검색

5.11. 보안 PCP 연결 설정

download PDF

보안 PCP 프로토콜 교환에 참여하도록 PCP 수집기 및 모니터링 구성 요소를 구성할 수 있습니다.

5.11.1. 보안 PCP 연결

PCP(Performance Co-Pilot) 수집기와 모니터링 구성 요소 간에 보안 연결을 설정할 수 있습니다. PCP 수집기 구성 요소는 다른 소스에서 성능 데이터를 수집하고 추출하는 PCP의 일부입니다. PCP 모니터 구성 요소는 PCP 수집기 구성 요소가 설치된 호스트 또는 아카이브에서 수집된 데이터를 표시하는 PCP의 일부입니다. 이러한 구성 요소 간 보안 연결을 설정하면 인증되지 않은 당사자가 수집 및 모니터링되는 데이터에 액세스하거나 수정하는 것을 방지할 수 있습니다.

성능 지표 수집기 데몬(pmcd)과의 모든 연결은 TCP/IP 기반 PCP 프로토콜을 사용하여 수행됩니다. 프로토콜 프록시 및 PCP REST API는 pmproxy 데몬에서 제공합니다. REST API는 HTTPS를 통해 액세스할 수 있으므로 보안 연결을 보장할 수 있습니다.

pmcdpmproxy 데몬은 단일 포트에서 TLS 및 비 TLS 통신을 동시에 수행할 수 있습니다. pmcd 의 기본 포트는 pmproxy 의 경우 44321 및 44322입니다. 즉, PCP 수집기 시스템의 TLS 또는 비 TLS 통신 중에서 선택할 필요가 없으며 둘 다 동시에 사용할 수 있습니다.

5.11.2. PCP 수집기 구성 요소에 대한 보안 연결 구성

모든 PCP 수집기 시스템에는 보안 PCP 프로토콜 교환에 참여하려면 유효한 인증서가 있어야 합니다.

참고

pmproxy 데몬은 TLS 관점에서 클라이언트와 서버로 작동합니다.

사전 요구 사항

  • PCP가 설치되어 있습니다. 자세한 내용은 PCP 설치 및 활성화를 참조하십시오.
  • 개인 클라이언트 키는 /etc/pcp/tls/client.key 파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.

    개인 키 및 CSR(인증서 서명 요청) 생성 및 CA(인증 기관)에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 문서를 참조하십시오.

  • TLS 클라이언트 인증서는 /etc/pcp/tls/client.crt 파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.
  • CA 인증서는 /etc/pcp/tls/ca.crt 파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다. 또한 pmproxy 데몬의 경우 다음을 수행합니다.
  • 개인 서버 키는 /etc/pcp/tls/server.key 파일에 저장됩니다. 다른 경로를 사용하는 경우 프로세스의 해당 단계를 조정합니다.
  • TLS 서버 인증서는 /etc/pcp/tls/server.crt 파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.

절차

  1. CA 발행 인증서를 사용하여 보안 연결을 설정하도록 수집기 시스템에서 PCP TLS 구성 파일을 업데이트합니다.

    # cat > /etc/pcp/tls.conf << END
    tls-ca-cert-file = /etc/pcp/tls/ca.crt
    tls-key-file = /etc/pcp/tls/server.key
    tls-cert-file = /etc/pcp/tls/server.crt
    tls-client-key-file = /etc/pcp/tls/client.key
    tls-client-cert-file = /etc/pcp/tls/client.crt
    END
  2. PCP 수집기 인프라를 다시 시작합니다.

    # systemctl restart pmcd.service
    # systemctl restart pmproxy.service

검증

  • TLS 구성을 확인합니다.

    • pmcd 서비스에서 다음을 수행합니다.

      # grep 'Info:' /var/log/pcp/pmcd/pmcd.log
      [Tue Feb 07 11:47:33] pmcd(6558) Info: OpenSSL 3.0.7 setup
    • pmproxy 서비스에서 다음을 수행합니다.

      # grep 'Info:' /var/log/pcp/pmproxy/pmproxy.log
      [Tue Feb 07 11:44:13] pmproxy(6014) Info: OpenSSL 3.0.7 setup

5.11.3. PCP 모니터링 구성 요소에 대한 보안 연결 구성

보안 PCP 프로토콜 교환에 참여하도록 PCP 모니터링 구성 요소를 구성합니다.

사전 요구 사항

  • PCP가 설치되어 있습니다. 자세한 내용은 PCP 설치 및 활성화를 참조하십시오.
  • 개인 클라이언트 키는 ~/.pcp/tls/client.key 파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.

    개인 키 및 CSR(인증서 서명 요청) 생성 및 CA(인증 기관)에서 인증서를 요청하는 방법에 대한 자세한 내용은 CA 문서를 참조하십시오.

  • TLS 클라이언트 인증서는 ~/.pcp/tls/client.crt 파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.
  • CA 인증서는 /etc/pcp/tls/ca.crt 파일에 저장됩니다. 다른 경로를 사용하는 경우 절차의 해당 단계를 조정합니다.

절차

  1. 다음 정보를 사용하여 TLS 구성 파일을 생성합니다.

    $ home=echo ~
    $ cat > ~/.pcp/tls.conf << END
    tls-ca-cert-file = /etc/pcp/tls/ca.crt
    tls-key-file = $home/.pcp/tls/client.key
    tls-cert-file = $home/.pcp/tls/client.crt
    END
  2. 보안 연결을 설정합니다.

    $ export PCP_SECURE_SOCKETS=enforce
    $ export PCP_TLSCONF_PATH=~/.pcp/tls.conf

검증

  • 보안 연결이 구성되었는지 확인합니다.

    $ pminfo --fetch --host pcps://localhost kernel.all.load
    
    kernel.all.load
        inst [1 or "1 minute"] value 1.26
        inst [5 or "5 minute"] value 1.29
        inst [15 or "15 minute"] value 1.28
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.