네트워킹

Red Hat OpenShift Service on AWS 4

AWS 네트워킹에서 Red Hat OpenShift Service 구성

Red Hat OpenShift Documentation Team

초록

이 문서에서는 ROSA(Red Hat OpenShift Service on AWS) 클러스터의 네트워킹에 대한 정보를 제공합니다.

1장. AWS의 Red Hat OpenShift Service의 DNS Operator

DNS Operator는 CoreDNS를 배포 및 관리하여 Pod에 이름 확인 서비스를 제공하여 AWS의 Red Hat OpenShift Service에서 DNS 기반 Kubernetes 서비스 검색을 활성화합니다.

1.1. DNS 전달 사용

DNS 전달을 사용하여 다음과 같은 방법으로 /etc/resolv.conf 파일의 기본 전달 구성을 덮어쓸 수 있습니다.

  • 모든 영역의 이름 서버를 지정합니다. 전달된 영역이 AWS의 Red Hat OpenShift Service에서 관리하는 Ingress 도메인인 경우 도메인에 대한 업스트림 이름 서버를 인증해야 합니다.

    중요

    하나 이상의 영역을 지정해야 합니다. 그렇지 않으면 클러스터가 기능을 손실할 수 있습니다.

  • 업스트림 DNS 서버 목록을 제공합니다.
  • 기본 전달 정책을 변경합니다.
참고

기본 도메인의 DNS 전달 구성에는 /etc/resolv.conf 파일과 업스트림 DNS 서버에 지정된 기본 서버가 모두 있을 수 있습니다.

프로세스

  1. 이름이 default인 DNS Operator 오브젝트를 수정합니다. 

    $ oc edit dns.operator/default

    이전 명령을 실행한 후 Operator는 서버를 기반으로 추가 서버 구성 블록을 사용하여 dns-default 라는 구성 맵을 생성하고 업데이트합니다.

    중요

    zones 매개 변수의 값을 지정할 때 인트라넷과 같은 특정 영역으로만 전달해야 합니다. 하나 이상의 영역을 지정해야 합니다. 그렇지 않으면 클러스터가 기능을 손실할 수 있습니다.

    서버에 쿼리와 일치하는 영역이 없는 경우 이름 확인은 업스트림 DNS 서버로 대체됩니다.

    DNS 전달 구성

    apiVersion: operator.openshift.io/v1
kind: DNS
metadata:
  name: default
spec:
  servers:
  - name: example-server 1
    zones: 2
    - example.com
    forwardPlugin:
      policy: Random 3
      upstreams: 4
      - 1.1.1.1
      - 2.2.2.2:5353
  upstreamResolvers: 5
    policy: Random 6
    upstreams: 7
    - type: SystemResolvConf 8
    - type: Network
      address: 1.2.3.4 9
      port: 53 10

    1
    rfc6335 서비스 이름 구문을 준수해야 합니다.
    2
    rfc1123 서비스 이름 구문의 하위 도메인 정의를 준수해야 합니다. 클러스터 도메인인 cluster.localzones 필드에 대해 유효하지 않은 하위 도메인입니다.
    3
    업스트림 리졸버를 선택하는 정책을 정의합니다. 기본값은 Random 입니다. RoundRobinSequential 값을 사용할 수도 있습니다.
    4
    forwardPlugin당 최대 15개의 업스트림이 허용됩니다.
    5
    선택 사항: 이를 사용하여 기본 정책을 재정의하고 기본 도메인의 지정된 DNS 확인자(업스트림 확인자)로 DNS 확인을 전달할 수 있습니다. 업스트림 확인자를 제공하지 않으면 DNS 이름 쿼리는 /etc/resolv.conf 의 서버로 이동합니다.
    6
    쿼리용으로 선택한 업스트림 서버의 순서를 결정합니다. 이러한 값 중 하나를 지정할 수 있습니다. Random,RoundRobin 또는 Sequential. 기본값은 Sequential 입니다.
    7
    선택 사항: 이를 사용하여 업스트림 리졸버를 제공할 수 있습니다.
    8
    두 가지 유형의 업스트림 ( SystemResolvConfNetwork )을 지정할 수 있습니다. SystemResolvConf/etc/resolv.conf 를 사용하도록 업스트림을 구성하고 NetworkNetworkresolver 를 정의합니다. 하나 또는 둘 다를 지정할 수 있습니다.
    9
    지정된 유형이 Network 인 경우 IP 주소를 제공해야 합니다. address 필드는 유효한 IPv4 또는 IPv6 주소여야 합니다.
    10
    지정된 유형이 네트워크 인 경우 선택적으로 포트를 제공할 수 있습니다. port 필드에는 1 에서 65535 사이의 값이 있어야 합니다. 업스트림에 대한 포트를 지정하지 않으면 기본적으로 포트 853이 시도됩니다.

  2. 선택 사항: 고도로 규제된 환경에서 작업할 때 추가 DNS 트래픽 및 데이터 개인 정보를 보장할 수 있도록 요청을 업스트림 해석기로 전달할 때 DNS 트래픽을 보호할 수 있는 기능이 필요할 수 있습니다.

    중요

    zones 매개 변수의 값을 지정할 때 인트라넷과 같은 특정 영역으로만 전달해야 합니다. 하나 이상의 영역을 지정해야 합니다. 그렇지 않으면 클러스터가 기능을 손실할 수 있습니다.

    클러스터 관리자는 전달된 DNS 쿼리에 대해 TLS(전송 계층 보안)를 구성할 수 있습니다.

    TLS를 사용하여 DNS 전달 구성

    apiVersion: operator.openshift.io/v1
kind: DNS
metadata:
  name: default
spec:
  servers:
  - name: example-server 1
    zones: 2
    - example.com
    forwardPlugin:
      transportConfig:
        transport: TLS 3
        tls:
          caBundle:
            name: mycacert
          serverName: dnstls.example.com  4
      policy: Random 5
      upstreams: 6
      - 1.1.1.1
      - 2.2.2.2:5353
  upstreamResolvers: 7
    transportConfig:
      transport: TLS
      tls:
        caBundle:
          name: mycacert
        serverName: dnstls.example.com
    upstreams:
    - type: Network 8
      address: 1.2.3.4 9
      port: 53 10

    1
    rfc6335 서비스 이름 구문을 준수해야 합니다.
    2
    rfc1123 서비스 이름 구문의 하위 도메인 정의를 준수해야 합니다. 클러스터 도메인인 cluster.localzones 필드에 대해 유효하지 않은 하위 도메인입니다. 클러스터 도메인에 해당하는 cluster.local영역에 유효하지 않은 하위 도메인입니다.
    3
    전달된 DNS 쿼리에 대해 TLS를 구성할 때 값 TLS 를 갖도록 transport 필드를 설정합니다. 기본적으로 CoreDNS는 전달된 연결을 10초 동안 캐시합니다. CoreDNS는 요청이 발행되지 않은 경우 해당 10초 동안 TCP 연결을 열린 상태로 유지합니다. 대규모 클러스터에서는 노드당 연결을 시작할 수 있으므로 DNS 서버에서 많은 새 연결을 유지할 수 있음을 알고 있는지 확인합니다. 성능 문제를 방지하기 위해 DNS 계층 구조를 적절하게 설정합니다.
    4
    전달된 DNS 쿼리에 대해 TLS를 구성할 때 이는 업스트림 TLS 서버 인증서의 유효성을 확인하기 위해 SNI(서버 이름 표시)의 일부로 사용되는 필수 서버 이름입니다.
    5
    업스트림 리졸버를 선택하는 정책을 정의합니다. 기본값은 Random 입니다. RoundRobinSequential 값을 사용할 수도 있습니다.
    6
    필수 항목입니다. 이를 사용하여 업스트림 리졸버를 제공할 수 있습니다. forwardPlugin 항목당 최대 15 개의 업스트림 항목이 허용됩니다.
    7
    선택 사항: 이를 사용하여 기본 정책을 재정의하고 기본 도메인의 지정된 DNS 확인자(업스트림 확인자)로 DNS 확인을 전달할 수 있습니다. 업스트림 확인자를 제공하지 않으면 DNS 이름 쿼리는 /etc/resolv.conf 의 서버로 이동합니다.
    8
    네트워크 유형은 이 업스트림 리졸버가 /etc/resolv.conf 에 나열된 업스트림 해석기와 별도로 전달된 요청을 처리해야 함을 나타냅니다. TLS를 사용할 때 네트워크 유형만 허용되며 IP 주소를 제공해야 합니다.
    9
    address 필드는 유효한 IPv4 또는 IPv6 주소여야 합니다.
    10
    선택적으로 포트를 제공할 수 있습니다. 포트1 에서 65535 사이의 값이 있어야 합니다. 업스트림에 대한 포트를 지정하지 않으면 기본적으로 포트 853이 시도됩니다.
    참고

    서버 가 정의되지 않았거나 유효하지 않은 경우 구성 맵에는 기본 서버만 포함됩니다.

검증

  1. 구성 맵을 표시합니다. 

    $ oc get configmap/dns-default -n openshift-dns -o yaml

    이전 샘플 DNS를 기반으로 하는 샘플 DNS ConfigMap

    apiVersion: v1
data:
  Corefile: |
    example.com:5353 {
        forward . 1.1.1.1 2.2.2.2:5353
    }
    bar.com:5353 example.com:5353 {
        forward . 3.3.3.3 4.4.4.4:5454 1
    }
    .:5353 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
            pods insecure
            upstream
            fallthrough in-addr.arpa ip6.arpa
        }
        prometheus :9153
        forward . /etc/resolv.conf 1.2.3.4:53 {
            policy Random
        }
        cache 30
        reload
    }
kind: ConfigMap
metadata:
  labels:
    dns.operator.openshift.io/owning-dns: default
  name: dns-default
  namespace: openshift-dns

    1
    forwardPlugin을 변경하면 CoreDNS 데몬 세트의 롤링 업데이트가 트리거됩니다.

추가 리소스

2장. AWS의 Red Hat OpenShift Service의 Ingress Operator

2.1. Red Hat OpenShift Service on AWS Ingress Operator

AWS 클러스터에서 Red Hat OpenShift Service를 생성할 때 클러스터에서 실행되는 Pod 및 서비스에는 각각 자체 IP 주소가 할당됩니다. IP 주소는 내부에서 실행되지만 외부 클라이언트가 액세스할 수 없는 다른 pod 및 서비스에 액세스할 수 있습니다. Ingress Operator는 IngressController API를 구현하며 AWS 클러스터 서비스에서 Red Hat OpenShift Service에 대한 외부 액세스를 활성화하는 구성 요소입니다.

Ingress Operator를 사용하면 라우팅을 처리하기 위해 하나 이상의 HAProxy 기반 Ingress 컨트롤러를 배포하고 관리하여 외부 클라이언트가 서비스에 액세스할 수 있습니다. Red Hat SRE(Site Reliability Engineer)는 AWS 클러스터에서 Red Hat OpenShift Service용 Ingress Operator를 관리합니다. Ingress Operator의 설정을 변경할 수는 없지만 기본 Ingress 컨트롤러 구성, 상태 및 로그와 Ingress Operator 상태를 볼 수 있습니다.

2.2. 기본 Ingress 컨트롤러 보기

Ingress Operator는 AWS의 Red Hat OpenShift Service의 핵심 기능이며 즉시 사용할 수 있습니다.

AWS의 모든 새로운 Red Hat OpenShift Service에는 이름이 default인 ingresscontroller 가 있습니다. 추가 Ingress 컨트롤러를 추가할 수 있습니다. 기본 ingresscontroller가 삭제되면 Ingress Operator가 1분 이내에 자동으로 다시 생성합니다.

프로세스

  • 기본 Ingress 컨트롤러를 확인합니다. 

    $ oc describe --namespace=openshift-ingress-operator ingresscontroller/default

2.3. Ingress Operator 상태 보기

Ingress Operator의 상태를 확인 및 조사할 수 있습니다.

프로세스

  • Ingress Operator 상태를 확인합니다. 

    $ oc describe clusteroperators/ingress

2.4. Ingress 컨트롤러 로그 보기

Ingress 컨트롤러의 로그를 확인할 수 있습니다.

프로세스

  • Ingress 컨트롤러 로그를 확인합니다. 

    $ oc logs --namespace=openshift-ingress-operator deployments/ingress-operator -c <container_name>

2.5. Ingress 컨트롤러 상태 보기

특정 Ingress 컨트롤러의 상태를 확인할 수 있습니다.

프로세스

  • Ingress 컨트롤러의 상태를 확인합니다. 

    $ oc describe --namespace=openshift-ingress-operator ingresscontroller/<name>

2.6. Red Hat OpenShift Service on AWS Ingress Operator 구성

다음 표에서는 Ingress Operator의 구성 요소에 대해 자세히 설명하고 Red Hat 사이트 안정성 엔지니어(SRE)가 AWS 클러스터의 Red Hat OpenShift Service에서 이 구성 요소를 유지 관리하는 경우

표 2.1. Ingress Operator 책임 차트

Ingress 구성 요소관리 대상기본 설정?

스케일링 Ingress 컨트롤러

SRE

제공됨

Ingress Operator 스레드 수

SRE

제공됨

Ingress 컨트롤러 액세스 로깅

SRE

제공됨

Ingress 컨트롤러 분할

SRE

제공됨

Ingress 컨트롤러 경로 허용 정책

SRE

제공됨

Ingress 컨트롤러 와일드카드 경로

SRE

제공됨

Ingress 컨트롤러 X-Forwarded 헤더

SRE

제공됨

Ingress 컨트롤러 경로 압축

SRE

제공됨

3장. OpenShift SDN 기본 CNI 네트워크 공급자

3.1. 프로젝트에 멀티 캐스트 사용

3.1.1. 멀티 캐스트 정보

IP 멀티 캐스트를 사용하면 데이터가 여러 IP 주소로 동시에 브로드캐스트됩니다.

중요

현재 멀티 캐스트는 고 대역폭 솔루션이 아닌 저 대역폭 조정 또는 서비스 검색에 가장 적합합니다.

AWS Pod의 Red Hat OpenShift Service 간 멀티 캐스트 트래픽은 기본적으로 비활성화되어 있습니다. OpenShift SDN 네트워크 플러그인을 사용하는 경우 프로젝트별로 멀티 캐스트를 활성화할 수 있습니다.

networkpolicy 격리 모드에서 OpenShift SDN 네트워크 플러그인을 사용하는 경우:

  • Pod에서 전송한 멀티 캐스트 패킷은 NetworkPolicy 오브젝트에 관계없이 프로젝트의 다른 모든 Pod로 전달됩니다. Pod는 유니 캐스트를 통해 통신할 수 없는 경우에도 멀티 캐스트를 통해 통신할 수 있습니다.
  • 한 프로젝트에서 Pod가 전송한 멀티 캐스트 패킷은 프로젝트 간에 통신을 허용하는 NetworkPolicy 오브젝트가 있더라도 다른 프로젝트의 Pod로 전달되지 않습니다.

다중 테넌트 격리 모드에서 OpenShift SDN 네트워크 플러그인을 사용하는 경우:

  • Pod에서 전송한 멀티 캐스트 패킷은 프로젝트의 다른 모든 Pod로 전달됩니다.
  • 한 프로젝트에서 Pod가 전송한 멀티 캐스트 패킷은 각 프로젝트가 함께 결합되고 각 참여 프로젝트에서 멀티 캐스트가 활성화된 경우에만 다른 프로젝트의 Pod로 전달됩니다.

3.1.2. Pod 간 멀티 캐스트 활성화

프로젝트의 Pod 간 멀티 캐스트를 활성화할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 또는 dedicated-admin 역할이 있는 사용자로 클러스터에 로그인해야 합니다.

절차

  • 다음 명령을 실행하여 프로젝트에 대한 멀티 캐스트를 활성화합니다. 멀티 캐스트를 활성화하려는 프로젝트의 네임스페이스로 <namespace>를 바꿉니다. 

    $ oc annotate netnamespace <namespace> \
    netnamespace.network.openshift.io/multicast-enabled=true

검증

프로젝트에 멀티 캐스트가 활성화되어 있는지 확인하려면 다음 절차를 완료합니다.

  1. 멀티 캐스트를 활성화한 프로젝트로 현재 프로젝트를 변경합니다. <project>를 프로젝트 이름으로 바꿉니다. 

    $ oc project <project>

  2. 멀티 캐스트 수신자 역할을 할 pod를 만듭니다. 

    $ cat <<EOF| oc create -f -
apiVersion: v1
kind: Pod
metadata:
  name: mlistener
  labels:
    app: multicast-verify
spec:
  containers:
    - name: mlistener
      image: registry.access.redhat.com/ubi9
      command: ["/bin/sh", "-c"]
      args:
        ["dnf -y install socat hostname && sleep inf"]
      ports:
        - containerPort: 30102
          name: mlistener
          protocol: UDP
EOF

  3. 멀티 캐스트 발신자 역할을 할 pod를 만듭니다. 

    $ cat <<EOF| oc create -f -
apiVersion: v1
kind: Pod
metadata:
  name: msender
  labels:
    app: multicast-verify
spec:
  containers:
    - name: msender
      image: registry.access.redhat.com/ubi9
      command: ["/bin/sh", "-c"]
      args:
        ["dnf -y install socat && sleep inf"]
EOF

  4. 새 터미널 창 또는 탭에서 멀티 캐스트 리스너를 시작합니다.

    1. Pod의 IP 주소를 가져옵니다. 

      $ POD_IP=$(oc get pods mlistener -o jsonpath='{.status.podIP}')

    2. 다음 명령을 입력하여 멀티 캐스트 리스너를 시작합니다. 

      $ oc exec mlistener -i -t -- \
    socat UDP4-RECVFROM:30102,ip-add-membership=224.1.0.1:$POD_IP,fork EXEC:hostname

  5. 멀티 캐스트 송신기를 시작합니다.

    1. Pod 네트워크 IP 주소 범위를 가져옵니다. 

      $ CIDR=$(oc get Network.config.openshift.io cluster \
    -o jsonpath='{.status.clusterNetwork[0].cidr}')

    2. 멀티 캐스트 메시지를 보내려면 다음 명령을 입력합니다. 

      $ oc exec msender -i -t -- \
    /bin/bash -c "echo | socat STDIO UDP4-DATAGRAM:224.1.0.1:30102,range=$CIDR,ip-multicast-ttl=64"

      멀티 캐스트가 작동하는 경우 이전 명령은 다음 출력을 반환합니다. 

      mlistener

4장. ROSA 클러스터에 대한 네트워크 확인

ROSA(Red Hat OpenShift Service on AWS) 클러스터를 기존 VPC(Virtual Private Cloud)에 배포하거나 클러스터에 새로운 서브넷이 있는 추가 머신 풀을 생성할 때 네트워크 확인 검사가 자동으로 실행됩니다. 이 검사에서는 네트워크 구성을 검증하고 오류를 강조 표시하므로 배포 전에 구성 문제를 해결할 수 있습니다.

네트워크 확인 검사를 수동으로 실행하여 기존 클러스터의 구성을 검증할 수도 있습니다.

4.1. ROSA 클러스터에 대한 네트워크 확인 이해

AWS의 ROLE(Red Hat OpenShift Service on AWS) 클러스터를 기존 VPC(Virtual Private Cloud)에 배포하거나 클러스터가 새로운 서브넷으로 추가 머신 풀을 생성하면 네트워크 확인이 자동으로 실행됩니다. 이를 통해 배포 전에 구성 문제를 식별하고 해결할 수 있습니다.

Red Hat OpenShift Cluster Manager를 사용하여 클러스터 설치를 준비하면 VPC(Virtual Private Cloud) 서브넷 설정 페이지의 서브넷 ID 필드에 서브넷 ID를 입력한 후 자동 검사가 실행됩니다. ROSA CLI(rosa)를 대화형 모드로 사용하여 클러스터를 생성하는 경우 필요한 VPC 네트워크 정보를 제공한 후 검사가 실행됩니다. 대화형 모드 없이 CLI를 사용하는 경우 클러스터 생성 직전에 검사가 시작됩니다.

서브넷이 새로 추가된 서브넷으로 머신 풀을 추가하면 자동 네트워크 확인에서 서브넷을 확인하여 머신 풀을 프로비저닝하기 전에 네트워크 연결을 사용할 수 있는지 확인합니다.

자동 네트워크 확인이 완료되면 서비스 로그에 레코드가 전송됩니다. 레코드는 네트워크 구성 오류를 포함하여 확인 확인 결과를 제공합니다. 배포 전에 확인된 문제를 해결할 수 있으며 배포의 성공 가능성이 더 높습니다.

기존 클러스터에 대해 네트워크 확인을 수동으로 실행할 수도 있습니다. 이를 통해 구성을 변경한 후 클러스터의 네트워크 구성을 확인할 수 있습니다. 네트워크 확인 검사를 수동으로 실행하는 단계는 네트워크 확인 수동 실행을 참조하십시오.

4.2. 네트워크 검증 검사 범위

네트워크 확인에는 다음 요구사항 각각에 대한 검사가 포함됩니다.

  • 상위 VPC(Virtual Private Cloud)가 있습니다.
  • 지정된 모든 서브넷이 VPC에 속합니다.
  • VPC에 enableDnsSupport 가 활성화되어 있습니다.
  • VPC에 enableDnsHostnames 가 활성화되어 있습니다.
  • 송신은 AWS 방화벽 사전 요구 사항 섹션에 지정된 필수 도메인 및 포트 조합에서 사용할 수 있습니다.

4.3. 자동 네트워크 확인 우회

기존 VPC(Virtual Private Cloud)에 알려진 네트워크 구성 문제로 AWS(ROSA) 클러스터에 Red Hat OpenShift Service를 배포하려는 경우 자동 네트워크 확인을 바이패스할 수 있습니다.

클러스터를 생성할 때 네트워크 확인을 바이패스하면 클러스터의 지원 상태가 제한됩니다. 설치 후 문제를 해결한 다음 네트워크 확인을 수동으로 실행할 수 있습니다. 제한된 지원 상태는 검증에 성공한 후 제거됩니다.

OpenShift Cluster Manager를 사용하여 자동 네트워크 확인 우회

Red Hat OpenShift Cluster Manager를 사용하여 기존 VPC에 클러스터를 설치하는 경우 VPC(Virtual Private Cloud) 서브넷 설정 페이지에서 Bypass network verification 을 선택하여 자동 확인을 바이패스할 수 있습니다.

ROSA CLI(rosa)를 사용하여 자동 네트워크 확인 우회

rosa create cluster 명령을 사용하여 기존 VPC에 클러스터를 설치할 때 --bypass-network-verify --force 인수를 포함하여 자동 확인을 바이패스할 수 있습니다. 다음 예제에서는 클러스터를 생성하기 전에 네트워크 확인을 바이패스합니다. 

$ rosa create cluster --cluster-name mycluster \
                      --subnet-ids subnet-03146b9b52b6024cb,subnet-03146b9b52b2034cc \
                      --bypass-network-verify --force
참고

또는 --interactive 인수를 지정하고 대화형 프롬프트에서 옵션을 선택하여 네트워크 확인 검사를 바이패스할 수 있습니다.

4.4. 수동으로 네트워크 확인 실행

ROSA(Red Hat OpenShift Service) 클러스터를 설치한 후 Red Hat OpenShift Cluster Manager 또는 ROSA CLI(rosa)를 사용하여 네트워크 확인 검사를 수동으로 실행할 수 있습니다.

OpenShift Cluster Manager를 사용하여 네트워크 확인 수동으로 실행

Red Hat OpenShift Cluster Manager를 사용하여 ROSA(Red Hat OpenShift Service on AWS) 클러스터에 대한 네트워크 확인 검사를 수동으로 실행할 수 있습니다.

사전 요구 사항

  • 기존 ROSA 클러스터가 있습니다.
  • 클러스터 소유자이거나 클러스터 편집기 역할이 있습니다.

절차

  1. OpenShift Cluster Manager Hybrid Cloud Console 로 이동하여 클러스터를 선택합니다.
  2. 작업 드롭다운 메뉴에서 네트워크 확인을 선택합니다.

CLI를 사용하여 수동으로 네트워크 확인 실행

ROSA CLI(로사 )를 사용하여 ROSA(Red Hat OpenShift Service on AWS) 클러스터에 대한 네트워크 확인 검사를 수동으로 실행할 수있습니다.

네트워크 확인을 실행하면 VPC 서브넷 ID 세트 또는 클러스터 이름을 지정할 수 있습니다. 프록시 서비스를 사용하는 경우 프록시 URL을 지정할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.
  • 기존 ROSA 클러스터가 있습니다.
  • 클러스터 소유자이거나 클러스터 편집기 역할이 있습니다.

절차

  • 다음 방법 중 하나를 사용하여 네트워크 구성을 확인합니다.

    • 클러스터 이름을 지정하여 네트워크 구성을 확인합니다. 서브넷 ID가 자동으로 탐지됩니다. 

      $ rosa verify network -c <cluster_name> 1
      1
      & lt;cluster_name >을 클러스터 이름으로 바꿉니다.

      출력 예

      I: ✓ Network verification successful

      작은 정보

      전체 확인 테스트 목록을 출력하려면 rosa verify network 명령을 실행할 때 --debug 인수를 포함할 수 있습니다.

    • VPC 서브넷 ID를 지정하여 네트워크 구성을 확인합니다. 

      $ rosa verify network --subnet-ids subnet-03146b9b52b6024cb,subnet-03146b9b52b2034cc

      출력 예

      E: Validating Subnet subnet-03146b9b52b6024cb egress
E: X Egress failed to https://events.pagerduty.com

    • VPC 서브넷 ID와 프록시 URL을 지정하여 네트워크 구성을 확인합니다. 

      $ rosa verify network --subnet-ids subnet-03146b9b52b6024cb,subnet-03146b9b52b2034cc \
                      --additional-trust-bundle-file /path/to/ca.cert \
                      --https-proxy <proxy_url> 1
      1
      & lt;proxy_url& gt;을 프록시 서비스의 URL로 바꿉니다(예: https://10.10.0.1).

      출력 예

      I: Using proxy configuration
I: Subnet IDs detected:  subnet-03146b9b52b6024cb,subnet-03146b9b52b2034cc

E: Validating Subnet subnet-03146b9b52b6024cb egress
E: X Egress failed to https://events.pagerduty.com

5장. 클러스터 전체 프록시 구성

기존 VPC(Virtual Private Cloud)를 사용하는 경우, AWS(ROSA) 클러스터 설치 또는 클러스터 설치 후 Red Hat OpenShift Service on AWS에서 클러스터 전체 프록시를 구성할 수 있습니다. 프록시를 활성화하면 코어 클러스터 구성 요소가 인터넷에 대한 직접 액세스가 거부되지만 프록시는 사용자 워크로드에 영향을 미치지 않습니다.

참고

클라우드 공급자 API에 대한 호출을 포함하여 시스템 송신 트래픽만 프록시됩니다.

클러스터 전체 프록시를 사용하는 경우 클러스터에 대한 프록시의 가용성을 유지 관리해야 합니다. 프록시를 사용할 수 없게 되면 클러스터의 상태 및 지원 가능성에 영향을 미칠 수 있습니다.

5.1. 클러스터 전체 프록시 구성을 위한 사전 요구 사항

클러스터 전체 프록시를 구성하려면 다음 요구 사항을 충족해야 합니다. 이러한 요구 사항은 설치 또는 설치 후 프록시를 구성할 때 유효합니다.

일반 요구 사항

  • 클러스터 소유자입니다.
  • 계정에는 충분한 권한이 있습니다.
  • 클러스터의 기존 VPC(Virtual Private Cloud)가 있습니다.
  • 프록시는 클러스터의 VPC 및 VPC의 프라이빗 서브넷에 액세스할 수 있습니다. 이 프록시는 클러스터의 VPC 및 VPC의 프라이빗 서브넷에서도 액세스할 수 있습니다.
  • ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com, s3.<aws_region>.amazonaws.com 끝점을 VPC 끝점에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하기 때문에 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

네트워크 요구 사항

  • 프록시에서 송신 트래픽을 다시 암호화하는 경우 도메인 및 포트 조합에 대한 제외를 생성해야 합니다. 다음 표에서는 이러한 예외에 대한 지침을 제공합니다.

    • 프록시는 다음 OpenShift URL을 다시 암호화하도록 제외해야 합니다.

      address프로토콜/포트함수

      observatorium-mst.api.openshift.com

      https/443

      필수 항목입니다. Managed OpenShift별 Telemetry에 사용됩니다.

      sso.redhat.com

      https/443

      https://cloud.redhat.com/openshift 사이트에서는 sso.redhat.com의 인증을 사용하여 클러스터 풀 시크릿을 다운로드하고 Red Hat SaaS 솔루션을 사용하여 서브스크립션, 클러스터 인벤토리 및 관련 보고를 원활하게 모니터링할 수 있습니다.

    • 프록시는 다음 사이트 안정성 엔지니어링(SRE) 및 관리 URL을 재암호화해야 합니다.

      address프로토콜/포트함수

      *.osdsecuritylogs.splunkcloud.com

      또는

      inputs1.osdsecuritylogs.splunkcloud.cominputs2.osdsecuritylogs.complunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.cominput6.osdsecuritylogs.splunkcloud.comcomputes.cloudoscomstoredcloud-complunks.com computesfcloudoscomcomputecomfcloudos의 입력

      tcp/9997

      splunk-forwarder-operator에서 로그 기반 경고에 사용할 로그 전달 끝점으로 사용합니다.

      http-inputs-osdsecuritylogs.splunkcloud.com

      https/443

      splunk-forwarder-operator에서 로그 기반 경고에 사용할 로그 전달 끝점으로 사용합니다.

    중요

    프록시 서버를 사용하여 TLS 재암호화를 수행하는 것은 현재 서버가 --http-proxy 또는 --https-proxy 인수를 통해 클러스터에서 구성되지 않은 투명한 전달 프록시 역할을 하는 경우 지원되지 않습니다.

    투명 전달 프록시는 클러스터 트래픽을 가로채지만 실제로 클러스터 자체에 구성되지는 않습니다.

추가 리소스

5.2. 추가 신뢰 번들에 대한 책임

추가 신뢰 번들을 제공하는 경우 다음 요구 사항을 담당합니다.

  • 추가 신뢰 번들의 콘텐츠가 유효한지 확인
  • 추가 신뢰 번들에 포함된 중간 인증서를 포함하여 인증서가 만료되지 않았는지 확인
  • 만료 추적 및 추가 신뢰 번들에 포함된 인증서에 필요한 갱신 수행
  • 업데이트된 추가 신뢰 번들로 클러스터 구성 업데이트

5.3. 설치 중 프록시 구성

기존 VPC(Virtual Private Cloud)에 ROSA(Red Hat OpenShift Service) 클러스터를 설치할 때 HTTP 또는 HTTPS 프록시를 구성할 수 있습니다. Red Hat OpenShift Cluster Manager 또는 ROSA CLI(로사)를 사용하여 설치 중에 프록시를 구성할 수있습니다.

5.3.1. OpenShift Cluster Manager를 사용하여 설치 중에 프록시 구성

ROSA(Virtual Private Cloud) 클러스터를 기존 VPC(Virtual Private Cloud)에 설치하는 경우 Red Hat OpenShift Cluster Manager를 사용하여 설치 중에 클러스터 전체 HTTP 또는 HTTPS 프록시를 활성화할 수 있습니다.

설치하기 전에 클러스터를 설치하는 VPC에서 프록시에 액세스할 수 있는지 확인해야 합니다. VPC의 프라이빗 서브넷에서도 프록시에 액세스할 수 있어야 합니다.

OpenShift Cluster Manager를 사용하여 설치 중에 클러스터 전체 프록시를 구성하는 방법에 대한 자세한 단계는 OpenShift Cluster Manager 를 사용하여 사용자 지정으로 클러스터 생성을 참조하십시오.

5.3.2. CLI를 사용하여 설치 중에 프록시 구성

AWS(ROSA) 클러스터를 기존 VPC(Virtual Private Cloud)에 설치하는 경우 ROSA CLI(rosa)를 사용하여 설치 중에 클러스터 전체 HTTP 또는 HTTPS 프록시를 활성화할 수 있습니다.

다음 절차에서는 설치 중에 클러스터 전체 프록시를 구성하는 데 사용되는 ROSA CLI(rosa) 인수에 대한 세부 정보를 제공합니다. ROSA CLI를 사용하는 일반적인 설치 단계는 CLI를 사용하여 사용자 지정으로 클러스터 생성을 참조하십시오.

사전 요구 사항

  • 클러스터가 설치되고 있는 VPC에서 프록시에 액세스할 수 있는지 확인했습니다. VPC의 프라이빗 서브넷에서도 프록시에 액세스할 수 있어야 합니다.

절차

  • 클러스터를 생성할 때 프록시 구성을 지정합니다. 

    $ rosa create cluster \
 <other_arguments_here> \
 --additional-trust-bundle-file <path_to_ca_bundle_file> \ 1 2 3
 --http-proxy http://<username>:<password>@<ip>:<port> \ 4 5
 --https-proxy https://<username>:<password>@<ip>:<port> \ 6 7
 --no-proxy example.com 8
    1 4 6
    additional-trust-bundle-file,http-proxy, https-proxy 인수는 모두 선택 사항입니다.
    2
    http-proxy 또는 https-proxy 인수 없이 additional-trust-bundle-file 인수를 사용하면 신뢰 저장소에 신뢰 번들이 추가되고 클러스터 시스템 송신 트래픽을 확인하는 데 사용됩니다. 이 시나리오에서는 프록시와 함께 사용할 번들이 구성되지 않았습니다.
    3
    additional-trust-bundle-file 인수는 모두 서로 연결된 PEM 인코딩 X.509 인증서 번들을 가리키는 파일 경로입니다. additionalTrustBundle 매개변수는 RHCOS 신뢰 번들의 기관에서 프록시의 ID 인증서를 서명하지 않는 한 필요합니다. 추가 프록시 구성은 필요하지 않아도 추가 CA는 필요한 MITM 투명 프록시 네트워크를 사용한다면 MITM CA 인증서를 제공해야 합니다.
    5 7
    http-proxyhttps-proxy 인수는 유효한 URL을 가리켜야 합니다.
    8
    프록시를 제외할 대상 도메인 이름, IP 주소 또는 네트워크 CIDR의 쉼표로 구분된 목록입니다.

    하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다. networking.machineNetwork[].cidr 필드에 의해 정의된 네트워크에 포함되어 있지 않은 작업자를 설치 구성에서 확장하려면 연결 문제를 방지하기 위해 이 목록에 해당 작업자를 추가해야 합니다.

    httpProxyhttpsProxy 필드가 모두 설정되지 않은 경우 이 필드는 무시됩니다.

추가 리소스

5.4. 설치 후 프록시 구성

기존 VPC(Virtual Private Cloud)에 ROSA(Red Hat OpenShift Service) 클러스터를 설치한 후 HTTP 또는 HTTPS 프록시를 구성할 수 있습니다. Red Hat OpenShift Cluster Manager 또는 ROSA CLI(rosa)를 사용하여 설치 후 프록시를 구성할 수 있습니다.

5.4.1. OpenShift Cluster Manager를 사용하여 설치 후 프록시 구성

Red Hat OpenShift Cluster Manager를 사용하여 VPC(Virtual Private Cloud)의 AWS 클러스터의 기존 Red Hat OpenShift Service에 클러스터 전체 프록시 구성을 추가할 수 있습니다.

OpenShift Cluster Manager를 사용하여 기존 클러스터 전체 프록시 구성을 업데이트할 수도 있습니다. 예를 들어 프록시의 인증 기관이 만료되면 프록시의 네트워크 주소를 업데이트하거나 추가 신뢰 번들을 교체해야 할 수 있습니다.

중요

클러스터는 컨트롤 플레인 및 컴퓨팅 노드에 프록시 설정을 적용합니다. 구성을 적용하는 동안 각 클러스터 노드는 일시적으로 스케줄링할 수 없는 상태로 배치되어 워크로드를 드레인합니다. 각 노드는 프로세스의 일부로 재시작됩니다.

사전 요구 사항

  • AWS 클러스터에 Red Hat OpenShift Service가 있어야 합니다.
  • 클러스터는 VPC에 배포되어 있습니다.

절차

  1. OpenShift Cluster Manager Hybrid Cloud Console 로 이동하여 클러스터를 선택합니다.
  2. 네트워킹 페이지의 VPC(Virtual Private Cloud) 섹션에서 Edit cluster-wide proxy 를 클릭합니다.

  3. 클러스터 전체 프록시 편집 페이지에서 프록시 구성 세부 정보를 입력합니다.

    1. 다음 필드 중 하나 이상에 값을 입력합니다.

      • 유효한 HTTP 프록시 URL 을 지정합니다.
      • 유효한 HTTPS 프록시 URL 을 지정합니다.

      • 추가 신뢰 번들 필드에서 PEM 인코딩 X.509 인증서 번들을 제공합니다. 기존 신뢰 번들 파일을 교체하는 경우 파일 교체를 선택하여 필드를 확인합니다. 번들은 클러스터 노드의 신뢰할 수 있는 인증서 저장소에 추가됩니다. 프록시의 ID 인증서가 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들의 기관에서 서명하지 않는 한 추가 신뢰 번들 파일이 필요합니다.

        추가 프록시 구성은 필요하지 않아도 추가 인증 기관(CA)이 필요한 MITM 투명 프록시 네트워크를 사용하는 경우 MITM CA 인증서를 제공해야 합니다.

        참고

        HTTP 또는 HTTPS 프록시 URL을 지정하지 않고 추가 신뢰 번들 파일을 업로드하는 경우 해당 번들은 클러스터에 설정되지만 프록시와 함께 사용하도록 구성되지 않습니다.

    2. Confirm 을 클릭합니다.

검증

  • 네트워킹 페이지의 VPC(Virtual Private Cloud) 섹션에서 클러스터의 프록시 구성이 예상대로 구성되어 있는지 확인합니다.

5.4.2. CLI를 사용하여 설치 후 프록시 구성

Red Hat OpenShift Service on AWS(ROSA) CLI(rosa)를 사용하여 VPC(Virtual Private Cloud)의 기존 ROSA 클러스터에 클러스터 전체 프록시 구성을 추가할 수 있습니다.

rosa 를 사용하여 기존 클러스터 전체 프록시 구성을 업데이트할 수도 있습니다. 예를 들어 프록시의 인증 기관이 만료되면 프록시의 네트워크 주소를 업데이트하거나 추가 신뢰 번들을 교체해야 할 수 있습니다.

중요

클러스터는 컨트롤 플레인 및 컴퓨팅 노드에 프록시 설정을 적용합니다. 구성을 적용하는 동안 각 클러스터 노드는 일시적으로 스케줄링할 수 없는 상태로 배치되어 워크로드를 드레인합니다. 각 노드는 프로세스의 일부로 재시작됩니다.

사전 요구 사항

  • 설치 호스트에 최신 ROSA(rosa) 및 OpenShift(oc) CLI를 설치하고 구성했습니다.
  • VPC에 배포된 ROSA 클러스터가 있습니다.

절차

  • 클러스터 구성을 편집하여 클러스터 전체 프록시 세부 정보를 추가하거나 업데이트합니다. 

    $ rosa edit cluster \
 --cluster $CLUSTER_NAME \
 --additional-trust-bundle-file <path_to_ca_bundle_file> \ 1 2 3
 --http-proxy http://<username>:<password>@<ip>:<port> \ 4 5
 --https-proxy https://<username>:<password>@<ip>:<port> \ 6 7
  --no-proxy example.com 8
    1 4 6
    additional-trust-bundle-file,http-proxy, https-proxy 인수는 모두 선택 사항입니다.
    2
    http-proxy 또는 https-proxy 인수 없이 additional-trust-bundle-file 인수를 사용하면 신뢰 저장소에 신뢰 번들이 추가되고 클러스터 시스템 송신 트래픽을 확인하는 데 사용됩니다. 이 시나리오에서는 프록시와 함께 사용할 번들이 구성되지 않았습니다.
    3
    additional-trust-bundle-file 인수는 모두 서로 연결된 PEM 인코딩 X.509 인증서 번들을 가리키는 파일 경로입니다. additionalTrustBundle 매개변수는 RHCOS 신뢰 번들의 기관에서 프록시의 ID 인증서를 서명하지 않는 한 필요합니다. 추가 프록시 구성은 필요하지 않아도 추가 CA는 필요한 MITM 투명 프록시 네트워크를 사용한다면 MITM CA 인증서를 제공해야 합니다.
    참고

    클러스터에서 프록시 또는 추가 신뢰 번들 구성을 직접 변경하지 않아야 합니다. 이러한 변경 사항은 ROSA CLI(rosa) 또는 Red Hat OpenShift Cluster Manager를 사용하여 적용해야 합니다. 클러스터에 직접 변경한 모든 변경 사항은 자동으로 취소됩니다.

    5 7
    http-proxyhttps-proxy 인수는 유효한 URL을 가리켜야 합니다.
    8
    프록시를 제외할 대상 도메인 이름, IP 주소 또는 네트워크 CIDR의 쉼표로 구분된 목록입니다.

