Red Hat Training
A Red Hat training course is available for OpenShift Container Platform
20.5. 서비스 제공 인증서 보안
서비스 제공 인증서 보안은 즉시 사용 가능한 인증서가 필요한 복잡한 미들웨어 애플리케이션을 지원하기 위한 것입니다. 해당 설정은 관리자 툴에서 노드 및 마스터에 대해 생성하는 서버 인증서와 동일합니다.
표 20.1. 서비스 제공 인증서 보안
| 네임스페이스 | Secret |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
| |
|
| |
|
| |
|
|
|
|
|
|
서비스와의 통신을 보호하려면 클러스터에서 서명된 제공 인증서/키 쌍을 네임스페이스의 보안에 생성하도록 합니다. 이렇게 하려면 보안에 사용할 이름으로 설정된 값을 사용하여 서비스에 service.alpha.openshift.io/serving-cert-secret-name 주석을 설정합니다. 그러면 PodSpec에서 해당 보안을 마운트할 수 있습니다. 사용 가능한 경우 Pod가 실행됩니다. 인증서는 내부 서비스 DNS 이름인 <service.name>.<service.namespace>.svc에 적합합니다.
인증서 및 키는 PEM 형식이며 각각 tls.crt 및 tls.key에 저장됩니다. 인증서/키 쌍은 만료가 1시간 내에 있을 때 자동으로 교체됩니다. 보안의 service.alpha.openshift.io/expiry 주석에서 RFC3339 형식으로 된 만료 날짜를 확인합니다.
기타 Pod는 해당 Pod에 자동으로 마운트되는 /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt 파일의 CA 번들을 사용하여 내부 DNS 이름에만 서명되는 클러스터 생성 인증서를 신뢰할 수 있습니다.
이 기능의 서명 알고리즘은 x509.SHA256WithRSA입니다. 직접 교대하려면 생성된 보안을 삭제합니다. 새 인증서가 생성됩니다.