n <namespace> -l <pod-label> 
```
1
Copy to Clipboard Toggle word wrap
1
& lt;namespace > 및 < pod-label >을 Red Hat Advanced Cluster Management 관리 클러스터 인증서 테이블의 값으로 바꿉니다.
참고: pod-label 을 지정하지 않으면 재시작해야 하는 서비스가 없습니다. 보안이 다시 생성되고 자동으로 사용됩니다.

6.1.2.2. alertmanager 경로에 대한 인증서 교체
링크 복사

OpenShift 기본 수신 인증서를 사용하지 않으려면 alertmanager 경로를 업데이트하여 observability alertmanager 인증서를 교체합니다. 다음 단계를 완료합니다.

다음 명령을 사용하여 관찰 기능 인증서를 검사합니다.
```
openssl x509  -noout -text -in ./observability.crt
```
```
openssl x509  -noout -text -in ./observability.crt
```
Copy to Clipboard Toggle word wrap
인증서의CN(일반 이름)을 alertmanager 로 변경합니다.
alertmanager 경로의 호스트 이름으로 csr.cnf 구성 파일의 SAN을 변경합니다.

open-cluster-management-observability 네임스페이스에 다음 두 개의 시크릿을 생성합니다. 다음 명령을 실행합니다.

oc -n open-cluster-management-observability create secret tls alertmanager-byo-ca --cert ./ca.crt --key ./ca.key

oc -n open-cluster-management-observability create secret tls alertmanager-byo-cert --cert ./ingress.crt --key ./ingress.key

oc -n open-cluster-management-observability create secret tls alertmanager-byo-ca --cert ./ca.crt --key ./ca.key

oc -n open-cluster-management-observability create secret tls alertmanager-byo-cert --cert ./ingress.crt --key ./ingress.key

Copy to Clipboard

Toggle word wrap

6.1.2.3. rbac-query-proxy 경로의 인증서 교체
링크 복사

rbac-query-proxy 경로의 인증서를 교체할 수 있습니다. 자체 관찰 가능성 인증 기관(CA) 인증서 Bringing your own observability Certificate Authority (CA) certificates.

csr.cnf 파일을 사용하여 CSR(인증서 서명 요청)을 생성할 때 rbac-query-proxy 경로의 호스트 이름과 일치하도록 subjectAltName 섹션의 DNS.1 필드를 업데이트합니다.

다음 단계를 완료합니다.

다음 명령을 실행하여 호스트 이름을 검색합니다.

oc get route rbac-query-proxy -n open-cluster-management-observability -o jsonpath="
{.spec.host}"

oc get route rbac-query-proxy -n open-cluster-management-observability -o jsonpath="
{.spec.host}"

Copy to Clipboard

Toggle word wrap

생성된 인증서를 사용하여 proxy-byo-ca 시크릿을 생성하려면 다음 명령을 실행합니다.

oc -n open-cluster-management-observability create secret tls proxy-byo-ca --cert ./ca.crt --key ./ca.key

oc -n open-cluster-management-observability create secret tls proxy-byo-ca --cert ./ca.crt --key ./ca.key

Copy to Clipboard

Toggle word wrap

다음 명령을 실행하여 생성된 인증서를 사용하여 proxy-byo-cert 시크릿을 생성합니다.

oc -n open-cluster-management-observability create secret tls proxy-byo-cert --cert ./ingress.crt --key ./ingress.key

oc -n open-cluster-management-observability create secret tls proxy-byo-cert --cert ./ingress.crt --key ./ingress.key

Copy to Clipboard

Toggle word wrap

6.1.2.4. gatekeeper 웹 후크 인증서 교체
링크 복사

gatekeeper 웹 후크 인증서를 교체하려면 다음 단계를 완료합니다.

다음 명령을 사용하여 인증서가 포함된 보안을 편집합니다.

oc edit secret -n openshift-gatekeeper-system gatekeeper-webhook-server-cert

oc edit secret -n openshift-gatekeeper-system gatekeeper-webhook-server-cert

Copy to Clipboard

Toggle word wrap

data 섹션에서 다음 콘텐츠를 삭제합니다. ca.crt,ca.key,tls.crt, tls.key.key .
다음 명령을 사용하여 gatekeeper -controller-manager Pod 를 삭제하여 gatekeeper 웹 후크 서비스를 다시 시작합니다.
```
oc delete pod -n openshift-gatekeeper-system -l control-plane=controller-manager
```
```
oc delete pod -n openshift-gatekeeper-system -l control-plane=controller-manager
```
Copy to Clipboard Toggle word wrap

gatekeeper 웹 후크 인증서가 순환됩니다.

6.1.2.5. 인증서 교체 확인
링크 복사

다음 단계를 사용하여 인증서가 순환되었는지 확인합니다.

확인할 시크릿을 식별합니다.
tls.crt 키를 확인하여 인증서를 사용할 수 있는지 확인합니다.

다음 명령을 사용하여 인증서 정보를 표시합니다.

oc get secret <your-secret-name> -n open-cluster-management -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -text -noout

oc get secret <your-secret-name> -n open-cluster-management -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -text -noout

Copy to Clipboard

Toggle word wrap

& lt;your-secret-name >을 확인 중인 보안 이름으로 바꿉니다. 필요한 경우 네임스페이스 및 JSON 경로도 업데이트합니다.

출력에서 유효한 세부 정보를 확인합니다. 다음 유효성 검사 예제를 확인합니다.
