Red Hat Summit보안 클러스터
역할 기반 액세스 및 인증서로 클러스터를 보호합니다.
초록
1장. 클러스터 보안
클러스터에서 액세스 제어를 수동으로 생성하고 관리해야 할 수 있습니다. 이렇게 하려면 Red Hat Advanced Cluster Management for Kubernetes의 인증 서비스 요구 사항을 구성하여 워크로드를 IAM(Identity and Access Management)에 온보딩해야 합니다.
역할 기반 액세스 제어 및 인증을 사용하여 사용자 관련 역할 및 클러스터 자격 증명을 식별합니다. 클러스터 인증 정보를 생성하고 관리하려면 저장된 Kubernetes 시크릿으로 이동하여 인증 정보에 액세스합니다. 액세스 및 인증 정보에 대한 자세한 내용은 다음 설명서를 참조하십시오.
필수 액세스: 클러스터 관리자
1.1. 역할 기반 액세스 제어
Red Hat Advanced Cluster Management for Kubernetes는 역할 기반 액세스 제어(RBAC)를 지원합니다. 역할에 따라 수행할 수 있는 작업이 결정됩니다. RBAC는 Red Hat OpenShift Container Platform과 유사하게 Kubernetes의 권한 부여 메커니즘을 기반으로 합니다. RBAC에 대한 자세한 내용은 OpenShift Container Platform 설명서의 OpenShift RBAC 개요를 참조하십시오.
참고: 사용자 역할 액세스가 허용되지 않는 경우 콘솔에서 동작 버튼이 비활성화됩니다.
1.1.1. 역할 개요
일부 제품 리소스는 클러스터 전체이며 일부는 네임스페이스 범위입니다. 일관된 액세스 제어를 위해 사용자에게 클러스터 역할 바인딩 및 네임스페이스 역할 바인딩을 적용해야 합니다. Red Hat Advanced Cluster Management for Kubernetes에서 지원되는 다음 역할 정의의 표 목록을 확인합니다.
| Role | 정의 |
|
|
OpenShift Container Platform 기본 역할입니다. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 관리자, 편집, 보기 |
admin, edit, view는 OpenShift Container Platform 기본 역할입니다. 이러한 역할에 대한 네임스페이스 범위 바인딩이 있는 사용자는 특정 네임스페이스의 |
|
|
|
중요:
- 모든 사용자는 OpenShift Container Platform에서 프로젝트를 생성할 수 있으므로 네임스페이스에 대한 관리자 역할 권한이 부여됩니다.
-
사용자에게 클러스터에 대한 역할 액세스 권한이 없는 경우 클러스터 이름이 표시되지 않습니다. 클러스터 이름은 다음 기호와 함께 표시될 수 있습니다.
-.
자세한 내용은 역할 기반 액세스 제어 구현을 참조하십시오.
1.2. 역할 기반 액세스 제어 구현
Red Hat Advanced Cluster Management for Kubernetes RBAC는 콘솔 수준 및 API 수준에서 검증됩니다. 콘솔의 작업은 사용자 액세스 역할 권한에 따라 활성화하거나 비활성화할 수 있습니다.
멀티 클러스터 엔진 Operator는 Red Hat Advanced Cluster Management의 사전 요구 사항과 클러스터 라이프사이클 기능입니다. 다중 클러스터 엔진 Operator를 사용하여 클러스터의 RBAC를 관리하려면 Kubernetes 운영자 역할 기반 액세스 제어 문서의 클러스터 라이프사이클 multicluster 엔진 의 RBAC 지침을 사용합니다.
Red Hat Advanced Cluster Management의 특정 라이프사이클에 대한 자세한 내용은 다음 섹션을 참조하십시오.
1.2.1. 애플리케이션 라이프사이클 RBAC
애플리케이션을 생성하면 서브스크립션 네임스페이스가 생성되고 서브스크립션 네임스페이스에 구성 맵이 생성됩니다. 채널 네임스페이스에 대한 액세스 권한도 있어야 합니다. 서브스크립션을 적용하려면 서브스크립션 관리자여야 합니다. 애플리케이션 관리에 대한 자세한 내용은 서브스크립션 관리자로 허용 및 거부 목록 생성 을 참조하십시오.
