9.6. PCP redis의 보안 연결 구성
PCP(Performance co-pilot), Grafana 및 PCP redis 간에 보안 연결을 설정할 수 있습니다. 이러한 구성 요소 간 보안 연결을 설정하면 인증되지 않은 당사자가 수집 및 모니터링되는 데이터에 액세스하거나 수정하는 것을 방지할 수 있습니다.
사전 요구 사항
- PCP가 설치되어 있습니다. 자세한 내용은 PCP 설치 및 활성화를 참조하십시오.
-
grafana-server
가 구성되어 있습니다. 자세한 내용은 grafana-server 설정을 참조하십시오. - PCP redis가 설치되어 있어야 합니다. 자세한 내용은 PCP Redis 구성을 참조하십시오.
개인 클라이언트 키는
/etc/redis/client.key
파일에 저장됩니다. 다른 경로를 사용하는 경우 프로세스의 해당 단계에서 경로를 수정합니다.개인 키 및 CSR(인증서 서명 요청) 생성 및 CA(인증 기관)에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 문서를 참조하십시오.
-
TLS 클라이언트 인증서는
/etc/redis/client.crt
파일에 저장됩니다. 다른 경로를 사용하는 경우 프로세스의 해당 단계에서 경로를 수정합니다. -
TLS 서버 키는
/etc/redis/redis.key
파일에 저장됩니다. 다른 경로를 사용하는 경우 프로세스의 해당 단계에서 경로를 수정합니다. -
TLS 서버 인증서는
/etc/redis/redis.crt
파일에 저장됩니다. 다른 경로를 사용하는 경우 프로세스의 해당 단계에서 경로를 수정합니다. -
CA 인증서는
/etc/redis/ca.crt
파일에 저장됩니다. 다른 경로를 사용하는 경우 프로세스의 해당 단계에서 경로를 수정합니다.
또한 pmproxy
데몬의 경우 다음을 수행합니다.
-
개인 서버 키는
/etc/pcp/tls/server.key
파일에 저장됩니다. 다른 경로를 사용하는 경우 프로세스의 해당 단계에서 경로를 수정합니다.
절차
루트 사용자로
/etc/redis/redis.conf
파일을 열고 다음 속성을 반영하도록 TLS/SSL 옵션을 조정합니다.port 0 tls-port 6379 tls-cert-file /etc/redis/redis.crt tls-key-file /etc/redis/redis.key tls-client-key-file /etc/redis/client.key tls-client-cert-file /etc/redis/client.crt tls-ca-cert-file /etc/redis/ca.crt
redis
가 TLS 인증서에 액세스할 수 있는지 확인합니다.# su redis -s /bin/bash -c \ 'ls -1 /etc/redis/ca.crt /etc/redis/redis.key /etc/redis/redis.crt' /etc/redis/ca.crt /etc/redis/redis.crt /etc/redis/redis.key
redis
서버를 다시 시작하여 구성 변경 사항을 적용합니다.# systemctl restart redis
검증
TLS 구성이 작동하는지 확인합니다.
# redis-cli --tls --cert /etc/redis/client.crt \ --key /etc/redis/client.key \ --cacert /etc/redis/ca.crt <<< "PING" PONG
TLS 구성에 실패하면 다음과 같은 오류 메시지가 표시될 수 있습니다.
Could not negotiate a TLS connection: Invalid CA Certificate File/Directory