2.2. 영구 볼륨 암호화의 스토리지 클래스

PV(영구 볼륨) 암호화를 통해 테넌트(애플리케이션) 간 격리 및 기밀성이 보장됩니다. PV 암호화를 사용하려면 PV 암호화를 위한 스토리지 클래스를 생성해야 합니다. 영구 볼륨 암호화는 RBD PV에서만 사용할 수 있습니다.

OpenShift Data Foundation은 HashiCorp Vault에 암호화 암호를 저장할 수 있도록 지원합니다. 영구 볼륨 암호화에 외부 키 관리 시스템(KMS)을 사용하여 활성화된 스토리지 클래스를 생성할 수 있습니다. 스토리지 클래스를 생성하기 전에 KMS에 대한 액세스를 구성해야 합니다.

참고

PV 암호화의 경우 유효한 Red Hat OpenShift Data Foundation Advanced 서브스크립션이 있어야합니다. 자세한 내용은 OpenShift Data Foundation 서브스크립션에 대한 지식베이스 문서 를 참조하십시오.

2.2.1. 키 관리 시스템 (KMS)에 대한 액세스 구성

사용 사례에 따라 다음 방법 중 하나를 사용하여 KMS에 대한 액세스를 구성해야 합니다.

  • vaulttokens:를 사용하면 사용자가 토큰을 사용하여 인증할 수 있습니다.
  • vaulttenantsa 사용(기술 프리뷰): 사용자가 serviceaccounts 를 사용하여 Vault로 인증할 수 있습니다.
중요

vaulttenantsa 를 사용하여 KMS에 액세스하는 것은 기술 프리뷰 기능입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

2.2.1.1. vaulttokens를 사용하여 KMS에 대한 액세스 구성

사전 요구 사항

  • OpenShift Data Foundation 클러스터는 Ready 상태에 있습니다.
  • 외부 키 관리 시스템 (KMS)에서 다음을 수행합니다.

    • 토큰이 있는 정책이 존재하고 Vault 의 키 값 백엔드 경로가 활성화되었는지 확인합니다.
    • Vault 서버에서 서명된 인증서를 사용하고 있는지 확인합니다.

절차

테넌트의 네임스페이스에 보안을 생성합니다.

  1. OpenShift Container Platform 웹 콘솔에서 워크로드 → 시크릿 으로 이동합니다.
  2. 생성 → 키/값 시크릿 을 클릭합니다.
  3. Secret Nameceph-csi-kms-token 로 입력합니다.
  4. Key토큰 으로 입력합니다.
  5. 값을 입력합니다.

    Vault의 토큰입니다. 찾아보기 를 클릭하여 토큰이 포함된 파일을 선택하고 업로드하거나 텍스트 상자에 토큰을 직접 입력할 수 있습니다.

  6. 생성을 클릭합니다.
참고

토큰은 ceph-csi-kms-token 을 사용하여 암호화된 모든 PVC를 삭제한 경우에만 삭제할 수 있습니다.

2.2.1.2. vaulttenantsa를 사용하여 KMS에 대한 액세스 구성

사전 요구 사항

  • OpenShift Data Foundation 클러스터는 Ready 상태에 있습니다.
  • 외부 키 관리 시스템 (KMS)에서 다음을 수행합니다.

    • 정책이 존재하고 Vault에 키 값 백엔드 경로가 활성화되어 있는지 확인합니다.
    • Vault 서버에서 서명된 인증서를 사용하고 있는지 확인합니다.
  • 다음과 같이 테넌트 네임스페이스에 다음 serviceaccount를 생성합니다.

    $ cat <<EOF | oc create -f -
    apiVersion: v1
    kind: ServiceAccount
    metadata:
        name: ceph-csi-vault-sa
    EOF

절차

OpenShift Data Foundation에서 Vault 로 인증하고 시작하기 전에 Kubernetes 인증 방법을 구성해야 합니다. 다음 명령은 OpenShift Data Foundation이 Vault 로 인증할 수 있도록 serviceAccount,ClusterRoleClusterRoleBinding 을 생성하고 구성합니다.

  1. 다음 YAML을 Openshift 클러스터에 적용합니다.