다음 애플리케이션 라이프사이클 RBAC 작업을 확인합니다.
username이라는 사용자를 사용하여 모든 관리 클러스터에서 애플리케이션을 생성하고 관리합니다. 클러스터 역할 바인딩을 생성하여 사용자 이름에 바인딩해야합니다. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin --user=<username>
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 역할은 모든 리소스 및 작업에 액세스할 수 있는 슈퍼유저입니다. 이 역할을 사용하여 애플리케이션의 네임스페이스 및 네임스페이스의 모든 애플리케이션 리소스를 생성할 수 있습니다.
여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성합니다.
open-cluster-management:subscription-admin클러스터 역할에 대한 클러스터 역할 바인딩을 생성하여username이라는 사용자에게 바인딩해야 합니다. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow username사용자를 사용하여클러스터 이름 관리클러스터에서 애플리케이션을 생성하고 관리합니다.open-cluster-management:admin:<cluster-name> 클러스터역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여사용자이름에 바인딩해야 합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 역할에는 관리 클러스터인
cluster-name의 모든애플리케이션리소스에 대한 읽기 및 쓰기 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.admin역할을 사용하여애플리케이션네임스페이스에 대한 네임스페이스 역할 바인딩을 생성하고 다음 명령을입력하여 사용자이름에 바인딩합니다.oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=admin --user=<username>
oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=admin --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 역할에는 애플리케이션 namspace의 모든
애플리케이션리소스에 대한 읽기 및 쓰기 권한이 있습니다.다른 애플리케이션에 대한 액세스가 필요하거나 애플리케이션이 여러 네임스페이스에 배포하는 경우 이 과정을 반복합니다.여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성할 수 있습니다.
open-cluster-management:subscription-admin클러스터 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여사용자이름에 바인딩합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow username이라는 사용자를 사용하여cluster-name이라는 관리 클러스터에서 애플리케이션을 보려면open-cluster-management:view:cluster 역할에 클러스터 역할 바인딩을 생성하고사용자이름에 바인딩합니다. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 역할은 관리 클러스터인
cluster-name의 모든애플리케이션리소스에 대한 읽기 액세스 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.view역할을 사용하여애플리케이션네임스페이스에 대한 네임스페이스 역할 바인딩을 생성하고 사용자 이름에 바인딩합니다. 다음 명령을 실행합니다.oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=view --user=<username>
oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=view --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 역할은 애플리케이션 namspace의 모든
애플리케이션리소스에 대한 읽기 액세스 권한이 있습니다.다른 애플리케이션에 대한 액세스가 필요한 경우 이 작업을 반복합니다.
1.2.1.1. 애플리케이션 라이프사이클을 위한 콘솔 및 API RBAC 테이블
애플리케이션 라이프사이클에 대해 다음 콘솔 및 API RBAC 테이블을 확인합니다.
| 리소스 | 관리자 | 편집 | view |
|---|---|---|---|
| 애플리케이션 | 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
| 채널 | 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
| 서브스크립션 | 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
| API | 관리자 | 편집 | view |
|---|---|---|---|
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 생성, 읽기, 업데이트, 삭제 | 읽기 |
1.2.2. 거버넌스 라이프사이클 RBAC
거버넌스 라이프사이클 작업을 수행하려면 정책이 생성되는 네임스페이스와 정책이 적용되는 관리 클러스터에 대한 액세스 권한이 있어야 합니다. 또한 관리되는 클러스터는 네임스페이스에 바인딩된 ManagedClusterSet 의 일부여야 합니다. ManagedClusterSet 에 대한 자세한 내용은 ManagedClusterSets Introduction 을 참조하십시오.
하나 이상의 바인딩된 ManagedClusterSets 가 있는 rhacm-policies 와 같은 네임스페이스를 선택하고 네임스페이스에서 Placement 오브젝트를 생성할 수 있는 액세스 권한이 있는 후 다음 작업을 확인합니다.
