Red Hat Summit5.4. OpenShift 클러스터 내부에서 서비스 레지스트리에 대한 HTTPS 연결 구성
다음 절차에서는 OpenShift 클러스터 내부에서 HTTPS 연결에 사용할 포트를 노출하도록 서비스 레지스트리 배포를 구성하는 방법을 보여줍니다.
이러한 종류의 연결은 클러스터 외부에서 직접 사용할 수 없습니다. 라우팅은 호스트 이름을 기반으로 하며, HTTPS 연결 시 인코딩됩니다. 따라서 엣지 종료 또는 기타 구성이 여전히 필요합니다. 5.5절. “OpenShift 클러스터 외부에서 서비스 레지스트리에 대한 HTTPS 연결 구성”을 참조하십시오.
사전 요구 사항
- Service Registry Operator가 이미 설치되어 있어야 합니다.
절차
자체 서명된 인증서가 있는
키 저장소를생성합니다. 자체 인증서를 사용하는 경우 이 단계를 건너뛸 수 있습니다.keytool -genkey -trustcacerts -keyalg RSA -keystore registry-keystore.jks -storepass password
keytool -genkey -trustcacerts -keyalg RSA -keystore registry-keystore.jks -storepass passwordCopy to Clipboard Copied! Toggle word wrap Toggle overflow 키 저장소 및 키 저장소 암호를 저장할 새 시크릿을 생성합니다.
- OpenShift 웹 콘솔의 왼쪽 탐색 메뉴에서 워크로드 > 시크릿 > 키/값 시크릿 만들기를 클릭합니다.
다음 값을 사용합니다.
이름:registry-keystore
Key 1:keystore.jks
Value 1: registry-keystore.jks (uploaded file)
Key 2:password
Value 2: password참고java.io.IOException: Invalid keystore 형식이표시되면 바이너리 파일의 업로드가 제대로 작동하지 않았습니다. 또는cat registry-keystore.jks | base64 -w0 > data.txt를 사용하여 파일을 base64 문자열로 인코딩하여 인코딩된 파일을 수동으로 추가합니다.
서비스 레지스트리 인스턴스의 배포 리소스를 편집합니다. Service Registry Operator의 상태 필드에서 올바른 이름을 찾을 수 있습니다.
키 저장소 보안을 볼륨으로 추가합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 볼륨 마운트를 추가합니다.
volumeMounts: - name: registry-keystore-secret-volume mountPath: /etc/registry-keystore readOnly: truevolumeMounts: - name: registry-keystore-secret-volume mountPath: /etc/registry-keystore readOnly: trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow JAVA_OPTIONS및KEYSTORE_PASSWORD환경 변수를 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고문자열 보간을 사용할 때는 순서가 중요합니다.
HTTPS 포트를 활성화합니다.
ports: - containerPort: 8080 protocol: TCP - containerPort: 8443 protocol: TCPports: - containerPort: 8080 protocol: TCP - containerPort: 8443 protocol: TCPCopy to Clipboard Copied! Toggle word wrap Toggle overflow
서비스 레지스트리 인스턴스의 서비스 리소스를 편집합니다. Service Registry Operator의 상태 필드에서 올바른 이름을 찾을 수 있습니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 연결이 작동하는지 확인합니다.
SSH를 사용하여 클러스터의 Pod에 연결합니다(서비스 레지스트리 Pod를 사용할 수 있음).
oc rsh -n default example-apicurioregistry-deployment-vx28s-4-lmtqb
oc rsh -n default example-apicurioregistry-deployment-vx28s-4-lmtqbCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스 리소스에서 서비스 레지스트리 포드의 클러스터 IP를 찾습니다(웹 콘솔의 위치 열 참조). 이후 테스트 요청을 실행합니다(자체 서명 인증서를 사용하므로 비보안 플래그가 필요합니다.
curl -k https://172.30.209.198:8443/health [...]
curl -k https://172.30.209.198:8443/health [...]Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}