8.5. OpenShift AI 구성 요소에서 자체 서명된 인증서 사용

일부 OpenShift AI 구성 요소에는 자체 서명된 인증서에 대한 추가 옵션 또는 필수 구성이 있습니다.

8.5.1. 자체 서명된 인증서를 사용하여 S3 호환 오브젝트 스토리지에 액세스

OpenShift AI 구성 요소를 자체 서명된 인증서를 사용하는 OpenShift 클러스터 내에 배포된 오브젝트 스토리지 솔루션 또는 데이터베이스에 안전하게 연결하려면 CA(인증 기관) 인증서를 제공해야 합니다. 각 네임스페이스에는 내부 API 서버의 CA 인증서가 포함된 kube-root-ca.crt 라는 ConfigMap이 포함되어 있습니다.

사전 요구 사항

OpenShift 클러스터에 대한 클러스터 관리자 권한이 있습니다.
OpenShift CLI(명령줄 인터페이스)를 설치했습니다. OpenShift CLI 설치를 참조하십시오.
OpenShift 클러스터에 오브젝트 스토리지 솔루션 또는 데이터베이스를 배포했습니다.

프로세스

터미널 창에서 다음 예와 같이 OpenShift CLI에 로그인합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
oc login api.<cluster_name>.<cluster_domain>:6443 --web
```
```
oc login api.<cluster_name>.<cluster_domain>:6443 --web
```

현재 OpenShift AI 신뢰할 수 있는 CA 구성을 검색하여 새 파일에 저장합니다.

Copy to Clipboard Toggle word wrap

oc get dscinitializations.dscinitialization.opendatahub.io default-dsci -o json | jq -r '.spec.trustedCABundle.customCABundle' > /tmp/my-custom-ca-bundles.crt

oc get dscinitializations.dscinitialization.opendatahub.io default-dsci -o json | jq -r '.spec.trustedCABundle.customCABundle' > /tmp/my-custom-ca-bundles.crt

OpenShift AI 신뢰할 수 있는 CA 구성에 클러스터의 kube-root-ca.crt ConfigMap을 추가합니다.

Copy to Clipboard Toggle word wrap

oc get configmap kube-root-ca.crt -o jsonpath="{['data']['ca\.crt']}" >> /tmp/my-custom-ca-bundles.crt

oc get configmap kube-root-ca.crt -o jsonpath="{['data']['ca\.crt']}" >> /tmp/my-custom-ca-bundles.crt

kube-root-ca.crt 의 인증 기관에서 발급한 인증서를 신뢰하도록 OpenShift AI 신뢰할 수 있는 CA 구성을 업데이트합니다.

Copy to Clipboard Toggle word wrap

oc patch dscinitialization default-dsci --type='json' -p='[{"op":"replace","path":"/spec/trustedCABundle/customCABundle","value":"'"$(awk '{printf "%s\\n", $0}' /tmp/my-custom-ca-bundles.crt)"'"}]'

oc patch dscinitialization default-dsci --type='json' -p='[{"op":"replace","path":"/spec/trustedCABundle/customCABundle","value":"'"$(awk '{printf "%s\\n", $0}' /tmp/my-custom-ca-bundles.crt)"'"}]'

검증

OpenShift 클러스터에 배포된 오브젝트 스토리지 솔루션 또는 데이터베이스를 사용하도록 구성된 구성 요소를 성공적으로 배포할 수 있습니다. 예를 들어 클러스터에 배포된 데이터베이스를 사용하도록 구성된 파이프라인 서버가 성공적으로 시작됩니다.

참고

OpenShift AI 튜토리얼의 단계에 따라 새 인증서 구성을 확인할 수 있습니다 - Fraud Detection 예제. 스크립트를 실행하여 로컬 오브젝트 스토리지 버킷을 설치하고 연결을 생성한 다음 데이터 사이언스 파이프라인을 활성화합니다.

로컬 오브젝트 스토리지 버킷을 설치하기 위해 스크립트를 실행하는 방법에 대한 자세한 내용은 로컬 오브젝트 스토리지 버킷을 설치하고 연결을 생성하기 위해 스크립트 실행을 참조하십시오.

데이터 사이언스 파이프라인 활성화에 대한 자세한 내용은 데이터 사이언스 파이프라인 활성화를 참조하십시오.

8.5.2. 데이터 과학 파이프라인에 대한 인증서 구성

기본적으로 OpenShift AI에는 odh-trusted-ca-bundle ConfigMap에 OpenShift 클러스터 전체 인증서가 포함되어 있습니다. 이러한 클러스터 전체 인증서는 워크벤치 및 모델 서버와 같은 대부분의 구성 요소를 다룹니다. 그러나 파이프라인 서버에는 특히 자체 서명 또는 사용자 정의 인증서를 사용하는 외부 시스템과 상호 작용할 때 추가 CA(인증 기관) 구성이 필요할 수 있습니다.

데이터 사이언스 파이프라인에 대한 인증서를 추가하기 위한 다음과 같은 옵션이 있습니다.

클러스터 전체 CA 번들에 인증서 추가에 설명된 대로 클러스터 전체 CA 번들에 추가합니다.
또는 사용자 정의 CA 번들에 인증서 추가에 설명된 대로 사용자 정의 CA 번들에 인증서를 추가할 수 있습니다.
다음 절차에 설명된 대로 데이터 사이언스 파이프라인에만 사용되는 CA 번들을 제공합니다.

사전 요구 사항

Red Hat OpenShift AI가 설치된 OpenShift 클러스터에 대한 클러스터 관리자 액세스 권한이 있어야 합니다.
자체 서명된 인증서를 생성하고 파일에 인증서를 저장했습니다. 예를 들어 OpenSSL을 사용하여 인증서를 생성하고 example-ca.crt 라는 파일에 저장했습니다.
데이터 사이언스 파이프라인 서버를 구성했습니다.

프로세스

OpenShift 콘솔에 로그인합니다.

워크로드 ConfigMaps 에서 대상 데이터 사이언스 파이프라인과 동일한 데이터 사이언스 프로젝트에 필요한 번들이 포함된 ConfigMap을 생성합니다.

Copy to Clipboard Toggle word wrap

kind: ConfigMap
apiVersion: v1
metadata:
    name: custom-ca-bundle
data:
    ca-bundle.crt: |
    # contents of ca-bundle.crt

kind: ConfigMap
apiVersion: v1
metadata:
    name: custom-ca-bundle
data:
    ca-bundle.crt: |
    # contents of ca-bundle.crt

기본 DSL(Data Science Pipelines Application)의 .spec.apiserver.caBundle 필드에 다음 스니펫을 추가합니다.

Copy to Clipboard Toggle word wrap

apiVersion: datasciencepipelinesapplications.opendatahub.io/v1
kind: DataSciencePipelinesApplication
metadata:
    name: data-science-dspa
spec:
    ...
    apiServer:
    ...
    cABundle:
        configMapName: custom-ca-bundle
        configMapKey: ca-bundle.crt

apiVersion: datasciencepipelinesapplications.opendatahub.io/v1
kind: DataSciencePipelinesApplication
metadata:
    name: data-science-dspa
spec:
    ...
    apiServer:
    ...
    cABundle:
        configMapName: custom-ca-bundle
        configMapKey: ca-bundle.crt

ConfigMap을 저장합니다. 파이프라인 서버 Pod는 업데이트된 번들을 사용하여 자동으로 재배포됩니다.

검증

CA 번들이 성공적으로 마운트되었는지 확인합니다.

OpenShift 콘솔에 로그인합니다.
대상 데이터 사이언스 파이프라인을 보유한 데이터 사이언스 프로젝트로 이동합니다.
포드 탭을 클릭합니다.
ds-pipeline-dspa-<hash> 접두사를 사용하여 파이프라인 서버 포드를 클릭합니다.
터미널을 클릭합니다.
cat /dsp-custom-certs/dsp-ca.crt 를 입력합니다.
CA 번들이 이 파일에 있는지 확인합니다.

8.5.3. 워크벤치에 대한 인증서 구성

중요

기본적으로 자체 서명된 인증서는 클러스터 전체 인증서를 구성한 후 생성한 워크벤치에 적용됩니다. 기존 워크벤치에 클러스터 전체 인증서를 적용하려면 중지한 다음 워크벤치를 다시 시작합니다.

자체 서명된 인증서는 /etc/pki/tls/custom-certs/ca-bundle.crt 에 저장됩니다. 워크벤치는 많은 인기 있는 HTTP 클라이언트 패키지가 인증서를 가리키는 사전 설정된 환경 변수를 사용합니다. 기본적으로 포함되지 않은 패키지의 경우 이 인증서 경로를 제공할 수 있습니다. 예를 들어 kfp 패키지에서 데이터 사이언스 파이프라인 서버에 연결합니다.

Copy to Clipboard Toggle word wrap

from kfp.client import Client

with open(sa_token_file_path, 'r') as token_file:
    bearer_token = token_file.read()

    client = Client(
        host='https://<GO_TO_ROUTER_OF_DS_PROJECT>/',
        existing_token=bearer_token,
        ssl_ca_cert='/etc/pki/tls/custom-certs/ca-bundle.crt'
    )
    print(client.list_experiments())

