4.6. etcd 인증서

4.6.1. 목적

etcd 인증서는 etcd-signer를 통해 서명합니다. 노드 인증서는 부트스트랩 프로세스를 통해 생성된 인증 기관(CA)에서 제공합니다.

4.6.2. 만료

CA 인증서는 10년 동안 유효합니다. 피어, 클라이언트 및 서버 인증서는 3년간 유효합니다.

4.6.3. 관리

이러한 인증서는 사용자가 아닌 시스템에서 관리합니다.

4.6.4. 서비스

etcd 인증서는 etcd 멤버 피어 사이의 암호화된 통신 및 암호화된 클라이언트 트래픽에 사용됩니다. 다음 인증서는 etcd 및 etcd와 통신하는 다른 프로세스를 통해 생성되고 사용됩니다.

  • 피어 인증서: etcd 멤버 간 통신에 사용됩니다.
  • 클라이언트 인증서: 암호화된 서버-클라이언트 통신에 사용됩니다. 클라이언트 인증서는 현재 API 서버에서만 사용되며 프록시를 제외한 다른 서비스는 etcd에 직접 연결하지 않아야 합니다. 클라이언트 보안(etcd-client, etcd-metric-client, etcd-metric-signer, and etcd-signer)이 openshift-config, openshift-monitoringopenshift-kube-apiserver 네임스페이스에 추가됩니다.
  • 서버 인증서: etcd 서버에서 클라이언트 요청을 인증하는 데 사용합니다.
  • 지표 인증서: 모든 지표 소비자는 metric-client 인증서를 사용하여 프록시에 연결합니다.

추가 리소스