Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

9장. 인증서 작업

Red Hat OpenShift AI를 설치하면 OpenShift는 기본 CA(인증 기관) 번들을 자동으로 적용하여 워크벤치 및 모델 서버와 같은 대부분의 OpenShift AI 구성 요소에 대한 인증을 관리합니다. 이러한 인증서는 통신을 보호하는 데 도움이 되는 신뢰할 수 있는 자체 서명 인증서입니다. 그러나 클러스터 관리자는 데이터 사이언스 파이프라인 서버 및 개체 스토리지 솔루션과 같은 일부 구성 요소를 사용하도록 추가 자체 서명 인증서를 구성해야 할 수 있습니다. OpenShift AI 구성 요소에서 기존 클러스터 전체 CA 번들에 포함되지 않은 자체 서명된 인증서를 사용하는 경우 인증서를 포함하는 데 필요한 다음 옵션이 있습니다.

  • OpenShift 클러스터 전체 CA 번들에 추가합니다.
  • 클러스터 전체 CA 번들과는 별도로 사용자 정의 CA 번들에 추가합니다.

클러스터 관리자는 다음과 같이 OpenShift AI에 대한 인증을 관리하는 방법을 변경할 수도 있습니다.

  • OpenShift AI Operator를 사용하여 자동으로 처리하는 대신 인증서 변경 사항을 수동으로 관리합니다.
  • 모든 네임스페이스 또는 특정 네임스페이스에서 클러스터 전체 CA 번들을 제거합니다. 다른 인증 방법을 구현하려는 경우 CA 번들 제거에 설명된 대로 기본 OpenShift AI 동작을 재정의할 수 있습니다.

9.1. OpenShift AI에서 인증서를 처리하는 방법 이해
링크 복사

OpenShift AI를 설치한 후 Red Hat OpenShift AI Operator는 빈 odh-trusted-ca-bundle 구성 파일(ConfigMap)을 자동으로 생성합니다. CNO(Cluster Network Operator)는 "config.openshift.io/inject-trusted-cabundle" 레이블을 사용하여 odh-trusted-ca-bundle configMap에 클러스터 전체 CA 번들을 삽입합니다. 

apiVersion: v1
kind: ConfigMap
metadata:
  labels:
    app.kubernetes.io/part-of: opendatahub-operator
    config.openshift.io/inject-trusted-cabundle: 'true'
  name: odh-trusted-ca-bundle
Copy to Clipboard Toggle word wrap

CNO Operator가 번들을 삽입하면 ca-bundle.crt 파일의 콘텐츠로 ConfigMap을 업데이트합니다. 

apiVersion: v1
kind: ConfigMap
metadata:
  labels:
    app.kubernetes.io/part-of: opendatahub-operator
    config.openshift.io/inject-trusted-cabundle: 'true'
  name: odh-trusted-ca-bundle
data:
  ca-bundle.crt: |
    <BUNDLE OF CLUSTER-WIDE CERTIFICATES>
Copy to Clipboard Toggle word wrap

CA 번들 관리는 DSCI(Data Science Cluster Initialization) 오브젝트를 통해 구성됩니다. 이 오브젝트 내에서 spec.trustedCABundle.managementState 필드를 다음 값 중 하나로 설정할 수 있습니다.

  • Managed: (기본값) Red Hat OpenShift AI Operator는 odh-trusted-ca-bundle ConfigMap을 관리하고 이를 예약하지 않은 기존 네임스페이스 및 새 네임스페이스에 추가합니다. 기본,openshift-\* 또는 kube-* 와 같은 예약된 시스템 네임스페이스 또는 예약된 시스템 네임스페이스에 ConfigMap을 추가하지 않습니다. Red Hat OpenShift AI Operator는 customCABundle 필드에 수행된 변경 사항을 반영하도록 ConfigMap을 자동으로 업데이트합니다.

  • Unmanaged: Red Hat OpenShift AI 관리자가 Operator에서 관리할 수 있는 대신 odh-trusted-ca-bundle ConfigMap을 수동으로 관리합니다. managementStateManaged 에서 Unmanaged 로 변경해도 odh-trusted-ca-bundle ConfigMap이 제거되지 않습니다. 그러나 customCABundle 필드를 변경하면 ConfigMap이 더 이상 자동으로 업데이트되지 않습니다.

    Unmanaged 설정은 조직에서 Ansible 자동화와 같은 신뢰할 수 있는 CA 번들을 관리하는 다른 방법을 구현하고 Red Hat OpenShift AI Operator가 인증서를 자동으로 처리하지 않도록 하는 경우에 유용합니다. 이 설정을 사용하면 Operator가 사용자 정의 구성을 덮어쓰지 못하도록 제어할 수 있습니다.

  • Removed: Red Hat OpenShift AI Operator는 odh-trusted-ca-bundle ConfigMap을 제거하고 ConfigMap이 새 네임스페이스에 생성되지 않도록 합니다. Managed 에서 Removed 로 이 필드를 변경하면 기존 네임스페이스에서 ConfigMap도 삭제됩니다. 이는 Red Hat OpenShift AI를 2.7 또는 이전 버전에서 2.19로 업그레이드한 후의 기본값입니다.

    Removed 설정은 복잡성을 줄이고 권한이 없는 인증서 변경과 같은 보안 위험을 완화합니다. 높은 보안 환경에서 CA 번들을 제거하면 승인된 CA만 신뢰할 수 있으므로 데이터 보안 위험이 줄어듭니다. 예를 들어, 조직은 클러스터 관리자가 OpenShift pod가 외부적으로 통신하지 못하도록 신뢰할 수 있는 CA 번들을 생성하지 못하도록 제한할 수 있습니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat