14.6. 사용자 정의 도메인 경로에 대한 동적 인증서 구성
이제 지정된 도메인의 첫 번째 하위 도메인에 클러스터 애플리케이션을 노출할 수 있지만 애플리케이션 도메인과 일치하는 TLS 인증서로 연결은 보호되지 않습니다. 이러한 클러스터 애플리케이션에 각 도메인 이름에 대한 유효한 인증서가 있는지 확인하려면 이 도메인에서 생성된 모든 새 경로에 인증서를 동적으로 발행하도록 cert-manager를 구성합니다.
OpenShift 경로에 대한 인증서를 관리하는 데 필요한 필수 OpenShift 리소스 cert-manager를 생성합니다.
이 단계에서는 클러스터의 주석이 달린 경로를 구체적으로 모니터링하는 새 배포(및 Pod)를 생성합니다. 새 경로에
issuer-kind
및issuer-name
주석이 있는 경우 이 경로에 고유한 새 인증서에 대해 Issuer(ClusterIssuer)를 요청하고 경로를 생성하는 동안 지정된 호스트 이름을 준수합니다.참고클러스터가 GitHub에 액세스할 수 없는 경우 원시 콘텐츠를 로컬로 저장하고
oc apply -f localfilename.yaml -n cert-manager
를 실행할 수 있습니다.$ oc -n cert-manager apply -f https://github.com/cert-manager/openshift-routes/releases/latest/download/cert-manager-openshift-routes.yaml
다음 추가 OpenShift 리소스도 이 단계에서 생성됩니다.
-
ClusterRole
- 클러스터 전체에서 경로를 감시하고 업데이트할 수 있는 권한을 부여합니다. -
ServiceAccount
- 새로 생성된 Pod를 실행하는 권한을 사용합니다. -
ClusterRoleBinding
- 이 두 리소스를 바인딩합니다.
-
새
cert-manager-openshift-routes
Pod가 성공적으로 실행 중인지 확인합니다.$ oc -n cert-manager get pods
결과 예
NAME READY STATUS RESTARTS AGE cert-manager-866d8f788c-9kspc 1/1 Running 0 4h21m cert-manager-cainjector-6885c585bd-znws8 1/1 Running 0 4h41m cert-manager-openshift-routes-75b6bb44cd-f8kd5 1/1 Running 0 6s cert-manager-webhook-8498785dd9-bvfdf 1/1 Running 0 4h41m