    하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다. networking.machineNetwork[].cidr 필드에 의해 정의된 네트워크에 포함되어 있지 않은 작업자를 설치 구성에서 확장하려면 연결 문제를 방지하기 위해 이 목록에 해당 작업자를 추가해야 합니다.

    httpProxyhttpsProxy 필드가 모두 설정되지 않은 경우 이 필드는 무시됩니다.

검증

  1. 머신 구성 풀의 상태를 나열하고 업데이트가 업데이트되었는지 확인합니다. 

    $ oc get machineconfigpools

    출력 예

    NAME     CONFIG                                             UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
master   rendered-master-d9a03f612a432095dcde6dcf44597d90   True      False      False      3              3                   3                     0                      31h
worker   rendered-worker-f6827a4efe21e155c25c21b43c46f65e   True      False      False      6              6                   6                     0                      31h

  2. 클러스터의 프록시 구성을 표시하고 세부 정보가 예상대로 표시되는지 확인합니다. 

    $ oc get proxy cluster -o yaml

    출력 예

    apiVersion: config.openshift.io/v1
kind: Proxy
spec:
  httpProxy: http://proxy.host.domain:<port>
  httpsProxy: https://proxy.host.domain:<port>
  <...more...>
status:
  httpProxy: http://proxy.host.domain:<port>
  httpsProxy: https://proxy.host.domain:<port>
  <...more...>

5.5. 클러스터 전체 프록시 제거

ROSA CLI를 사용하여 클러스터 전체 프록시를 제거할 수 있습니다. 클러스터를 제거한 후 클러스터에 추가된 신뢰 번들도 제거해야 합니다.

5.5.1. CLI를 사용하여 클러스터 전체 프록시 제거

클러스터에서 프록시 주소를 제거하려면 AWS(ROSA) CLI( ROSA ) CLI를 사용하여 프록시 주소를 제거해야 합니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있어야합니다.
  • ROSA CLI(rosa)를 설치했습니다.

절차

  • 프록시를 수정하려면 rosa edit 명령을 사용합니다. 클러스터에서 프록시를 지우려면 빈 문자열을 --http-proxy--https-proxy 인수에 전달해야 합니다. 

    $ rosa edit cluster -c <cluster_name> --http-proxy "" --https-proxy ""
    참고

    프록시 인수 중 하나만 사용할 수 있지만 빈 필드는 무시되므로 --http-proxy--https-proxy 인수 모두에 빈 문자열을 전달해도 문제가 발생하지 않습니다.

    출력 예

    I: Updated cluster <cluster_name>

검증

  • rosa describe 명령을 사용하여 클러스터에서 프록시가 제거되었는지 확인할 수 있습니다. 

    $ rosa describe cluster -c <cluster_name>

    제거하기 전에 프록시 IP가 프록시 섹션에 표시됩니다. 

    Name:                       <cluster_name>
ID:                         <cluster_internal_id>
External ID:                <cluster_external_id>
OpenShift Version:          4.13.0
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_account_id>
API URL:                    <api_url>
Console URL:                <console_url>
Region:                     us-east-1
Multi-AZ:                   false
Nodes:
 - Control plane:           3
 - Infra:                   2
 - Compute:                 2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             <host_prefix>
Proxy:
 - HTTPProxy:               <proxy_url>
Additional trust bundle:    REDACTED

    프록시를 제거하면 프록시 섹션이 제거됩니다. 

    Name:                       <cluster_name>
ID:                         <cluster_internal_id>
External ID:                <cluster_external_id>
OpenShift Version:          4.13.0
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_account_id>
API URL:                    <api_url>
Console URL:                <console_url>
Region:                     us-east-1
Multi-AZ:                   false
Nodes:
 - Control plane:           3
 - Infra:                   2
 - Compute:                 2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             <host_prefix>
Additional trust bundle:    REDACTED

5.5.2. AWS 클러스터의 Red Hat OpenShift Service에서 인증 기관 제거

ROSA(Red Hat OpenShift Service on AWS) CLI, rosa 를 사용하여 클러스터에서 CA(인증 기관)를 제거할 수 있습니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있어야합니다.
  • ROSA CLI(rosa)를 설치했습니다.
  • 클러스터에 인증 기관이 추가되었습니다.

절차

  • rosa edit 명령을 사용하여 CA 신뢰 번들을 수정합니다. 클러스터에서 신뢰 번들을 지우려면 빈 문자열을 --additional-trust-bundle-file 인수로 전달해야 합니다. 

    $ rosa edit cluster -c <cluster_name> --additional-trust-bundle-file ""

    출력 예

    I: Updated cluster <cluster_name>

검증

  • rosa describe 명령을 사용하여 신뢰 번들이 클러스터에서 제거되었는지 확인할 수 있습니다. 

    $ rosa describe cluster -c <cluster_name>

    제거하기 전에 보안 목적으로 해당 값을 수정하고 추가 신뢰 번들 섹션이 표시됩니다. 

    Name:                       <cluster_name>
ID:                         <cluster_internal_id>
External ID:                <cluster_external_id>
OpenShift Version:          4.13.0
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_account_id>
API URL:                    <api_url>
Console URL:                <console_url>
Region:                     us-east-1
Multi-AZ:                   false
Nodes:
 - Control plane:           3
 - Infra:                   2
 - Compute:                 2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             <host_prefix>
Proxy:
 - HTTPProxy:               <proxy_url>
Additional trust bundle:    REDACTED

    프록시를 제거하면 추가 신뢰 번들 섹션이 제거됩니다. 

    Name:                       <cluster_name>
ID:                         <cluster_internal_id>
External ID:                <cluster_external_id>
OpenShift Version:          4.13.0
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_account_id>
API URL:                    <api_url>
Console URL:                <console_url>
Region:                     us-east-1
Multi-AZ:                   false
Nodes:
 - Control plane:           3
 - Infra:                   2
 - Compute:                 2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             <host_prefix>
Proxy:
 - HTTPProxy:               <proxy_url>

6장. CIDR 범위 정의

다음 CIDR 범위에 대해 겹치지 않는 범위를 지정해야 합니다.

참고

머신 CIDR 범위는 클러스터를 생성한 후에는 변경할 수 없습니다.

서브넷 CIDR 범위를 지정할 때 서브넷 CIDR 범위가 정의된 Machine CIDR 내에 있는지 확인합니다. 서브넷 CIDR 범위가 가능한 AWS Load Balancer를 위해 8개 이상의 IP 주소를 포함하여 모든 의도된 워크로드에 충분한 IP 주소를 허용하는지 확인해야 합니다.

중요

AWS 4.11 이상에서 Red Hat OpenShift Service의 기본 네트워크 공급자인 OVN-Kubernetes는 내부적으로 100.64.0.0/16 IP 주소 범위를 사용합니다. 클러스터에서 OVN-Kubernetes를 사용하는 경우 클러스터의 다른 CIDR 정의에 100.64.0.0/16 IP 주소 범위를 포함하지 마십시오.

6.1. Machine CIDR

머신 CIDR 필드에서 시스템 또는 클러스터 노드의 IP 주소 범위를 지정해야 합니다. 이 범위는 VPC(가상 프라이빗 클라우드) 서브넷에 대한 모든 CIDR 주소 범위를 포함해야 합니다. 서브넷이 연속되어야 합니다. 단일 가용성 영역 배포에 대해 서브넷 접두사 /25 를 사용하는 최소 128 주소 범위가 지원됩니다. 여러 가용 영역을 사용하는 배포에는 서브넷 접두사 /24 를 사용하는 최소 주소 범위 256 주소가 지원됩니다. 기본값은 10.0.0.0/16 입니다. 이 범위는 연결된 네트워크와 충돌해서는 안 됩니다.

참고

ROSA를 HCP와 함께 사용하면 고정 IP 주소 172.20.0.1 이 내부 Kubernetes API 주소용으로 예약되어 있습니다. 시스템, Pod 및 서비스 CIDR 범위가 이 IP 주소와 충돌해서는 안 됩니다.

6.2. Service CIDR

Service CIDR 필드에서 서비스의 IP 주소 범위를 지정해야 합니다. 범위는 워크로드를 수용할 수 있을 만큼 충분히 커야 합니다. address 블록은 클러스터 내에서 액세스한 외부 서비스와 겹치지 않아야 합니다. 기본값은 172.30.0.0/16입니다. 이 주소 블록은 클러스터 간에 동일해야 합니다.