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: rbd-csi-vault-token-review
    ---
    kind: ClusterRole
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      name: rbd-csi-vault-token-review
    rules:
      - apiGroups: ["authentication.k8s.io"]
        resources: ["tokenreviews"]
        verbs: ["create", "get", "list"]
    
    ---
    kind: ClusterRoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      name: rbd-csi-vault-token-review
    subjects:
      - kind: ServiceAccount
        name: rbd-csi-vault-token-review
        namespace: openshift-storage
    roleRef:
      kind: ClusterRole
      name: rbd-csi-vault-token-review
      apiGroup: rbac.authorization.k8s.io
  2. serviceaccount 토큰 및 CA 인증서에 대한 시크릿을 생성합니다.

    $ cat <<EOF | oc create -f -
    apiVersion: v1
    kind: Secret
    metadata:
      name: rbd-csi-vault-token-review-token
      namespace: openshift-storage
      annotations:
        kubernetes.io/service-account.name: "rbd-csi-vault-token-review"
    type: kubernetes.io/service-account-token
    data: {}
    EOF
  3. 시크릿에서 토큰 및 CA 인증서를 가져옵니다.

    $ SA_JWT_TOKEN=$(oc -n openshift-storage get secret rbd-csi-vault-token-review-token -o jsonpath="{.data['token']}" | base64 --decode; echo)
    $ SA_CA_CRT=$(oc -n openshift-storage get secret rbd-csi-vault-token-review-token -o jsonpath="{.data['ca\.crt']}" | base64 --decode; echo)
  4. OpenShift 클러스터 끝점을 검색합니다.

    $ OCP_HOST=$(oc config view --minify --flatten -o jsonpath="{.clusters[0].cluster.server}")
  5. 이전 단계에서 수집한 정보를 사용하여 다음과 같이 Vault에서 kubernetes 인증 방법을 설정합니다.

    $ vault auth enable kubernetes
    $ vault write auth/kubernetes/config \
              token_reviewer_jwt="$SA_JWT_TOKEN" \
              kubernetes_host="$OCP_HOST" \
              kubernetes_ca_cert="$SA_CA_CRT"
  6. 테넌트 네임스페이스의 Vault에서 역할을 생성합니다.

    $ vault write "auth/kubernetes/role/csi-kubernetes" bound_service_account_names="ceph-csi-vault-sa" bound_service_account_namespaces=<tenant_namespace> policies=<policy_name_in_vault>

    CSI-kubernetes 는 OpenShift Data Foundation이 Vault에서 찾는 기본 역할 이름입니다. OpenShift Data Foundation 클러스터의 테넌트 네임스페이스의 기본 서비스 계정 이름은 ceph-csi-vault-sa 입니다. 이러한 기본값은 테넌트 네임스페이스에서 ConfigMap을 생성하여 덮어쓸 수 있습니다.

    기본 이름을 재정의하는 방법에 대한 자세한 내용은 테넌트 ConfigMap을 사용하여 Vault 연결 세부 정보 확장을 참조하십시오.

샘플 YAML

  • PVencrytpion에 vaulttenantsa 방법을 사용하는 스토리지 클래스를 생성하려면 기존 ConfigMap을 편집하거나 Vault와의 연결을 설정하는 데 필요한 모든 정보를 보유하는 csi-kms-connection-details 라는 ConfigMap을 생성해야 합니다.

    아래에 제공된 샘플 yaml을 사용하여 csi-kms-connection-detail ConfigMap을 업데이트하거나 생성할 수 있습니다.

    apiVersion: v1
    data:
      vault-tenant-sa: |-
        {
          "encryptionKMSType": "vaulttenantsa",
          "vaultAddress": "<https://hostname_or_ip_of_vault_server:port>",
          "vaultTLSServerName": "<vault TLS server name>",
          "vaultAuthPath": "/v1/auth/kubernetes/login",
          "vaultAuthNamespace": "<vault auth namespace name>"
          "vaultNamespace": "<vault namespace name>",
          "vaultBackendPath": "<vault backend path name>",
          "vaultCAFromSecret": "<secret containing CA cert>",
          "vaultClientCertFromSecret": "<secret containing client cert>",
          "vaultClientCertKeyFromSecret": "<secret containing client private key>",
          "tenantSAName": "<service account name in the tenant namespace>"
        }
    metadata:
      name: csi-kms-connection-details

    encryptionKMSType

    자격 증명 모음을 사용한 인증에 서비스 계정을 사용하려면 vaulttenantsa 로 설정합니다.

    vaultAddress

    포트 번호를 사용하여 자격 증명 모음 서버의 호스트 이름 또는 IP 주소입니다.

    vaultTLSServerName

    (선택 사항) 자격 증명 모음 TLS 서버 이름입니다.

    vaultAuthPath

    (선택 사항) Vault에서 kubernetes auth 방법이 활성화된 경로입니다. 기본 경로는 kubernetes 입니다. kubernetes 이외의 다른 경로에서 auth 방법을 활성화하면 이 변수를 "/v1/auth/<path>/login" 으로 설정해야 합니다.

    vaultAuthNamespace

    (선택 사항) kubernetes auth 방법이 활성화된 Vault 네임스페이스입니다.

    vaultNamespace

    (선택 사항) 키를 저장하는 데 사용되는 백엔드 경로가 존재하는 Vault 네임스페이스

    vaultBackendPath

    암호화 키가 저장되는 Vault의 백엔드 경로

    vaultCAFromSecret

    Vault에서 CA 인증서가 포함된 OpenShift Data Foundation 클러스터의 시크릿

    vaultClientCertFromSecret

    Vault의 클라이언트 인증서가 포함된 OpenShift Data Foundation 클러스터의 시크릿

    vaultClientCertKeyFromSecret

    Vault의 클라이언트 개인 키가 포함된 OpenShift Data Foundation 클러스터의 시크릿

    tenantSAName

    (선택 사항) 테넌트 네임스페이스의 서비스 계정 이름입니다. 기본값은 ceph-csi-vault-sa 입니다. 다른 이름을 사용해야 하는 경우 이 변수를 적절하게 설정해야 합니다.

2.2.2. 영구 볼륨 암호화를 위한 스토리지 클래스 생성

사전 요구 사항

사용 사례에 따라 다음 중 하나에 대해 KMS에 대한 액세스를 구성해야 합니다.

절차

  1. OpenShift 웹 콘솔에서 스토리지StorageClasses 로 이동합니다.
  2. 스토리지 클래스 생성을 클릭합니다.
  3. 스토리지 클래스 이름설명을 입력합니다.
  4. Reclaim Policy (폐기 정책)에 대해 Delete 또는 Retain 을 선택합니다. 기본적으로 삭제 가 선택됩니다.
  5. 볼륨 바인딩 모드로 Immediate 또는 WaitForFirstConsumer 를 선택합니다. WaitForConsumer 가 기본 옵션으로 설정됩니다.
  6. 영구 볼륨 프로비저닝에 사용되는 플러그인인 RBD Provisioner openshift-storage.rbd.csi.ceph.com 을 선택합니다.
  7. 목록에서 볼륨 데이터가 저장된 Storage Pool 을 선택하거나 새 풀을 생성합니다.
  8. Enable encryption (암호 암호화 활성화) 확인란을 선택합니다. KMS 연결 세부 정보를 설정하는 데 사용할 수 있는 두 가지 옵션이 있습니다.

    • 기존 KMS 연결 선택: 드롭다운 목록에서 기존 KMS 연결을 선택합니다. 목록은 csi-kms-connection-details ConfigMap에서 사용 가능한 연결 세부 정보에서 채워집니다.
    • 새 KMS 연결 생성: 이는 vaulttokens 에만 적용됩니다.

      1. 키 관리 서비스 공급자는 기본적으로 Vault로 설정됩니다.
      2. Vault 서버의 고유한 연결 이름, 호스트 주소 ('https://<hostname 또는 ip>'), 포트 번호 및 토큰을 입력합니다.
      3. 고급 설정을 확장하여 Vault 구성에 따라 추가 설정 및 인증서 세부 정보를 입력합니다.

        1. OpenShift Data Foundation 전용 및 고유한 백엔드 경로에 키 값 시크릿 경로를 입력합니다.
        2. 선택 사항: TLS 서버 이름Vault 엔터프라이즈 네임스페이스를 입력합니다.
        3. 각 PEM 인코딩 인증서 파일을 업로드하여 CA 인증서,클라이언트 인증서클라이언트 개인 키를 제공합니다.
        4. 저장을 클릭합니다.
      4. 저장을 클릭합니다.
  9. 생성을 클릭합니다.
  10. HashiCorp Vault 설정에서 백엔드 경로에서 사용하는 KV(Key/Value) 시크릿 엔진 API 버전을 자동으로 탐지하지 않는 경우 ConfigMap을 편집하여 vaultBackend 매개변수를 추가합니다.