Policy ,
PlacementBinding,PolicyAutomationrhacm-edit-policy라는ClusterRole을 생성하려면 다음 명령을 실행합니다.oc create clusterrole rhacm-edit-policy --resource=policies.policy.open-cluster-management.io,placementbindings.policy.open-cluster-management.io,policyautomations.policy.open-cluster-management.io,policysets.policy.open-cluster-management.io --verb=create,delete,get,list,patch,update,watch
oc create clusterrole rhacm-edit-policy --resource=policies.policy.open-cluster-management.io,placementbindings.policy.open-cluster-management.io,policyautomations.policy.open-cluster-management.io,policysets.policy.open-cluster-management.io --verb=create,delete,get,list,patch,update,watchCopy to Clipboard Copied! Toggle word wrap Toggle overflow rhacm-policies네임스페이스에서 정책을 생성하려면 이전에 생성된ClusterRole을 사용하여rhacm-edit-policy와 같은 네임스페이스RoleBinding을rhacm-policies네임스페이스에 생성합니다. 다음 명령을 실행합니다.oc create rolebinding rhacm-edit-policy -n rhacm-policies --clusterrole=rhacm-edit-policy --user=<username>
oc create rolebinding rhacm-edit-policy -n rhacm-policies --clusterrole=rhacm-edit-policy --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 관리 클러스터의 정책 상태를 보려면 허브 클러스터의 관리 클러스터 네임스페이스에서 정책을 볼 수 있는 권한이 필요합니다. OpenShift
viewClusterRole을 통해와 같은 보기 액세스 권한이 없는 경우 다음 명령을 사용하여 정책에 대한 보기 액세스 권한을 사용하여rhacm-와 같은view-policyClusterRole을 생성합니다.oc create clusterrole rhacm-view-policy --resource=policies.policy.open-cluster-management.io --verb=get,list,watch
oc create clusterrole rhacm-view-policy --resource=policies.policy.open-cluster-management.io --verb=get,list,watchCopy to Clipboard Copied! Toggle word wrap Toggle overflow 새
ClusterRole을 관리 클러스터 네임스페이스에 바인딩하려면 다음 명령을 실행하여 네임스페이스RoleBinding을 생성합니다.oc create rolebinding rhacm-view-policy -n <cluster name> --clusterrole=rhacm-view-policy --user=<username>
oc create rolebinding rhacm-view-policy -n <cluster name> --clusterrole=rhacm-view-policy --user=<username>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.2.2.1. 거버넌스 라이프사이클을 위한 콘솔 및 API RBAC 테이블
거버넌스 라이프사이클을 위해 다음 콘솔 및 API RBAC 테이블을 확인합니다.
| 리소스 | 관리자 | 편집 | view |
|---|---|---|---|
| Policies | 생성, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | 읽기 |
| PlacementBindings | 생성, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | 읽기 |
| 배치 | 생성, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | 읽기 |
| PlacementRules (더 이상 사용되지 않음) | 생성, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | 읽기 |
| PolicyAutomations | 생성, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | 읽기 |
| API | 관리자 | 편집 | view |
|---|---|---|---|
|
| 생성, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | 읽기 |
|
| 생성, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | 읽기 |
1.2.3. 관찰 가능성 RBAC
관리 클러스터의 관찰 가능 지표를 보려면 hub 클러스터에서 해당 관리 클러스터에 대한 보기 액세스 권한이 있어야 합니다. 다음 관찰 기능 목록을 확인합니다.
관리되는 클러스터 메트릭에 액세스합니다.
hub 클러스터에서 관리 클러스터의
view역할에 할당되지 않은 경우 사용자는 관리 클러스터 메트릭에 대한 액세스가 거부됩니다. 다음 명령을 실행하여 관리 클러스터 네임스페이스에서managedClusterView역할을 생성할 권한이 있는지 확인합니다.oc auth can-i create ManagedClusterView -n <managedClusterName> --as=<user>
oc auth can-i create ManagedClusterView -n <managedClusterName> --as=<user>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 클러스터 관리자는 관리 클러스터 네임스페이스에서
managedClusterView역할을 생성합니다. 다음 명령을 실행합니다.oc create role create-managedclusterview --verb=create --resource=managedclusterviews -n <managedClusterName>
oc create role create-managedclusterview --verb=create --resource=managedclusterviews -n <managedClusterName>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 그런 다음 역할 바인딩을 생성하여 역할을 사용자에게 적용하고 바인딩합니다. 다음 명령을 실행합니다.
oc create rolebinding user-create-managedclusterview-binding --role=create-managedclusterview --user=<user> -n <managedClusterName>
oc create rolebinding user-create-managedclusterview-binding --role=create-managedclusterview --user=<user> -n <managedClusterName>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 리소스를 검색합니다.
사용자가 리소스 유형에 액세스할 수 있는지 확인하려면 다음 명령을 사용합니다.
oc auth can-i list <resource-type> -n <namespace> --as=<rbac-user>
oc auth can-i list <resource-type> -n <namespace> --as=<rbac-user>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고: &
lt;resource-type>은 복수형이어야 합니다.Grafana에서 관찰 가능한 데이터를 보려면 관리 클러스터의 동일한 네임스페이스에
RoleBinding리소스가 있어야 합니다.다음
RoleBinding예제를 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
자세한 내용은 역할 바인딩 정책을 참조하십시오. 관찰 기능을 구성하려면 Observability 고급 구성 을 참조하십시오.
1.2.3.1. 관찰 가능 라이프사이클을 위한 콘솔 및 API RBAC 테이블
관찰 기능 구성 요소를 관리하려면 다음 API RBAC 표를 참조하십시오.
| API | 관리자 | 편집 | view |
|
| 생성, 읽기, 업데이트 및 삭제 | 읽기, 업데이트 | 읽기 |
|
| 생성, get, list, watch, update, delete, patch | - | - |
|
| get, list, watch | get, list, watch | get, list, watch |
1.3. 인증서
Red Hat Advanced Cluster Management에서 실행되는 서비스에 필요한 모든 인증서는 Red Hat Advanced Cluster Management를 설치할 때 생성됩니다. Red Hat OpenShift Container Platform의 다음 구성 요소에서 생성 및 관리하는 다음 인증서 목록을 확인하십시오.
- OpenShift Service Serving 인증서
- Red Hat Advanced Cluster Management webhook 컨트롤러
- Kubernetes 인증서 API
- OpenShift 기본 수신
필수 액세스: 클러스터 관리자
인증서 관리에 대해 자세히 알아보려면 계속 읽으십시오.
참고: 사용자는 인증서 교체 및 업데이트를 담당합니다.
1.3.1. Red Hat Advanced Cluster Management hub 클러스터 인증서
OpenShift Container Platform 기본 수신 인증서는 허브 클러스터 인증서 유형입니다. Red Hat Advanced Cluster Management 설치 후 관찰 기능 인증서는 관찰 가능 구성 요소에서 생성 및 사용하여 허브 클러스터와 관리 클러스터 간의 트래픽에서 상호 TLS를 제공합니다. 관찰 기능 네임스페이스에 액세스하여 필요에 따라 다양한 관찰 기능 인증서를 검색하고 구현합니다.
open-cluster-management-observability네임스페이스에는 다음과 같은 인증서가 있습니다.-
observability-server-ca-certs: 서버 측 인증서에 서명하는 CA 인증서 -
observability-client-ca-certs: 클라이언트 측 인증서에 서명하는 CA 인증서 -
observability-server-certs:observability-observatorium-api배포에서 사용하는 서버 인증서 -
observability-grafana-certs:observability-rbac-query-proxy배포에서 사용하는 클라이언트 인증서
-
open-cluster-management-addon-observability네임스페이스에는 관리 클러스터에 다음과 같은 인증서가 있습니다.-
observability-managed-cluster-certs: 허브 서버의observability-server-ca-certs와 동일한 서버 CA 인증서 사용 -
observability-controller-open-cluster-management.io-observability-signer-client-cert:metrics-collector-deployment에서 사용하는 클라이언트 인증서
-
CA 인증서는 5년 동안 유효하며 다른 인증서는 1년 동안 유효합니다. 모든 관찰 가능 인증서는 만료 시 자동으로 새로 고쳐집니다. 인증서가 자동으로 갱신될 때의 영향을 이해하려면 다음 목록을 확인하십시오.
- CA가 아닌 인증서는 나머지 유효한 시간이 73일 미만이 아닌 경우 자동으로 갱신됩니다. 인증서가 갱신되면 관련 배포의 Pod가 갱신된 인증서를 사용하도록 자동으로 다시 시작됩니다.
- CA 인증서는 나머지 유효한 시간이 1년을 넘지 않으면 자동으로 갱신됩니다. 인증서가 갱신되면 이전 CA가 삭제되지 않고 업데이트된 CA와 함께 생성됩니다. 이전 인증서와 갱신된 인증서 모두 관련 배포에서 사용되며 계속 작동합니다. 이전 CA 인증서는 만료 시 삭제됩니다.