```
Validity
            Not Before: Jul 13 15:17:50 2023 GMT 
            Not After : Jul 12 15:17:50 2024 GMT 
```
```
Validity
            Not Before: Jul 13 15:17:50 2023 GMT 
```
1
```
            Not After : Jul 12 15:17:50 2024 GMT 
```
2
Copy to Clipboard Toggle word wrap
1
Not Before 값은 인증서를 교체한 날짜와 시간입니다.
2
Not After 값은 인증서 만료 날짜 및 시간입니다.

6.1.2.6. 허브 클러스터 관리 인증서 나열
링크 복사

내부적으로 OpenShift Service Serving 인증서 서비스를 사용하는 허브 클러스터 관리 인증서 목록을 볼 수 있습니다. 다음 명령을 실행하여 인증서를 나열합니다.

for ns in multicluster-engine open-cluster-management ; do echo "$ns:" ; oc get secret -n $ns -o custom-columns=Name:.metadata.name,Expiration:.metadata.annotations.service\\.beta\\.openshift\\.io/expiry | grep -v '<none>' ; echo ""; done

for ns in multicluster-engine open-cluster-management ; do echo "$ns:" ; oc get secret -n $ns -o custom-columns=Name:.metadata.name,Expiration:.metadata.annotations.service\\.beta\\.openshift\\.io/expiry | grep -v '<none>' ; echo ""; done

Copy to Clipboard

Toggle word wrap

자세한 내용은 추가 리소스 의 OpenShift Service Serving 인증서 섹션을 참조하십시오.

참고: 관찰 기능이 활성화된 경우 인증서가 생성되는 추가 네임스페이스가 있습니다.

6.1.2.7. 추가 리소스
링크 복사

서비스 제공 인증서 보안을 사용하여 서비스 트래픽 보안을 참조하십시오.
인증서 소개 를 참조하십시오.

맨 위로 이동

6장. 보안 개요

6.1. 인증서 소개
링크 복사

6.1.1. 인증서
링크 복사

6.1.1.1. Red Hat Advanced Cluster Management hub 클러스터 인증서
링크 복사

6.1.1.2. Red Hat Advanced Cluster Management 관리 인증서
링크 복사

6.1.1.2.1. 관리형 클러스터 인증서
링크 복사

6.1.1.3. 추가 리소스
링크 복사

6.1.2. 인증서 관리
링크 복사

6.1.2.1. Red Hat Advanced Cluster Management Webhook 인증서 새로 고침
링크 복사

6.1.2.2. alertmanager 경로에 대한 인증서 교체
링크 복사

6.1.2.3. rbac-query-proxy 경로의 인증서 교체
링크 복사

6.1.2.4. gatekeeper 웹 후크 인증서 교체
링크 복사

6.1.2.5. 인증서 교체 확인
링크 복사

6.1.2.6. 허브 클러스터 관리 인증서 나열
링크 복사

6.1.2.7. 추가 리소스
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6장. 보안 개요

6.1. 인증서 소개링크 복사링크가 클립보드에 복사되었습니다!

6.1.1. 인증서링크 복사링크가 클립보드에 복사되었습니다!

6.1.1.1. Red Hat Advanced Cluster Management hub 클러스터 인증서링크 복사링크가 클립보드에 복사되었습니다!

6.1.1.2. Red Hat Advanced Cluster Management 관리 인증서링크 복사링크가 클립보드에 복사되었습니다!

6.1.1.2.1. 관리형 클러스터 인증서링크 복사링크가 클립보드에 복사되었습니다!

6.1.1.3. 추가 리소스링크 복사링크가 클립보드에 복사되었습니다!

6.1.2. 인증서 관리링크 복사링크가 클립보드에 복사되었습니다!

6.1.2.1. Red Hat Advanced Cluster Management Webhook 인증서 새로 고침링크 복사링크가 클립보드에 복사되었습니다!

6.1.2.2. alertmanager 경로에 대한 인증서 교체링크 복사링크가 클립보드에 복사되었습니다!

6.1.2.3. rbac-query-proxy 경로의 인증서 교체링크 복사링크가 클립보드에 복사되었습니다!

6.1.2.4. gatekeeper 웹 후크 인증서 교체링크 복사링크가 클립보드에 복사되었습니다!

6.1.2.5. 인증서 교체 확인링크 복사링크가 클립보드에 복사되었습니다!

6.1.2.6. 허브 클러스터 관리 인증서 나열링크 복사링크가 클립보드에 복사되었습니다!

6.1.2.7. 추가 리소스링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.1. 인증서 소개
링크 복사

6.1.1. 인증서
링크 복사

6.1.1.1. Red Hat Advanced Cluster Management hub 클러스터 인증서
링크 복사

6.1.1.2. Red Hat Advanced Cluster Management 관리 인증서
링크 복사

6.1.1.2.1. 관리형 클러스터 인증서
링크 복사

6.1.1.3. 추가 리소스
링크 복사

6.1.2. 인증서 관리
링크 복사

6.1.2.1. Red Hat Advanced Cluster Management Webhook 인증서 새로 고침
링크 복사

6.1.2.2. alertmanager 경로에 대한 인증서 교체
링크 복사

6.1.2.3. rbac-query-proxy 경로의 인증서 교체
링크 복사

6.1.2.4. gatekeeper 웹 후크 인증서 교체
링크 복사

6.1.2.5. 인증서 교체 확인
링크 복사

6.1.2.6. 허브 클러스터 관리 인증서 나열
링크 복사

6.1.2.7. 추가 리소스
링크 복사