4.6. etcd 인증서
4.6.1. 목적
etcd 인증서는 etcd-signer를 통해 서명합니다. 노드 인증서는 부트스트랩 프로세스를 통해 생성된 인증 기관(CA)에서 제공합니다.
4.6.2. 만료
CA 인증서는 10년 동안 유효합니다. 피어, 클라이언트 및 서버 인증서는 3년간 유효합니다.
4.6.3. 관리
이러한 인증서는 사용자가 아닌 시스템에서 관리합니다.
4.6.4. 서비스
etcd 인증서는 etcd 멤버 피어 사이의 암호화된 통신 및 암호화된 클라이언트 트래픽에 사용됩니다. 다음 인증서는 etcd 및 etcd와 통신하는 다른 프로세스를 통해 생성되고 사용됩니다.
- 피어 인증서: etcd 멤버 간 통신에 사용됩니다.
-
클라이언트 인증서: 암호화된 서버-클라이언트 통신에 사용됩니다. 클라이언트 인증서는 현재 API 서버에서만 사용되며 프록시를 제외한 다른 서비스는 etcd에 직접 연결하지 않아야 합니다. 클라이언트 보안(
etcd-client
,etcd-metric-client
,etcd-metric-signer
, andetcd-signer
)이openshift-config
,openshift-monitoring
및openshift-kube-apiserver
네임스페이스에 추가됩니다. - 서버 인증서: etcd 서버에서 클라이언트 요청을 인증하는 데 사용합니다.
- 지표 인증서: 모든 지표 소비자는 metric-client 인증서를 사용하여 프록시에 연결합니다.