6.3. Pod CIDR

Pod CIDR 필드에서 Pod의 IP 주소 범위를 지정해야 합니다. 범위는 워크로드를 수용할 수 있을 만큼 충분히 커야 합니다. address 블록은 클러스터 내에서 액세스한 외부 서비스와 겹치지 않아야 합니다. 기본값은 10.128.0.0/14 입니다. 이 주소 블록은 클러스터 간에 동일해야 합니다.

6.4. 호스트 접두사

Host Prefix 필드에서 개별 머신에 예약된 Pod에 할당된 서브넷 접두사 길이를 지정해야 합니다. 호스트 접두사는 각 머신의 Pod IP 주소 풀을 결정합니다. 예를 들어 호스트 접두사를 /23 으로 설정하면 Pod CIDR 주소 범위의 /23 서브넷이 각 시스템에 할당됩니다. 기본값은 /23 입니다. 이로 인해 512개의 클러스터 노드와 노드당 512개의 포드가 허용됩니다(두 가지 모두 최대 지원 범위를 초과함).

7장. 네트워크 정책

7.1. 네트워크 정책 정의

클러스터 관리자는 클러스터의 pod로 트래픽을 제한하는 네트워크 정책을 정의할 수 있습니다.

7.1.1. 네트워크 정책 정의

Kubernetes 네트워크 정책을 지원하는 네트워크 플러그인을 사용하는 클러스터에서 네트워크 격리는 NetworkPolicy 오브젝트에 의해 완전히 제어됩니다. AWS 4의 Red Hat OpenShift Service에서 OpenShift SDN은 기본 네트워크 격리 모드에서 네트워크 정책 사용을 지원합니다.

주의

네트워크 정책은 호스트 네트워크 네임스페이스에 적용되지 않습니다. 호스트 네트워킹이 활성화된 Pod는 네트워크 정책 규칙의 영향을 받지 않습니다. 그러나 호스트 네트워크 pod에 연결하는 Pod는 네트워크 정책 규칙의 영향을 받을 수 있습니다.

네트워크 정책은 localhost 또는 상주 노드의 트래픽을 차단할 수 없습니다.

기본적으로 네트워크 정책 모드에서는 다른 Pod 및 네트워크 끝점에서 프로젝트의 모든 Pod에 액세스할 수 있습니다. 프로젝트에서 하나 이상의 Pod를 분리하기 위해 해당 프로젝트에서 NetworkPolicy 오브젝트를 생성하여 수신되는 연결을 표시할 수 있습니다. 프로젝트 관리자는 자신의 프로젝트 내에서 NetworkPolicy 오브젝트를 만들고 삭제할 수 있습니다.

하나 이상의 NetworkPolicy 오브젝트에서 선택기와 Pod가 일치하면 Pod는 해당 NetworkPolicy 오브젝트 중 하나 이상에서 허용되는 연결만 허용합니다. NetworkPolicy 오브젝트가 선택하지 않은 Pod에 완전히 액세스할 수 있습니다.

네트워크 정책은 TCP, UDP 및 SCTP 프로토콜에만 적용됩니다. 다른 프로토콜은 영향을 받지 않습니다.

다음 예제 NetworkPolicy 오브젝트는 다양한 시나리오 지원을 보여줍니다.

  • 모든 트래픽 거부:

    기본적으로 프로젝트를 거부하려면 모든 Pod와 일치하지만 트래픽을 허용하지 않는 NetworkPolicy 오브젝트를 추가합니다. 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-by-default
spec:
  podSelector: {}
  ingress: []

  • AWS Ingress 컨트롤러의 Red Hat OpenShift Service의 연결만 허용합니다.

    프로젝트에서 AWS Ingress 컨트롤러의 Red Hat OpenShift Service의 연결만 허용하도록 하려면 다음 NetworkPolicy 오브젝트를 추가합니다. 

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-openshift-ingress
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          network.openshift.io/policy-group: ingress
  podSelector: {}
  policyTypes:
  - Ingress

  • 프로젝트 내 Pod 연결만 허용:

    Pod가 동일한 프로젝트 내 다른 Pod의 연결은 수락하지만 다른 프로젝트에 속하는 Pod의 기타 모든 연결을 거부하도록 하려면 다음 NetworkPolicy 오브젝트를 추가합니다. 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
spec:
  podSelector: {}
  ingress:
  - from:
    - podSelector: {}

  • Pod 레이블을 기반으로 하는 HTTP 및 HTTPS 트래픽만 허용:

    특정 레이블(다음 예에서 role=frontend)을 사용하여 Pod에 대한 HTTP 및 HTTPS 액세스만 활성화하려면 다음과 유사한 NetworkPolicy 오브젝트를 추가합니다. 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-http-and-https
spec:
  podSelector:
    matchLabels:
      role: frontend
  ingress:
  - ports:
    - protocol: TCP
      port: 80
    - protocol: TCP
      port: 443

  • 네임스페이스와 Pod 선택기를 모두 사용하여 연결 수락:

    네임스페이스와 Pod 선택기를 결합하여 네트워크 트래픽을 일치시키려면 다음과 유사한 NetworkPolicy 오브젝트를 사용하면 됩니다. 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-pod-and-namespace-both
spec:
  podSelector:
    matchLabels:
      name: test-pods
  ingress:
    - from:
      - namespaceSelector:
          matchLabels:
            project: project_name
        podSelector:
          matchLabels:
            name: test-pods

NetworkPolicy 오브젝트는 추가 기능이므로 여러 NetworkPolicy 오브젝트를 결합하여 복잡한 네트워크 요구 사항을 충족할 수 있습니다.

예를 들어, 이전 샘플에서 정의된 NetworkPolicy 오브젝트의 경우 동일한 프로젝트 내에서 allow-same-namespace 정책과 allow-http-and-https 정책을 모두 정의할 수 있습니다. 따라서 레이블이 role=frontend로 지정된 Pod는 각 정책에서 허용하는 모든 연결을 허용할 수 있습니다. 즉 동일한 네임스페이스에 있는 Pod의 모든 포트 연결과 모든 네임스페이스에 있는 Pod에서 포트 80443에 대한 연결이 허용됩니다.

7.1.1.1. allow-from-router 네트워크 정책 사용

다음 NetworkPolicy 를 사용하여 라우터 구성에 관계없이 외부 트래픽을 허용합니다. 

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-router
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          policy-group.network.openshift.io/ingress:""1
  podSelector: {}
  policyTypes:
  - Ingress
1
policy-group.network.openshift.io/ingress:" 레이블은 Openshift-SDN 및 OVN-Kubernetes를 모두 지원합니다.

7.1.1.2. allow-from-hostnetwork 네트워크 정책 사용

다음 allow-from-hostnetwork NetworkPolicy 오브젝트를 추가하여 호스트 네트워크 Pod에서 트래픽을 전달합니다. 

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-hostnetwork
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          policy-group.network.openshift.io/host-network:""
  podSelector: {}
  policyTypes:
  - Ingress

7.1.2. OpenShift SDN을 사용한 네트워크 정책 최적화

네트워크 정책을 사용하여 네임스페이스 내의 라벨에 따라 서로 다른 포드를 분리합니다.

NetworkPolicy 오브젝트를 단일 네임스페이스에서 개별 포드의 많은 수에 적용하는 것은 비효율적입니다. 포드 라벨은 IP 주소 수준에 존재하지 않으므로 네트워크 정책은 podSelector로 선택한 모든 포드 간에 가능한 모든 링크에 대한 별도의 OVS(Open vSwitch) 흐름 규칙을 생성합니다.

예를 들어 NetworkPolicy 오브젝트 내의 spec podSelector 및 ingress podSelector가 각각 200개의 포드와 일치하는 경우 40,000(200*200)개의 OVS 흐름 규칙이 생성됩니다. 이 경우 노드가 느려질 수 있습니다.

네트워크 정책을 설계할 때 다음 지침을 참조하십시오.

  • 분리해야 하는 포드 그룹을 포함하도록 네임스페이스를 사용하여 OVS 흐름 규칙의 수를 줄입니다.

    namespaceSelector 또는 빈 podSelector를 사용하여 전체 네임스페이스를 선택하는 NetworkPolicy 오브젝트는 네임스페이스의 VXLAN 가상 네트워크 ID(VNID)와 일치하는 단일 OVS 흐름 규칙만 생성합니다.

