3.3. Sensor, Collector, Admission Controller에 대한 내부 인증서 reissuing
센서, 수집기 및 Admission Controller는 인증서를 사용하여 서로 및 중앙 통신합니다.
인증서를 교체하려면 다음 방법 중 하나를 사용하십시오.
-
보안 클러스터에 init 번들을 생성, 다운로드 및 설치합니다. init 번들을 생성하려면
Admin사용자 역할이 있어야 합니다. -
자동 업그레이드 기능을 사용합니다. 자동 업그레이드는
roxctlCLI를 사용하는 정적 매니페스트 배포에서만 사용할 수 있습니다.
3.3.1. init 번들을 사용하여 Secured 클러스터의 내부 인증서 재구성
보안 클러스터에는 Collector, 센서 및 Admission Control 구성 요소가 포함되어 있습니다. 이러한 구성 요소는 Kubernetes 구성 요소용 다른 Red Hat Advanced Cluster Security와 통신할 때 인증을 위해 내장된 서버 인증서를 사용합니다.
RHACS 포털은 중앙 인증서가 만료될 때 정보 배너를 보여줍니다.
정보 배너는 인증서 만료일 15일 전에만 표시됩니다.
사전 요구 사항
-
인증서를 다시 발급하려면
ServiceIdentity리소스에 대한쓰기권한이 있어야 합니다.
시크릿이 포함되어 있으므로 이 번들을 안전하게 저장합니다. 여러 보안 클러스터에서 동일한 번들을 사용할 수 있습니다. init 번들을 생성하려면 Admin 사용자 역할이 있어야 합니다.
절차
RHACS 포털을 사용하여 init 번들을 생성하려면 다음을 수행합니다.
- 플랫폼 구성 → 클러스터를 선택합니다.
- 토큰 관리를 클릭합니다.
- 인증 토큰 섹션으로 이동하여 Cluster Init Bundle 을 클릭합니다.
- 번들 생성을 클릭합니다.
- 클러스터 init 번들의 이름을 입력하고 생성을 클릭합니다.
- 생성된 번들을 다운로드하려면 Kubernetes 시크릿 파일 다운로드를 클릭합니다.
roxctlCLI를 사용하여 init 번들을 생성하려면 다음 명령을 실행합니다.$ roxctl -e <endpoint> -p <admin_password> central init-bundle generate <bundle_name> --output-secrets init-bundle.yaml
다음 단계
보안된 각 클러스터에서 필요한 리소스를 생성하려면 다음 명령을 실행합니다.
$ oc -n stackrox apply -f <init-bundle.yaml>
3.3.2. 자동 업그레이드를 사용하여 보안 클러스터의 내부 인증서 복구
자동 업그레이드를 사용하여 센서, 수집기, Admission 컨트롤러에 대한 내부 인증서를 다시 실행할 수 있습니다.
자동 업그레이드는 roxctl CLI를 사용하는 정적 매니페스트 기반 배포에만 적용됩니다. 설치 장의 "Roxctl CLI를 사용하여 설치" 섹션의 " Installing Central"을 참조하십시오.
사전 요구 사항
- 모든 클러스터에 대해 자동 업그레이드를 활성화해야 합니다.
-
인증서를 다시 발급하려면
ServiceIdentity리소스에 대한쓰기권한이 있어야 합니다.
절차
- RHACS 포털에서 플랫폼 구성 → 클러스터로 이동합니다.
- 클러스터 보기에서 클러스터를 선택하여 세부 정보를 확인합니다.
- 클러스터 세부 정보 패널에서 자동 업그레이드를 사용하여 인증 정보 적용 링크를 선택합니다.
자동 업그레이드를 적용하면 Red Hat Advanced Cluster Security for Kubernetes가 선택한 클러스터에 새 인증 정보를 생성합니다. 그러나 알림은 계속 표시됩니다. 서비스를 다시 시작한 후 각 Red Hat Advanced Cluster Security for Kubernetes 서비스가 새 인증 정보를 사용하기 시작하면 알림이 사라집니다.
