5.2. 영구 볼륨 암호화를 위한 스토리지 클래스 생성
PV(영구 볼륨) 암호화는 테넌트(애플리케이션) 간의 격리 및 기밀성을 보장합니다. PV 암호화를 사용하려면 PV 암호화의 스토리지 클래스를 생성해야 합니다.
OpenShift Data Foundation은 HashiCorp Vault에 암호화 암호 저장을 지원합니다. 다음 절차에 따라 영구 볼륨 암호화를 위해 외부 키 관리 시스템(KMS)을 사용하여 활성화된 암호화 스토리지 클래스를 생성합니다. 영구 볼륨 암호화는 RBD PV에서만 사용할 수 있습니다. 두 가지 방법으로 KMS에 대한 액세스를 구성할 수 있습니다.
-
vaulttokens사용 : 사용자가 토큰을 사용하여 인증할 수 있음 -
vaulttenantsa(기술 프리뷰) 사용: 사용자가 serviceaccounts를 사용하여 Vault로 인증할 수 있습니다.
vaulttenantsa 를 사용하여 KMS에 액세스하는 것은 기술 프리뷰 기능입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
스토리지 클래스 생성 절차에 따라 사용 사례의 관련 사전 요구 사항 섹션을 참조하십시오.
5.2.1. vaulttokens사용 사전 요구 사항
-
OpenShift Data Foundation 클러스터는
Ready상태입니다. 외부 키 관리 시스템 (KMS)
- 토큰이 있고 Vault에서 키 값 백엔드 경로가 활성화되어 있는지 확인합니다. 자세한 내용은 Vault에서 키 값 및 정책 활성화를 참조하십시오.
- Vault 서버에서 서명된 인증서를 사용하고 있는지 확인합니다.
다음과 같이 테넌트의 네임스페이스에 보안을 생성합니다.
- OpenShift Container Platform 웹 콘솔에서 워크로드 → 시크릿 으로 이동합니다.
- 생성 → 키/값 시크릿을 클릭합니다.
-
Secret Name 을
ceph-csi-kms-token으로 입력합니다. -
Key 를
토큰으로입력합니다. - Value 를 입력합니다. Vault의 토큰입니다. 찾아보기 를 클릭하여 토큰이 포함된 파일을 선택하고 업로드하거나 텍스트 상자에 직접 토큰을 입력할 수 있습니다.
- 생성을 클릭합니다.
토큰은 ceph-csi-kms-token 을 사용하는 모든 암호화된 PVC가 삭제된 경우에만 삭제할 수 있습니다.
다음으로 5.2.3절. “PV 암호화용 스토리지 클래스 생성 절차” 의 단계를 따르십시오.