- 인증서가 업데이트되면 허브 클러스터와 관리 클러스터 간의 트래픽이 중단되지 않습니다.
다음 Red Hat Advanced Cluster Management Hub 클러스터 인증서 표를 확인하십시오.
| 네임스페이스 | 시크릿 이름 | Pod 레이블 | |
|---|---|---|---|
| open-cluster-management | channels-apps-open-cluster-management-webhook-svc-ca | app=multicluster-operators-channel | open-cluster-management |
| channels-apps-open-cluster-management-webhook-svc-signed-ca | app=multicluster-operators-channel | open-cluster-management | multicluster-operators-application-svc-ca |
| app=multicluster-operators-application | open-cluster-management | multicluster-operators-application-svc-signed-ca | app=multicluster-operators-application |
| open-cluster-management-hub | registration-webhook-serving-cert signer-secret | 필요하지 않음 | open-cluster-management-hub |
1.3.2. Red Hat Advanced Cluster Management 관리 인증서
Red Hat Advanced Cluster Management 관리 인증서 및 관련 시크릿이 포함된 구성 요소 Pod의 요약된 목록은 다음 표를 참조하십시오.
| 네임스페이스 | 시크릿 이름(해당되는 경우) |
|---|---|
| open-cluster-management-agent-addon | cluster-proxy-open-cluster-management.io-proxy-agent-signer-client-cert |
| open-cluster-management-agent-addon | cluster-proxy-service-proxy-server-certificates |
이러한 Red Hat Advanced Cluster Management 관리 인증서를 사용하여 허브 클러스터 내에서 관리되는 클러스터를 인증합니다. 이러한 관리형 클러스터 인증서는 자동으로 관리 및 새로 고쳐집니다. 허브 클러스터 API 서버 인증서를 사용자 지정하면 관리 클러스터에서 인증서를 자동으로 업데이트합니다.
1.3.3. 추가 리소스
- 자동으로 다시 연결되지 않은 관리 허브 클러스터를 다시 연결하려는 경우 인증서 변경 후 가져온 클러스터 문제 해결을 참조하십시오.
- 인증서 정책 컨트롤러를 사용하여 관리 클러스터에서 인증서 정책을 생성하고 관리합니다. 자세한 내용은 인증서 정책 컨트롤러 를 참조하십시오.
- SSL/TLS 인증서를 사용하여 개인 호스팅 Git 서버에 안전하게 연결하는 방법에 대한 자세한 내용은 보안 HTTPS 연결에 사용자 정의 CA 인증서 사용을 참조하십시오.
- 자세한 내용은 OpenShift Service Serving 인증서 를 참조하십시오.
- OpenShift Container Platform 기본 인그레스는 허브 클러스터 인증서입니다. 자세한 내용은 기본 수신 인증서 교체 를 참조하십시오.
1.4. 인증서 관리
인증서를 새로 고침, 교체, 교체 및 나열하는 방법에 대한 정보를 계속 읽습니다.
1.4.1. Red Hat Advanced Cluster Management Webhook 인증서 새로 고침
Red Hat Advanced Cluster Management 서비스에서 생성 및 관리하는 인증서인 Red Hat Advanced Cluster Management 관리 인증서를 새로 고칠 수 있습니다.
Red Hat Advanced Cluster Management에서 관리하는 인증서를 새로 고치려면 다음 단계를 완료합니다.
다음 명령을 실행하여 Red Hat Advanced Cluster Management 관리 인증서와 연결된 보안을 삭제합니다.
oc delete secret -n <namespace> <secret>
oc delete secret -n <namespace> <secret>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- &
lt;namespace> 및 <secret>을 사용하려는 값으로 바꿉니다.
다음 명령을 실행하여 Red Hat Advanced Cluster Management 관리 인증서와 연결된 서비스를 다시 시작합니다.
oc delete pod -n <namespace> -l <pod-label>
oc delete pod -n <namespace> -l <pod-label>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- &
lt;namespace> 및 <pod-label>을 Red Hat Advanced Cluster Management 관리 클러스터 인증서 테이블의 값으로 바꿉니다.
참고:
pod-label을 지정하지 않으면 재시작해야 하는 서비스가 없습니다. 보안이 다시 생성되고 자동으로 사용됩니다.
