11장. Eventing에서 TLS 암호화 구성
전송 암호화 기능을 사용하면 TLS( Transport Layer Security )를 사용하여 보안 및 암호화된 HTTPS 연결을 통해 데이터 및 이벤트를 전송할 수 있습니다.
Eventing의 OpenShift Serverless 전송 암호화는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
전송 암호화 기능 플래그는 Broker, Channel, Sink와 같은 Addressables를 정의하는 enum 구성입니다. 선택한 설정에 따라 Addressables에서 HTTP 또는 HTTPS를 통한 이벤트를 수락해야 하는지 여부를 제어합니다.
전송 암호화에 가능한 값은 다음과 같습니다.
| 현재의 | 설명 |
|---|---|
|
|
|
|
|
|
|
|
|
11.1. Eventing에 대한 자체 서명된 ClusterIssuer 리소스 생성
ClusterIssuers 는 인증서 서명 요청을 준수하여 서명된 인증서를 생성할 수 있는 CA(인증 기관)를 나타내는 Kubernetes 리소스입니다. 모든 cert-manager 인증서에는 요청을 준수하기 위해 준비 상태에 참조된 발행자가 필요합니다. 자세한 내용은 발급 자를 참조하십시오.
간단히 하기 위해 이 절차에서는 루트 인증 기관으로 SelfSigned 발행자를 사용합니다. SelfSigned 발행자의 영향 및 제한에 대한 자세한 내용은 자체 서명 발급 자를 참조하십시오. 사용자 정의 PKI(공개 키 인프라)를 사용하는 경우 개인 서명 CA 인증서가 클러스터에서 인식되도록 PKI를 구성해야 합니다. cert-manager에 대한 자세한 내용은 CA(인증 기관)를 참조하십시오. cluster-local 서비스에 사용할 수 있는 다른 발급자를 사용할 수 있습니다.
사전 요구 사항
- OpenShift Container Platform에 대한 클러스터 관리자 권한이 있거나 AWS 또는 OpenShift Dedicated의 Red Hat OpenShift Service에 대한 클러스터 또는 전용 관리자 권한이 있습니다.
- OpenShift Serverless Operator를 설치했습니다.
- cert-manager Operator for Red Hat OpenShift가 설치되어 있습니다.
-
OpenShift(
oc) CLI가 설치되어 있습니다.
프로세스
다음과 같이
자체 서명된ClusterIssuer리소스를 만듭니다.apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: knative-eventing-selfsigned-issuer spec: selfSigned: {}다음 명령을 실행하여
ClusterIssuer리소스를 적용합니다.$ oc apply -f <filename>
다음과 같이
SelfSignedClusterIssuer리소스를 사용하여 루트 인증서를 만듭니다.apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: knative-eventing-selfsigned-ca namespace: cert-manager 1 spec: secretName: knative-eventing-ca 2 isCA: true commonName: selfsigned-ca privateKey: algorithm: ECDSA size: 256 issuerRef: name: knative-eventing-selfsigned-issuer kind: ClusterIssuer group: cert-manager.io
다음을 실행하여
인증서리소스를 적용합니다.$ oc apply -f <filename>
