Menu Close

9.2. TLS 보안 프로필 세부 정보 보기

다음 각 구성 요소에 대해 사전 정의된 TLS 보안 프로필의 최소 TLS 버전 및 암호를 볼 수 있습니다. Ingress 컨트롤러, 컨트롤 플레인 및 kubelet

중요

프로필에 대한 최소 TLS 버전 및 암호 목록의 효과적인 구성은 구성 요소마다 다를 수 있습니다.

절차

  • 특정 TLS 보안 프로필의 세부 정보를 확인합니다.

    $ oc explain <component>.spec.tlsSecurityProfile.<profile> 1
    1
    <component>에 대해 ingresscontroller,apiserver 또는 kubeletconfig를 지정합니다. <profile>에 대해 old, intermediate, custom을 지정합니다.

    예를 들어 컨트롤 플레인의 intermediate 프로필에 포함된 암호를 확인하려면 다음을 수행합니다.

    $ oc explain apiserver.spec.tlsSecurityProfile.intermediate

    출력 예

    KIND:     APIServer
    VERSION:  config.openshift.io/v1
    
    DESCRIPTION:
        intermediate is a TLS security profile based on:
        https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29
        and looks like this (yaml):
        ciphers: - TLS_AES_128_GCM_SHA256 - TLS_AES_256_GCM_SHA384 -
        TLS_CHACHA20_POLY1305_SHA256 - ECDHE-ECDSA-AES128-GCM-SHA256 -
        ECDHE-RSA-AES128-GCM-SHA256 - ECDHE-ECDSA-AES256-GCM-SHA384 -
        ECDHE-RSA-AES256-GCM-SHA384 - ECDHE-ECDSA-CHACHA20-POLY1305 -
        ECDHE-RSA-CHACHA20-POLY1305 - DHE-RSA-AES128-GCM-SHA256 -
        DHE-RSA-AES256-GCM-SHA384 minTLSVersion: TLSv1.2

  • 구성 요소의 tlsSecurityProfile 필드에 대한 모든 세부 정보를 확인합니다.

    $ oc explain <component>.spec.tlsSecurityProfile 1
    1
    <component>에 대해 ingresscontroller,apiserver 또는 kubeletconfig를 지정합니다.

    예를 들어 Ingress 컨트롤러의 tlsSecurityProfile 필드의 모든 세부 정보를 확인하려면 다음을 수행합니다.

    $ oc explain ingresscontroller.spec.tlsSecurityProfile

    출력 예

    KIND:     IngressController
    VERSION:  operator.openshift.io/v1
    
    RESOURCE: tlsSecurityProfile <Object>
    
    DESCRIPTION:
         ...
    
    FIELDS:
       custom	<>
         custom is a user-defined TLS security profile. Be extremely careful using a
         custom profile as invalid configurations can be catastrophic. An example
         custom profile looks like this:
         ciphers: - ECDHE-ECDSA-CHACHA20-POLY1305 - ECDHE-RSA-CHACHA20-POLY1305 -
         ECDHE-RSA-AES128-GCM-SHA256 - ECDHE-ECDSA-AES128-GCM-SHA256 minTLSVersion:
         TLSv1.1
    
       intermediate	<>
         intermediate is a TLS security profile based on:
         https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29
         and looks like this (yaml):
         ... 1
    
       modern	<>
         modern is a TLS security profile based on:
         https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility and
         looks like this (yaml):
         ... 2
         NOTE: Currently unsupported.
    
       old	<>
         old is a TLS security profile based on:
         https://wiki.mozilla.org/Security/Server_Side_TLS#Old_backward_compatibility
         and looks like this (yaml):
         ... 3
    
       type	<string>
         ...

    1
    여기에서는 intermediate 프로필의 암호 및 최소 버전을 나열합니다.
    2
    modern 프로필의 암호 및 최소 버전을 나열합니다.
    3
    old 프로필의 암호 및 최소 버전을 여기에서 나열합니다.