7장. S3 끝점 간 SSL 액세스 구성
s3 끝점 간 네트워크(SSL) 액세스를 구성하여 오브젝트 버킷에 대한 액세스를 검증하기 위해 Hub 클러스터에서 MCG 오브젝트 버킷 의 대체 클러스터에 메타데이터를 저장할 수 있습니다.
환경에 대해 서명된 유효한 인증서 세트를 사용하여 모든 OpenShift 클러스터를 배포하는 경우 이 섹션을 건너뛸 수 있습니다.
절차
기본 관리 클러스터의 수신 인증서를 추출하고 출력을
primary.crt에 저장합니다.$ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > primary.crtSecondary 관리 클러스터의 수신 인증서를 추출하고 출력을
secondary.crt에 저장합니다.$ oc get cm default-ingress-cert -n openshift-config-managed -o jsonpath="{['data']['ca-bundle\.crt']}" > secondary.crt기본 관리 클러스터 ,Secondary 관리 클러스터 , Hub 클러스터의 파일 이름
cm-clusters-crt.yaml로 원격 클러스터 의 인증서 번들을 보관할 새 ConfigMap 을 만듭니다.참고이 예제 파일에 표시된 대로 각 클러스터에 대해 인증서가 3개 미만일 수 있습니다. 또한 이전에 생성된
primary.crt및secondary.crt파일에서 복사하여 붙여넣은 후 인증서 콘텐츠의 들여쓰기가 올바른지 확인합니다.apiVersion: v1 data: ca-bundle.crt: | -----BEGIN CERTIFICATE----- <copy contents of cert1 from primary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert2 from primary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert3 primary.crt here> -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- <copy contents of cert1 from secondary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert2 from secondary.crt here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <copy contents of cert3 from secondary.crt here> -----END CERTIFICATE----- kind: ConfigMap metadata: name: user-ca-bundle namespace: openshift-config기본 관리 클러스터,보조 관리 클러스터 및 Hub 클러스터에 ConfigMap 파일을 만듭니다.
$ oc create -f cm-clusters-crt.yaml
출력 예:
configmap/user-ca-bundle created
중요Hub 클러스터에서 DRPolicy 리소스를 사용하여 오브젝트 버킷에 대한 액세스 권한을 확인하려면 Hub 클러스터에서 동일한 ConfigMap
cm-clusters-crt.yaml도 생성해야 합니다.기본 관리 클러스터,보조 관리 클러스터 및 Hub 클러스터에서 기본 프록시 리소스를 패치합니다.
$ oc patch proxy cluster --type=merge --patch='{"spec":{"trustedCA":{"name":"user-ca-bundle"}}}'출력 예:
proxy.config.openshift.io/cluster patched