Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

10장. TLS-e for DCN

분산 계산 노드 인프라용으로 설계된 클라우드에서 TLS(전송 계층 보안)를 활성화할 수 있습니다. 공용 액세스를 위해 TLS를 활성화하거나 모든 내부 및 외부 데이터 흐름에서 암호화를 허용하는 TLS-e를 사용하는 모든 네트워크에서 TLS를 활성화하는 옵션이 있습니다.

에지 사이트에 공용 엔드포인트가 없으므로 에지 스택에서 공용 액세스를 활성화할 수 없습니다. 공용 액세스용 TLS에 대한 자세한 내용은 Enabling SSL/TLS on Overcloud Public Endpoints 를 참조하십시오.

10.1. TLS-e를 사용하여 분산 컴퓨팅 노드 아키텍처 배포
링크 복사

사전 요구 사항

Red Hat Identity Manager(IdM)를 사용하여 RHOSP(Red Hat OpenStack Platform) 분산 컴퓨팅 노드 아키텍처에서 TLS-e를 구성하는 경우 Red Hat Identity Manager용으로 배포된 Red Hat Enterprise Linux 버전을 기반으로 다음 작업을 수행합니다.

Red Hat Enterprise Linux 8.4
  1. Red Hat Identity Management 노드에서 ipa-ext.conf 파일에서 ACL에 신뢰할 수 있는 서브넷을 허용했습니다. 
 acl "trusted_network" {
   localnets;
   localhost;
   192.168.24.0/24;
   192.168.25.0/24;
 };
Copy to Clipboard Toggle word wrap

  1. /etc/named/ipa-options-ext.conf 파일에서 재귀 및 쿼리 캐시를 허용합니다. 

    allow-recursion { trusted_network; };
allow-query-cache { trusted_network; };
    Copy to Clipboard Toggle word wrap

  2. 'named-pkcs11 서비스를 다시 시작하십시오. 

    systemctl restart named-pkcs11
    Copy to Clipboard Toggle word wrap
Red Hat Enterprise Linux 8.2
RHEL (Red Hat Enterprise Linux) 8.2에 Red Hat Identity Manager (IdM)가 있는 경우 Red Hat Enterprise Linux를 업그레이드한 다음 RHEL 8.4 지침을 따라야 합니다.
Red Hat Enterprise Linux 7.x
RHEL (Red Hat Enterprise Linux) 7.x에 Red Hat IdM (Identity Manager)이 있는 경우 도메인 이름에 대해 수동으로 액세스 제어 명령 (ACI)을 추가해야 합니다. 예를 들어 도메인 이름이 redhat.local 인 경우 Red Hat Identity Manager에서 다음 명령을 실행하여 ACI를 구성합니다. 
ADMIN_PASSWORD=redhat_01
DOMAIN_LEVEL_1=local
DOMAIN_LEVEL_2=redhat

cat << EOF | ldapmodify -x -D "cn=Directory Manager" -w ${ADMIN_PASSWORD}
dn: cn=dns,dc=${DOMAIN_LEVEL_2},dc=${DOMAIN_LEVEL_1}
changetype: modify
add: aci
aci: (targetattr = "aaaarecord || arecord || cnamerecord || idnsname || objectclass || ptrrecord")(targetfilter = "(&(objectclass=idnsrecord)(|(aaaarecord=)(arecord=)(cnamerecord=)(ptrrecord=)(idnsZoneActive=TRUE)))")(version 3.0; acl "Allow hosts to read DNS A/AAA/CNAME/PTR records"; allow (read,search,compare) userdn = "ldap:///fqdn=*,cn=computers,cn=accounts,dc=${DOMAIN_LEVEL_2},dc=${DOMAIN_LEVEL_1}";)
EOF
Copy to Clipboard Toggle word wrap

절차

DCN(분산 계산 노드) 아키텍처의 경우 이전 novajoin 방법과 달리 TLS -e를 구현하는 ansible 기반 tripleo-ipa 방법을 사용해야 합니다. tripleo-ipa 를 사용하여 TLS를 배포하는 방법에 대한 자세한 내용은 Ansible을 사용한 TLS 구현에서 참조하십시오.

DCN 아키텍처용 tripleo-ipa 를 사용하여 TLS-e를 배포하려면 다음 단계도 완료해야 합니다.

  1. 에지에 스토리지를 배포하는 경우 에지 스택에 대해 수정된 tripleo heat 템플릿에 다음 매개변수를 포함합니다. 

    TEMPLATES=/usr/share/openstack-tripleo-heat-templates

resource_registry:
  OS::TripleO::Services::IpaClient:
    ${TEMPLATES}/deployment/ipa/ipaservices-baremetal-ansible.yaml

parameter_defaults:
  EnableEtcdInternalTLS: true
    Copy to Clipboard Toggle word wrap

중앙 위치와 에지 위치 간의 설계 차이로 인해 에지 스택에 다음 파일을 포함하지 마십시오.

tls-everywhere-endpoints-dns.yaml
이 파일은 에지 사이트에서 무시되며 설정하는 끝점은 중앙 스택에서 내보낸 엔드포인트에서 재정의합니다.
haproxy-public-tls-certmonger.yaml
이 파일은 에지에 공용 엔드포인트가 없기 때문에 배포가 실패합니다.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동