9.4. 컨트롤 플레인의 TLS 보안 프로필 구성

컨트롤 플레인에 대한 TLS 보안 프로필을 구성하려면 APIServer CR(사용자 정의 리소스)을 편집하여 사전 정의된 또는 사용자 지정 TLS 보안 프로필을 지정합니다. APIServer CR에서 TLS 보안 프로필을 설정하면 다음 컨트롤 플레인 구성 요소로 설정이 전파됩니다.

  • Kubernetes API 서버
  • OpenShift API 서버
  • OpenShift OAuth API 서버
  • OpenShift OAuth 서버

TLS 보안 프로필이 구성되지 않은 경우 기본 TLS 보안 프로필은 Intermediate입니다.

참고

Ingress 컨트롤러의 기본 TLS 보안 프로필은 API 서버에 설정된 TLS 보안 프로필을 기반으로 합니다.

Old TLS 보안 프로파일을 구성하는 샘플 APIServer CR

apiVersion: config.openshift.io/v1
kind: APIServer
 ...
spec:
  tlsSecurityProfile:
    old: {}
    type: Old
 ...

TLS 보안 프로필은 컨트롤 플레인 구성 요소와 통신하는 데 필요한 최소 TLS 버전 및 TLS 암호를 정의합니다.

Spec.Tls Security ProfileAPIServer CR(사용자 정의 리소스)에서 구성된 TLS 보안 프로필을 확인할 수 있습니다. Custom TLS 보안 프로필의 경우 특정 암호 및 최소 TLS 버전이 나열됩니다.

참고

컨트롤 플레인은 TLS 1.3을 최소 TLS 버전으로 지원하지 않습니다. TLS 1.3이 필요하므로 Modern 프로파일은 지원되지 않습니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. 기본 APIServer CR을 편집하여 TLS 보안 프로필을 구성합니다.

    $ oc edit APIServer cluster
  2. spec.tlsSecurityProfile 필드를 추가합니다.

    Custom 프로파일의 APIServer CR 샘플

    apiVersion: config.openshift.io/v1
    kind: APIServer
    metadata:
      name: cluster
    spec:
      tlsSecurityProfile:
        type: Custom 1
        custom: 2
          ciphers: 3
          - ECDHE-ECDSA-CHACHA20-POLY1305
          - ECDHE-RSA-CHACHA20-POLY1305
          - ECDHE-RSA-AES128-GCM-SHA256
          - ECDHE-ECDSA-AES128-GCM-SHA256
          minTLSVersion: VersionTLS11

    1
    TLS 보안 프로필 유형(Old,Intermediate 또는 Custom)을 지정합니다. 기본값은 Intermediate입니다.
    2
    선택한 유형의 적절한 필드를 지정합니다.
    • old: {}
    • intermediate: {}
    • custom:
    3
    custom 유형의 경우 TLS 암호화 목록 및 최소 허용된 TLS 버전을 지정합니다.
  3. 파일을 저장하여 변경 사항을 적용합니다.

검증

  • TLS 보안 프로필이 APIServer CR에 설정되어 있는지 확인합니다.

    $ oc describe apiserver cluster

    출력 예

    Name:         cluster
    Namespace:
     ...
    API Version:  config.openshift.io/v1
    Kind:         APIServer
     ...
    Spec:
      Audit:
        Profile:  Default
      Tls Security Profile:
        Custom:
          Ciphers:
            ECDHE-ECDSA-CHACHA20-POLY1305
            ECDHE-RSA-CHACHA20-POLY1305
            ECDHE-RSA-AES128-GCM-SHA256
            ECDHE-ECDSA-AES128-GCM-SHA256
          Min TLS Version:  VersionTLS11
        Type:               Custom
     ...