from kfp.client import Client

with open(sa_token_file_path, 'r') as token_file:
    bearer_token = token_file.read()

    client = Client(
        host='https://<GO_TO_ROUTER_OF_DS_PROJECT>/',
        existing_token=bearer_token,
        ssl_ca_cert='/etc/pki/tls/custom-certs/ca-bundle.crt'
    )
    print(client.list_experiments())

8.5.4. 단일 모델 제공 플랫폼에 클러스터 전체 CA 번들 사용

기본적으로 OpenShift AI의 단일 모델 제공 플랫폼은 서버를 배포할 때 생성되는 끝점의 설치 시 생성된 자체 서명 인증서를 사용합니다.

OpenShift 클러스터에서 클러스터 전체 인증서를 구성한 경우 경로의 끝점과 같은 다른 유형의 끝점에 기본적으로 사용됩니다.

다음 절차에서는 OpenShift 클러스터에 이미 있는 것과 동일한 인증서를 사용하는 방법을 설명합니다.

사전 요구 사항

Red Hat OpenShift AI가 설치된 OpenShift 클러스터에 대한 클러스터 관리자 액세스 권한이 있어야 합니다.
OpenShift에 클러스터 전체 인증서가 구성되어 있습니다.
단일 모델 제공 플랫폼 설치에 설명된 대로 단일 모델 제공 플랫폼을 구성했습니다.

프로세스

OpenShift 콘솔에 로그인합니다.
프로젝트 목록에서 openshift-ingress 프로젝트를 엽니다.
YAML 을 클릭합니다.
"cert"를 검색하여 "cert"가 포함된 이름으로 시크릿을 찾습니다. 예를 들어 rhods-internal-primary-cert-bundle-secret. 보안 콘텐츠에는 모든 OpenShift 경로에 사용되는 두 개의 항목, 즉 tls.cert (인증서)와 tls.key (키)가 포함되어야 합니다.
시크릿에 참조를 복사합니다.
프로젝트 목록에서 istio-system 프로젝트를 엽니다.
YAML 파일을 생성하고 openshift-ingress YAML 파일에서 복사한 보안에 참조를 붙여넣습니다.

다음 예와 같이 관련 콘텐츠만 유지하도록 YAML 코드를 편집합니다. rhods-internal-primary-cert-bundle-secret 을 시크릿 이름으로 교체합니다.

Copy to Clipboard Toggle word wrap

kind: Secret
apiVersion: v1
metadata:
name: rhods-internal-primary-cert-bundle-secret
data:
tls.crt: >-
    LS0tLS1CRUd...
tls.key: >-
    LS0tLS1CRUd...
type: kubernetes.io/tls

kind: Secret
apiVersion: v1
metadata:
name: rhods-internal-primary-cert-bundle-secret
data:
tls.crt: >-
    LS0tLS1CRUd...
tls.key: >-
    LS0tLS1CRUd...
type: kubernetes.io/tls

YAML 파일을 istio-system 프로젝트에 저장합니다.
Operators 설치된 Operators → Red Hat OpenShift AI 로 이동합니다.
Data Science Cluster*를 클릭한 다음 default-dsc YAML 을 클릭합니다.

다음 예와 같이 kserve 구성 섹션을 편집하여 시크릿을 참조합니다. rhods-internal-primary-cert-bundle-secret 을 8단계에서 생성한 시크릿 이름으로 교체합니다.

Copy to Clipboard Toggle word wrap

kserve:
devFlags: {}
managementState: Managed
serving:
    ingressGateway:
    certificate:
        secretName: rhods-internal-primary-cert-bundle-secret
        type: Provided
    managementState: Managed
    name: knative-serving

kserve:
devFlags: {}
managementState: Managed
serving:
    ingressGateway:
    certificate:
        secretName: rhods-internal-primary-cert-bundle-secret
        type: Provided
    managementState: Managed
    name: knative-serving

8.5. OpenShift AI 구성 요소에서 자체 서명된 인증서 사용

8.5.1. 자체 서명된 인증서를 사용하여 S3 호환 오브젝트 스토리지에 액세스

8.5.2. 데이터 과학 파이프라인에 대한 인증서 구성

8.5.3. 워크벤치에 대한 인증서 구성

8.5.4. 단일 모델 제공 플랫폼에 클러스터 전체 CA 번들 사용

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links