    참고

    vaultBackend 는 configmap에 추가된 선택적 매개변수로 백엔드 경로와 연결된 KV 시크릿 엔진 API 버전을 지정합니다. 값이 백엔드 경로에 설정된 KV 시크릿 엔진 API 버전과 일치하는지 확인합니다. 그러지 않으면 PVC(영구 볼륨 클레임) 생성 중에 실패할 수 있습니다.

    1. 새로 생성된 스토리지 클래스에서 사용 중인 암호화KMSID를 식별합니다.

      1. OpenShift 웹 콘솔에서 스토리지 → 스토리지 클래스 로 이동합니다.
      2. 스토리지 클래스 이름 → YAML 탭을 클릭합니다.
      3. 스토리지 클래스에서 사용 중인 암호화KMSID 를 캡처합니다.

        예제:

        encryptionKMSID: 1-vault
    2. OpenShift 웹 콘솔에서 워크로드ConfigMaps 로 이동합니다.
    3. KMS 연결 세부 정보를 보려면 csi-kms-connection-details 를 클릭합니다.
    4. ConfigMap을 편집합니다.

      1. 작업 메뉴 (SAML) → ConfigMap 편집 을 클릭합니다.
      2. 이전에 식별한 암호화KMSID 에 구성된 백엔드에 따라 vaultBackend 매개변수를 추가합니다.

        KV 시크릿 엔진 API, 버전 1 및 kv -v2 를 KV 시크릿 엔진 API, 버전 2에 할당할 수 있습니다.

        예제:

         kind: ConfigMap
         apiVersion: v1
         metadata:
           name: csi-kms-connection-details
         [...]
         data:
           1-vault: |-
             {
               "encryptionKMSType": "vaulttokens",
               "kmsServiceName": "1-vault",
               [...]
               "vaultBackend": "kv-v2"
             }
           2-vault: |-
             {
               "encryptionKMSType": "vaulttenantsa",
               [...]
               "vaultBackend": "kv"
             }
      3. 저장을 클릭합니다.

다음 단계

  • 스토리지 클래스를 사용하여 암호화된 영구 볼륨을 만들 수 있습니다. 자세한 내용은 영구 볼륨 클레임 관리를 참조하십시오.

    중요

    Red Hat은 이 문서를 고객에게 서비스로 제공하기 위해 기술 파트너와 협력합니다. 그러나 Red Hat은 HashiCorp 제품을 지원하지 않습니다. 이 제품에 대한 기술 지원은 HashiCorp 에 문의하십시오.

2.2.2.1. 테넌트 ConfigMap을 사용하여 Vault 연결 세부 정보 덮어쓰기

openshift-storage 네임스페이스의 csi-kms-connection-details ConfigMap에 설정된 값과 다른 구성 옵션을 사용하여 Openshift 네임스페이스에서 ConfigMap을 생성하여 테넌트별로 자격 증명 모음 연결 세부 정보를 구성할 수 있습니다. ConfigMap은 테넌트 네임스페이스에 있어야 합니다. 테넌트 네임스페이스의 ConfigMap의 값은 해당 네임스페이스에 생성된 암호화된 영구 볼륨의 csi-kms-connection-details ConfigMap에 설정된 값을 재정의합니다.

절차

  1. 테넌트 네임스페이스에 있는지 확인합니다.
  2. 워크로드 → ConfigMap을 클릭합니다.
  3. ConfigMap 생성을 클릭합니다.
  4. 다음은 샘플 yaml입니다. 지정된 테넌트 네임스페이스에 대해 덮어쓸 값은 아래 표시된 대로 data 섹션에서 지정할 수 있습니다.

    ---
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: ceph-csi-kms-config
    data:
      vaultAddress: "<vault_address:port>"
      vaultBackendPath: "<backend_path>"
      vaultTLSServerName: "<vault_tls_server_name>"
      vaultNamespace: "<vault_namespace>"
  5. yaml을 편집한 후 생성을 클릭합니다.