Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

7.3. OpenShift Serverless 전송 암호화 설정

사전 요구 사항

  • 클러스터 관리자 액세스 권한이 있는 OpenShift Container Platform 계정에 액세스할 수 있습니다.
  • {oc-first}를 설치합니다.
  • cert-manager Operator for Red Hat OpenShift를 설치합니다.
  • OpenShift Serverless Operator를 설치합니다.
중요

cert-manager Operator for Red Hat OpenShift를 설치하기 전에 OpenShift Serverless Operator를 설치하는 경우 knative-serving 네임스페이스에서 컨트롤러 및 활성화자 배포를 다시 시작해야 합니다. 이러한 배포를 다시 시작하지 않으면 Knative에서 필요한 cert-manager 리소스가 생성되지 않아 Knative 서비스가 보류되어 Knative Serving cert-manager 통합을 활성화하지 못합니다.

7.3.1. 자체 서명 클러스터 발행자 구성
링크 복사

다음 절차에서는 루트 인증서로 SelfSigned 발행자를 사용합니다. 이 방법의 영향 및 제한 사항에 대한 자세한 내용은 SelfSigned cert-manager 설명서를 참조하십시오.

회사별 개인 키 인프라(PKI)를 관리하는 경우 CA 발행자를 사용합니다. 자세한 내용은 CA 발행자에 대한 cert-manager 설명서를 참조하십시오.

프로세스

  1. 자체 서명된 ClusterIssuer 사용자 정의 리소스(CR)를 생성합니다.

    ClusterIssuer CR의 예

    apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: knative-serving-selfsigned-issuer
spec:
  selfSigned: {}
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 ClusterIssuer CR을 적용합니다. 

    $ oc apply -f <filename>
    Copy to Clipboard Toggle word wrap

  3. ClusterIssuer CR을 참조하는 루트 인증서를 생성합니다.

    루트 인증서 예

    apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: knative-serving-selfsigned-ca
  namespace: cert-manager
    1 
    
spec:
  secretName: knative-serving-ca
    2 
    

  isCA: true
  commonName: selfsigned-ca
  privateKey:
    algorithm: ECDSA
    size: 256

  issuerRef:
    name: knative-serving-selfsigned-issuer
    kind: ClusterIssuer
    group: cert-manager.io
    Copy to Clipboard Toggle word wrap

    1
    기본적으로 cert-manager Operator for Red Hat OpenShift 네임 스페이스 cert-manager.
    2
    나중에 Knative Serving의 ClusterIssuer CR에 사용되는 시크릿 이름입니다.

  4. 다음 명령을 실행하여 인증서 CR을 적용합니다. 

    $ oc apply -f <filename>
    Copy to Clipboard Toggle word wrap

7.3.2. Serving에서 사용할 ClusterIssuer 생성
링크 복사

Serving으로 인증서 사용을 활성화하려면 클러스터 발행자를 생성해야 합니다.

프로세스

  1. Serving용 knative-serving-ca-issuer ClusterIssuer 를 생성합니다. 

    apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: knative-serving-ca-issuer
spec:
  ca:
    secretName: knative-serving-ca
    1
    Copy to Clipboard Toggle word wrap
    1
    OpenShift Serverless Serving 구성 요소에서 새 인증서에 사용할 수 있는 인증서가 포함된cert-manager Operator for Red Hat OpenShift 네임 스페이스(기본적으로 cert-manager)의 시크릿 이름입니다.

  2. 다음 명령을 실행하여 ClusterIssuer 리소스를 적용합니다. 

    $ oc apply -f <filename>
    Copy to Clipboard Toggle word wrap

7.3.3. 전송 암호화 구성
링크 복사

전송 암호화 구성은 다음 두 부분으로 구성됩니다.

  1. 사용할 ClusterIssuer 발행자를 지정합니다.

    • clusterLocalIssuerRef: Ingress에 사용되는 cluster-local-domain 인증서에 대한 issuer입니다.
    • systemInternalIssuerRef: Knative 내부 구성 요소에서 사용하는 system-internal-tls 인증서에 대한 인증서의 경우 발행자입니다.

  2. 사용할 전송 암호화 기능 지정:

    • cluster-local-domain-tls: cluster-local 도메인에 대한 전송 암호화 기능 사용
    • system-internal-tls: OpenShift Serverless Serving 내부 구성 요소에 대한 전송 암호화 기능을 활성화합니다.

프로세스

  1. KnativeServing 리소스에서 전송 암호화를 활성화합니다. 

    apiVersion: operator.knative.dev/v1beta1
kind: KnativeServing
metadata:
  name: knative-serving
  namespace: knative-serving
spec:
  ...
  config:
    certmanager:
      clusterLocalIssuerRef: |
        kind: ClusterIssuer
        name: knative-serving-ca-issuer
    1 
    
      systemInternalIssuerRef: |
        kind: ClusterIssuer
        name: knative-serving-ca-issuer
    2 
    
    network:
      cluster-local-domain-tls: Enabled
    3 
    
      system-internal-tls: Enabled
    4
    Copy to Clipboard Toggle word wrap
    1
    각 기능에 대한 클러스터 발행자를 정의합니다. 동일하거나 개별 클러스터 발행자를 사용할 수 있습니다.
    2
    클러스터 발행자를 정의합니다.
    3
    cluster-local-domain-tls 기능을 활성화합니다. 이 및 기타 기능은 개별적으로 활성화하거나 비활성화할 수 있습니다.
    4
    system-internal-tls 기능을 활성화합니다.

  2. 다음 명령을 실행하여 KnativeServing 리소스를 적용합니다. 

    $ oc apply -f <filename>
    Copy to Clipboard Toggle word wrap

  3. 필요한 경우 Ingress 컨트롤러의 defaultCertificate 값을 변경합니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
 ...
spec:
  defaultCertificate:
    name: ca-ingress-cert
    Copy to Clipboard Toggle word wrap

  4. defaultCertificate 값을 변경한 경우 KnativeServing 사용자 정의 리소스의 openshift-ingress-default-certificate 필드에 사용자 정의 인증서 이름을 지정해야 합니다.

    예를 들어 사용자 정의 인증서 이름이 ca-ingress-cert 인 경우 다음 구성을 추가합니다. 

    ...
spec:
  config:
    network:
      system-internal-tls: Enabled
      openshift-ingress-default-certificate: "ca-ingress-cert"
...
    Copy to Clipboard Toggle word wrap

  5. cluster-local-domain-tls 또는 system-internal-tls 를 활성화한 경우 다음 명령을 실행하여 컨트롤러 구성 요소를 다시 시작합니다.

    중요

    cluster-local-domain-tls 또는 system-internal-tls 기능이 활성화된 경우 Knative Serving cert-manager 통합을 활성화하려면 컨트롤러 구성 요소를 다시 시작해야 합니다. 

    $ oc rollout restart deploy/controller -n knative-serving
    Copy to Clipboard Toggle word wrap

  6. system-internal-tls 를 활성화한 경우 다음 명령을 실행하여 Activator 구성 요소를 다시 시작합니다.

    중요

    system-internal-tls 기능이 활성화되면 런타임 중에 사용할 수 없으므로 활성화 구성 요소를 다시 시작하여 내부 웹 서버를 재구성해야 합니다. 

    $ oc rollout restart deploy/activator -n knative-serving
    Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat