1장. OpenShift Container Storage 배포 준비
동적 스토리지 장치를 사용하여 OpenShift Container Platform에 OpenShift Container Storage를 배포하면 내부 클러스터 리소스를 생성할 수 있는 옵션이 제공됩니다. 이렇게 하면 기본 서비스가 내부 프로비저닝되므로 애플리케이션에서 추가 스토리지 클래스를 사용할 수 있습니다.
Red Hat OpenShift Container Storage 배포를 시작하기 전에 다음 단계를 따르십시오.
- chrony 서버를 설정합니다. chrony 타임 서비스 구성을 참조하고 지식베이스 솔루션을 사용하여 모든 트래픽을 허용하는 규칙을 만듭니다.
선택 사항: 외부 키 관리 시스템(KMS)을 사용하여 클러스터 전체 암호화를 활성화하려면 다음을 수행합니다.
- 토큰이 있고 Vault에서 키 값 백엔드 경로가 활성화되어 있는지 확인합니다. Vault에서 키 값 백엔드 경로 및 정책 활성화를 참조하십시오.
- Vault 서버에서 서명된 인증서를 사용하고 있는지 확인합니다.
최소 노드 시작 요구 사항 [기술 프리뷰]
표준 배포 리소스 요구 사항이 충족되지 않은 경우 OpenShift Container Storage 클러스터는 최소 구성으로 배포됩니다. 계획 가이드의 리소스 요구 사항 섹션을 참조하십시오.
1.1. Vault에서 키 값 백엔드 경로 및 정책 활성화
사전 요구 사항
- Vault에 대한 관리자 액세스 권한이 있어야 합니다.
-
나중에 변경할 수 없기 때문에 이름 지정 규칙을 따르는 백엔드
경로로
고유한 경로 이름을 선택합니다.
절차
Vault에서 KV(Key/Value) 백엔드 경로를 활성화합니다.
Vault KV 시크릿 엔진 API의 경우 버전 1:
$ vault secrets enable -path=ocs kv
Vault KV 시크릿 엔진 API의 경우 버전 2:
$ vault secrets enable -path=ocs kv-v2
다음 명령을 사용하여 시크릿에서 쓰기 또는 삭제 작업을 수행하도록 사용자를 제한하는 정책을 생성합니다.
echo ' path "ocs/*" { capabilities = ["create", "read", "update", "delete", "list"] } path "sys/mounts" { capabilities = ["read"] }'| vault policy write ocs -
위 정책과 일치하는 토큰을 생성합니다.
$ vault token create -policy=ocs -format json