1.4.2. alertmanager 경로에 대한 인증서 교체
OpenShift Container Platform 기본 수신 인증서를 사용하지 않으려면 alertmanager 경로를 업데이트하여 observability alertmanager 인증서를 교체합니다. 다음 단계를 완료합니다.
다음 명령을 사용하여 관찰 기능 인증서를 검사합니다.
openssl x509 -noout -text -in ./observability.crt
openssl x509 -noout -text -in ./observability.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
인증서의
CN(일반 이름)을alertmanager로 변경합니다. -
alertmanager경로의 호스트 이름으로csr.cnf구성 파일의 SAN을 변경합니다. open-cluster-management-observability네임스페이스에 다음 두 개의 시크릿을 생성합니다. 다음 명령을 실행합니다.oc -n open-cluster-management-observability create secret tls alertmanager-byo-ca --cert ./ca.crt --key ./ca.key oc -n open-cluster-management-observability create secret tls alertmanager-byo-cert --cert ./ingress.crt --key ./ingress.key
oc -n open-cluster-management-observability create secret tls alertmanager-byo-ca --cert ./ca.crt --key ./ca.key oc -n open-cluster-management-observability create secret tls alertmanager-byo-cert --cert ./ingress.crt --key ./ingress.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.4.3. gatekeeper 웹 후크 인증서 교체
gatekeeper 웹 후크 인증서를 교체하려면 다음 단계를 완료합니다.
다음 명령을 사용하여 인증서가 포함된 보안을 편집합니다.
oc edit secret -n openshift-gatekeeper-system gatekeeper-webhook-server-cert
oc edit secret -n openshift-gatekeeper-system gatekeeper-webhook-server-certCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
data섹션에서 다음 콘텐츠를 삭제합니다.ca.crt,ca.key,tls.crt,tls.key.key . 다음 명령을 사용하여 gatekeeper
-controller-manager Pod를 삭제하여 gatekeeper 웹 후크 서비스를 다시 시작합니다.oc delete pod -n openshift-gatekeeper-system -l control-plane=controller-manager
oc delete pod -n openshift-gatekeeper-system -l control-plane=controller-managerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
gatekeeper 웹 후크 인증서가 순환됩니다.
1.4.4. 인증서 교체 확인
다음 단계를 사용하여 인증서가 순환되었는지 확인합니다.
- 확인할 시크릿을 식별합니다.
-
tls.crt키를 확인하여 인증서를 사용할 수 있는지 확인합니다. 다음 명령을 사용하여 인증서 정보를 표시합니다.
oc get secret <your-secret-name> -n open-cluster-management -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -text -nooutoc get secret <your-secret-name> -n open-cluster-management -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -text -nooutCopy to Clipboard Copied! Toggle word wrap Toggle overflow &
lt;your-secret-name>을 확인 중인 보안 이름으로 바꿉니다. 필요한 경우 네임스페이스 및 JSON 경로도 업데이트합니다.출력에서
유효한세부 정보를 확인합니다. 다음유효성 검사예제를 확인합니다.Validity Not Before: Jul 13 15:17:50 2023 GMT Not After : Jul 12 15:17:50 2024 GMTValidity Not Before: Jul 13 15:17:50 2023 GMT1 Not After : Jul 12 15:17:50 2024 GMT2 Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.4.5. 허브 클러스터 관리 인증서 나열
내부적으로 OpenShift Service Serving 인증서 서비스를 사용하는 허브 클러스터 관리 인증서 목록을 볼 수 있습니다. 다음 명령을 실행하여 인증서를 나열합니다.
for ns in multicluster-engine open-cluster-management ; do echo "$ns:" ; oc get secret -n $ns -o custom-columns=Name:.metadata.name,Expiration:.metadata.annotations.service\\.beta\\.openshift\\.io/expiry | grep -v '<none>' ; echo ""; done
for ns in multicluster-engine open-cluster-management ; do echo "$ns:" ; oc get secret -n $ns -o custom-columns=Name:.metadata.name,Expiration:.metadata.annotations.service\\.beta\\.openshift\\.io/expiry | grep -v '<none>' ; echo ""; done자세한 내용은 추가 리소스 의 OpenShift Service Serving 인증서 섹션을 참조하십시오.
참고: 관찰 기능이 활성화된 경우 인증서가 생성되는 추가 네임스페이스가 있습니다.
