3장. 내부 인증서 발행
Kubernetes용 Red Hat Advanced Cluster Security의 각 구성 요소는 X.509 인증서를 사용하여 다른 구성 요소에 자신을 인증합니다. 이러한 인증서에는 만료 날짜가 있으며 만료되기 전에 인증서를 다시 발행하거나 교체해야 합니다. RHACS 포털에서 플랫폼 구성
3.1. Central 인증서에 대한 내부 인증서 발행
Central은 다른 Red Hat Advanced Cluster Security for Kubernetes 서비스와 통신할 때 인증에 기본 제공 서버 인증서를 사용합니다. 이 인증서는 중앙 설치에 고유합니다. RHACS 포털은 중앙 인증서가 만료될 때 정보 배너를 표시합니다.
정보 배너는 인증서 만료일 15일 전에만 표시됩니다.
RHACS 버전 4.3.4부터 Operator는 모든 중앙 구성 요소의 TLS(서비스 전송 계층 보안) 인증서를 6개월 전에 자동으로 순환합니다. 다음 조건이 적용됩니다.
-
시크릿에서 인증서를 교체해도 구성 요소가 자동으로 다시 로드되지 않습니다. 그러나 일반적으로 다시 로드는 Pod가 RHACS 업그레이드의 일부로 교체되거나 노드가 재부팅되면 발생합니다. 최소 6개월마다 이러한 이벤트가 발생하지 않는 경우 이전 (메모리 내) 서비스 인증서가 만료되기 전에 Pod를 다시 시작해야 합니다. 예를 들어 중앙 ,
central-dbscanner또는scanner-db값 중 하나를 포함하는app라벨을 사용하여 Pod를 삭제할 수 있습니다. - CA 인증서는 업데이트되지 않습니다. 이는 5년 동안 유효합니다.
- 보안 클러스터 구성 요소에서 사용하는 init 번들의 서비스 인증서는 업데이트되지 않습니다. 정기적으로 init 번들을 순환해야 합니다.
Operator 기반이 아닌 설치의 경우 TLS 인증서를 수동으로 순환해야 합니다. 인증서 교체 방법은 다음 섹션에 포함되어 있습니다.
사전 요구 사항
-
인증서를 다시 발행하거나 교체하려면
ServiceIdentity리소스에 대한쓰기권한이 있어야 합니다.
프로세스
- RHACS 포털에서 새 시크릿이 포함된 YAML 구성 파일을 다운로드하는 인증서 만료를 알리는 배너의 링크를 클릭합니다. 보안에는 인증서 및 키 값이 포함됩니다.
다음 명령을 실행하여 Central을 설치한 클러스터에 새 YAML 구성 파일을 적용합니다.
$ oc apply -f <secret_file.yaml>
- Central을 다시 시작하여 변경 사항을 적용합니다.
3.1.1. 중앙 컨테이너 다시 시작
Central 컨테이너를 종료하거나 Central Pod를 삭제하여 Central 컨테이너를 다시 시작할 수 있습니다.
프로세스
다음 명령을 실행하여 중앙 컨테이너를 종료합니다.
참고OpenShift Container Platform이 변경 사항을 전파하고 중앙 컨테이너를 다시 시작할 때까지 1분 이상 기다려야 합니다.
$ oc -n stackrox exec deploy/central -c central -- kill 1
또는 다음 명령을 실행하여 중앙 Pod를 삭제합니다.
$ oc -n stackrox delete pod -lapp=central
