3.3. 센서, 수집기 및 Admission 컨트롤러에 대한 내부 인증서 발행
센서, 수집기 및 Admission 컨트롤러는 인증서를 사용하여 서로 통신하고 Central과 통신합니다.
인증서를 교체하려면 다음 방법 중 하나를 사용합니다.
-
보안 클러스터에 init 번들을 생성, 다운로드 및 설치합니다. init 번들을 생성하려면
Admin사용자 역할이 있어야 합니다. -
자동 업그레이드 기능을 사용합니다. 자동 업그레이드는
roxctlCLI를 사용하여 정적 매니페스트 배포에만 사용할 수 있습니다.
3.3.1. init 번들을 사용하여 보안 클러스터의 내부 인증서 전달
보안 클러스터에는 수집기, 센서 및 Admission Control 구성 요소가 포함됩니다. 이러한 구성 요소는 다른 Red Hat Advanced Cluster Security for Kubernetes 구성 요소와 통신할 때 인증에 기본 제공 서버 인증서를 사용합니다.
RHACS 포털은 중앙 인증서가 만료될 때 정보 배너를 표시합니다.
정보 배너는 인증서 만료일 15일 전에만 표시됩니다.
사전 요구 사항
-
인증서를 다시 게시하려면
ServiceIdentity리소스에 대한쓰기권한이 있어야 합니다.
보안이 포함되어 있으므로 이 번들을 안전하게 저장합니다. 여러 보안 클러스터에서 동일한 번들을 사용할 수 있습니다. init 번들을 생성하려면 Admin 사용자 역할이 있어야 합니다.
프로세스
RHACS 포털을 사용하여 init 번들을 생성하려면 다음을 수행합니다.
-
플랫폼 구성
클러스터를 선택합니다. - 토큰 관리를 클릭합니다.
- 인증 토큰 섹션으로 이동하여 Cluster Init Bundle 을 클릭합니다.
- 번들 생성을 클릭합니다.
- 클러스터 init 번들의 이름을 입력하고 생성 을 클릭합니다.
- 생성된 번들을 다운로드하려면 Kubernetes 시크릿 파일 다운로드를 클릭합니다.
-
플랫폼 구성
roxctlCLI를 사용하여 init 번들을 생성하려면 다음 명령을 실행합니다.$ roxctl -e <endpoint> -p <admin_password> central \ init-bundles generate --output-secrets <bundle_name> \ init-bundle.yaml
다음 단계
각 보안 클러스터에 필요한 리소스를 생성하려면 다음 명령을 실행합니다.
$ oc -n stackrox apply -f <init-bundle.yaml>
3.3.2. 자동 업그레이드를 사용하여 보안 클러스터의 내부 인증서 전달
자동 업그레이드를 사용하여 센서, 수집기 및 Admission 컨트롤러에 대한 내부 인증서를 다시 발행할 수 있습니다.
자동 업그레이드는 roxctl CLI를 사용하는 정적 매니페스트 기반 배포에만 적용됩니다. 설치 장의 " Installing Central" 섹션을 참조하십시오.
사전 요구 사항
- 모든 클러스터에 대해 자동 업그레이드를 활성화해야 합니다.
-
인증서를 다시 게시하려면
ServiceIdentity리소스에 대한쓰기권한이 있어야 합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
클러스터로 이동합니다. - 클러스터 보기에서 클러스터를 선택하여 세부 정보를 확인합니다.
- 클러스터 세부 정보 패널에서 자동 업그레이드를 사용하여 인증 정보를 적용할 링크를 선택합니다.
자동 업그레이드를 적용하면 Red Hat Advanced Cluster Security for Kubernetes가 선택한 클러스터에 새 인증 정보를 생성합니다. 그러나 알림은 계속 표시됩니다. 서비스가 다시 시작된 후 각 Red Hat Advanced Cluster Security for Kubernetes 서비스가 새 인증 정보를 사용하기 시작하면 알림이 사라집니다.