1.4.6. 추가 리소스
1.5. 자체 관찰 가능성 인증 기관(CA) 인증서 가져오기
Kubernetes용 Red Hat Advanced Cluster Management를 설치하면 기본적으로 관찰을 위한 CA(인증 기관) 인증서만 제공됩니다. Red Hat Advanced Cluster Management에서 생성한 기본 관찰 기능 CA 인증서를 사용하지 않으려면 관찰 기능을 활성화하기 전에 자체 관찰 가능한 CA 인증서를 가져오도록 선택할 수 있습니다.
1.5.1. OpenSSL 명령을 사용하여 CA 인증서 생성
관찰 기능에는 두 개의 CA 인증서가 필요합니다. 하나는 서버 측이고 다른 하나는 클라이언트 측에 사용됩니다.
다음 명령을 사용하여 CA RSA 개인 키를 생성합니다.
openssl genrsa -out serverCAKey.pem 2048 openssl genrsa -out clientCAKey.pem 2048
openssl genrsa -out serverCAKey.pem 2048 openssl genrsa -out clientCAKey.pem 2048Copy to Clipboard Copied! Toggle word wrap Toggle overflow 개인 키를 사용하여 자체 서명된 CA 인증서를 생성합니다. 다음 명령을 실행합니다.
openssl req -x509 -sha256 -new -nodes -key serverCAKey.pem -days 1825 -out serverCACert.pem openssl req -x509 -sha256 -new -nodes -key clientCAKey.pem -days 1825 -out clientCACert.pem
openssl req -x509 -sha256 -new -nodes -key serverCAKey.pem -days 1825 -out serverCACert.pem openssl req -x509 -sha256 -new -nodes -key clientCAKey.pem -days 1825 -out clientCACert.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5.2. 자체 관찰 기능 CA 인증서와 연결된 보안 생성
보안을 생성하려면 다음 단계를 완료합니다.
인증서 및 개인 키를 사용하여
observability-server-ca-certs시크릿을 생성합니다. 다음 명령을 실행합니다.oc -n open-cluster-management-observability create secret tls observability-server-ca-certs --cert ./serverCACert.pem --key ./serverCAKey.pem
oc -n open-cluster-management-observability create secret tls observability-server-ca-certs --cert ./serverCACert.pem --key ./serverCAKey.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인증서 및 개인 키를 사용하여
observability-client-ca-certs시크릿을 생성합니다. 다음 명령을 실행합니다.oc -n open-cluster-management-observability create secret tls observability-client-ca-certs --cert ./clientCACert.pem --key ./clientCAKey.pem
oc -n open-cluster-management-observability create secret tls observability-client-ca-certs --cert ./clientCACert.pem --key ./clientCAKey.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5.3. rbac-query-proxy 경로의 인증서 교체
rbac-query-proxy 경로의 인증서를 교체할 수 있습니다. OpenSSL 명령을 사용하여 인증서를 생성하여 CA 인증서 생성 을 참조하십시오.
csr.cnf 파일을 사용하여 CSR(인증서 서명 요청)을 생성할 때 rbac-query-proxy 경로의 호스트 이름과 일치하도록 subjectAltName 섹션의 DNS.1 필드를 업데이트합니다.
다음 단계를 완료합니다.
다음 명령을 실행하여 호스트 이름을 검색합니다.
oc get route rbac-query-proxy -n open-cluster-management-observability -o jsonpath=" {.spec.host}"oc get route rbac-query-proxy -n open-cluster-management-observability -o jsonpath=" {.spec.host}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 생성된 인증서를 사용하여
proxy-byo-ca시크릿을 생성합니다. 다음 명령을 실행합니다.oc -n open-cluster-management-observability create secret tls proxy-byo-ca --cert ./ca.crt --key ./ca.key
oc -n open-cluster-management-observability create secret tls proxy-byo-ca --cert ./ca.crt --key ./ca.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 생성된 인증서를 사용하여
proxy-byo-cert시크릿을 생성합니다.oc -n open-cluster-management-observability create secret tls proxy-byo-cert --cert ./ingress.crt --key ./ingress.key
oc -n open-cluster-management-observability create secret tls proxy-byo-cert --cert ./ingress.crt --key ./ingress.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.5.4. 추가 리소스
- 경로 인증 사용자 지정을 참조하십시오.
- 오브젝트 저장소에 액세스하려면 인증서 사용자 지정을 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}