7장. S3 끝점 간 SSL 액세스 구성

s3 끝점 간 네트워크(SSL) 액세스를 구성하여 오브젝트 버킷에 대한 액세스를 검증하기 위해 Hub 클러스터에서 MCG 오브젝트 버킷 의 대체 클러스터에 메타데이터를 저장할 수 있습니다.

참고

환경에 대해 서명된 유효한 인증서 세트를 사용하여 모든 OpenShift 클러스터를 배포하는 경우 이 섹션을 건너뛸 수 있습니다.

절차

  1. 기본 관리 클러스터의 수신 인증서를 추출하고 출력을 primary.crt 에 저장합니다.

    $ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > primary.crt
  2. Secondary 관리 클러스터의 수신 인증서를 추출하고 출력을 secondary.crt 에 저장합니다.

    $ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > secondary.crt
  3. 기본 관리 클러스터 ,Secondary 관리 클러스터 , Hub 클러스터의 파일 이름 cm-clusters-crt.yaml 로 원격 클러스터 의 인증서 번들을 보관할 새 ConfigMap 을 만듭니다.

    참고

    이 예제 파일에 표시된 대로 각 클러스터에 대해 인증서가 3개 미만일 수 있습니다. 또한 이전에 생성된 primary.crtsecondary.crt 파일에서 복사하여 붙여넣은 후 인증서 콘텐츠의 들여쓰기가 올바른지 확인합니다.

    apiVersion: v1
    data:
      ca-bundle.crt: |
        -----BEGIN CERTIFICATE-----
        <copy contents of cert1 from primary.crt here>
        -----END CERTIFICATE-----
    
        -----BEGIN CERTIFICATE-----
        <copy contents of cert2 from primary.crt here>
        -----END CERTIFICATE-----
    
        -----BEGIN CERTIFICATE-----
        <copy contents of cert3 primary.crt here>
        -----END CERTIFICATE----
    
        -----BEGIN CERTIFICATE-----
        <copy contents of cert1 from secondary.crt here>
        -----END CERTIFICATE-----
    
        -----BEGIN CERTIFICATE-----
        <copy contents of cert2 from secondary.crt here>
        -----END CERTIFICATE-----
    
        -----BEGIN CERTIFICATE-----
        <copy contents of cert3 from secondary.crt here>
        -----END CERTIFICATE-----
    kind: ConfigMap
    metadata:
      name: user-ca-bundle
      namespace: openshift-config
  4. 기본 관리 클러스터,보조 관리 클러스터Hub 클러스터에 ConfigMap 파일을 만듭니다.

    $ oc create -f cm-clusters-crt.yaml

    출력 예:

    configmap/user-ca-bundle created
    중요

    Hub 클러스터에서 DRPolicy 리소스를 사용하여 오브젝트 버킷에 대한 액세스 권한을 확인하려면 Hub 클러스터에서 동일한 ConfigMap cm-clusters-crt.yaml 도 생성해야 합니다.

  5. 기본 관리 클러스터,보조 관리 클러스터Hub 클러스터에서 기본 프록시 리소스를 패치합니다.

    $ oc patch proxy cluster --type=merge  --patch='{"spec":{"trustedCA":{"name":"user-ca-bundle"}}}'

    출력 예:

    proxy.config.openshift.io/cluster patched