  • 원래 네임스페이스에서 분리할 필요가 없는 포드를 유지하고, 분리해야 하는 포드를 하나 이상의 네임스페이스로 이동합니다.
  • 분리된 포드에서 허용하려는 특정 트래픽을 허용하도록 추가 대상의 네임스페이스 간 네트워크 정책을 생성합니다.

7.1.3. OpenShift OVN을 사용한 네트워크 정책 최적화

네트워크 정책을 설계할 때 다음 지침을 참조하십시오.

  • 동일한 spec.podSelector 사양이 있는 네트워크 정책의 경우 수신 또는 송신 규칙의 서브 세트가 있는 여러 네트워크 정책보다 여러 수신 또는 송신 규칙이 있는 하나의 네트워크 정책을 사용하는 것이 더 효율적입니다.

  • podSelector 또는 namespaceSelector 사양을 기반으로 하는 모든 수신 또는 송신 규칙은 수신 또는 송신 규칙에서 선택한 네트워크 정책 + Pod 수에 비례하여 OVS 흐름 수를 생성합니다. 따라서 모든 Pod에 대해 개별 규칙을 생성하는 대신 하나의 규칙에서 필요한 만큼의 Pod를 선택할 수 있는 podSelector 또는 namespaceSelector 사양을 사용하는 것이 좋습니다.

    예를 들어 다음 정책에는 두 개의 규칙이 있습니다. 

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
 name: test-network-policy
spec:
  podSelector: {}
  ingress:
    - from:
       - podSelector:
           matchLabels:
             role: frontend
    - from:
       - podSelector:
           matchLabels:
             role: backend

    다음 정책은 다음과 같은 두 가지 규칙을 나타냅니다. 

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
 name: test-network-policy
spec:
  podSelector: {}
  ingress:
    - from:
       - podSelector:
           matchExpressions:
             - {key: role, operator: In, values: [frontend, backend]}

    spec.podSelector 사양에 동일한 지침이 적용됩니다. 다른 네트워크 정책에 대해 동일한 수신 또는 송신 규칙이 있는 경우 공통 spec.podSelector 사양을 사용하여 하나의 네트워크 정책을 생성하는 것이 더 효과적일 수 있습니다. 예를 들어 다음 두 정책에는 다른 규칙이 있습니다. 

    metadata:
 name: policy1
spec:
 podSelector:
   matchLabels:
     role: db
  ingress:
    - from:
       - podSelector:
           matchLabels:
             role: frontend

metadata:
 name: policy2
spec:
 podSelector:
   matchLabels:
     role: client
  ingress:
    - from:
       - podSelector:
           matchLabels:
             role: frontend

    다음 네트워크 정책은 다음과 같은 두 가지 규칙을 나타냅니다. 

    metadata:
 name: policy3
spec:
 podSelector:
   matchExpressions:
     - {key: role, operator: In, values: [db, client]}
  ingress:
    - from:
       - podSelector:
           matchLabels:
             role: frontend

    이 최적화는 여러 개의 선택기만 하나의 선택기로 표시되는 경우에만 적용할 수 있습니다. 선택기가 다른 레이블을 기반으로 하는 경우 이 최적화를 적용하지 못할 수 있습니다. 이러한 경우 네트워크 정책 최적화에 새로운 레이블을 적용하는 것이 좋습니다.

7.1.4. 다음 단계

7.2. 네트워크 정책 생성

admin 역할이 있는 사용자는 네임스페이스에 대한 네트워크 정책을 생성할 수 있습니다.

7.2.1. NetworkPolicy 오브젝트 예

다음은 예제 NetworkPolicy 오브젝트에 대한 주석입니다. 

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-27107 1
spec:
  podSelector: 2
    matchLabels:
      app: mongodb
  ingress:
  - from:
    - podSelector: 3
        matchLabels:
          app: app
    ports: 4
    - protocol: TCP
      port: 27017
1
NetworkPolicy 오브젝트의 이름입니다.
2
정책이 적용되는 Pod를 설명하는 선택기입니다. 정책 오브젝트는 NetworkPolicy 오브젝트를 정의하는 프로젝트에서 Pod만 선택할 수 있습니다.
3
정책 오브젝트가 수신 트래픽을 허용하는 Pod와 일치하는 선택기입니다. 선택기는 NetworkPolicy와 동일한 네임스페이스의 Pod와 일치합니다.
4
트래픽을 수락할 하나 이상의 대상 포트 목록입니다.

7.2.2. CLI를 사용하여 네트워크 정책 생성

클러스터의 네임스페이스에서 허용된 수신 또는 송신 네트워크 트래픽을 설명하는 세분화된 규칙을 정의하기 위해 네트워크 정책을 생성할 수 있습니다.

참고

cluster-admin 역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

사전 요구 사항

  • 클러스터는 mode: NetworkPolicy 로 설정된 OpenShift SDN 네트워크 공급자와 같은 NetworkPolicy 오브젝트를 지원하는 네트워크 플러그인을 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.
  • OpenShift CLI(oc)를 설치합니다.
  • admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

절차

  1. 다음과 같이 정책 규칙을 생성합니다.

    1. <policy_name>.yaml 파일을 생성합니다. 

      $ touch <policy_name>.yaml

      다음과 같습니다.

      <policy_name>
      네트워크 정책 파일 이름을 지정합니다.

    2. 방금 만든 파일에서 다음 예와 같이 네트워크 정책을 정의합니다.

      모든 네임스페이스의 모든 Pod에서 수신 거부

      이는 다른 네트워크 정책 구성에서 허용하는 크로스 포드 트래픽 이외의 모든 크로스 포드 네트워킹을 차단하는 기본 정책입니다. 

      kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-by-default
spec:
  podSelector:
  ingress: []

      동일한 네임 스페이스에 있는 모든 Pod의 수신 허용

      kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}

      특정 네임스페이스에서 하나의 Pod로 들어오는 트래픽 허용

      이 정책을 사용하면 namespace-y 에서 실행되는 Pod의 pod-a 레이블이 지정된 Pod로의 트래픽을 수행할 수 있습니다. 

      kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-traffic-pod
spec:
  podSelector:
   matchLabels:
      pod: pod-a
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
           kubernetes.io/metadata.name: namespace-y

  2. 다음 명령을 실행하여 네트워크 정책 오브젝트를 생성합니다. 

    $ oc apply -f <policy_name>.yaml -n <namespace>

    다음과 같습니다.

    <policy_name>
    네트워크 정책 파일 이름을 지정합니다.
    <namespace>
    선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.

    출력 예

    networkpolicy.networking.k8s.io/deny-by-default created

참고

cluster-admin 권한을 사용하여 웹 콘솔에 로그인하는 경우 YAML 또는 웹 콘솔의 양식에서 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

7.2.3. 기본 거부 모든 네트워크 정책 생성

이는 배포된 다른 네트워크 정책 구성에서 허용하는 네트워크 트래픽 이외의 모든 크로스-Pod 네트워킹을 차단하는 기본 정책입니다. 이 절차에서는 기본 거부 정책을 적용합니다.

참고

cluster-admin 역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

사전 요구 사항

  • 클러스터는 mode: NetworkPolicy 로 설정된 OpenShift SDN 네트워크 공급자와 같은 NetworkPolicy 오브젝트를 지원하는 네트워크 플러그인을 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.
  • OpenShift CLI(oc)를 설치합니다.
  • admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

절차

  1. 모든 네임스페이스의 모든 Pod에서 수신을 거부하는 거부-별-기본 정책을 정의하는 다음 YAML을 생성합니다. YAML을 deny-by-default.yaml 파일에 저장합니다. 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-by-default
  namespace: default 1
spec:
  podSelector: {} 2
  ingress: [] 3
    1
    namespace: default 는 이 정책을 default 네임스페이스에 배포합니다.
    2
    podSelector: 비어 있습니다. 즉, 모든 Pod와 일치합니다. 따라서 이 정책은 default 네임스페이스의 모든 Pod에 적용됩니다.
    3
    Ingress 규칙이 지정되지 않았습니다. 이로 인해 들어오는 트래픽이 모든 Pod로 삭제됩니다.

  2. 다음 명령을 입력하여 정책을 적용합니다. 

    $ oc apply -f deny-by-default.yaml

    출력 예

    networkpolicy.networking.k8s.io/deny-by-default created

7.2.4. 외부 클라이언트의 트래픽을 허용하는 네트워크 정책 생성

deny-by-default 정책을 사용하여 외부 클라이언트에서 라벨이 app=web 인 Pod로의 트래픽을 허용하는 정책을 구성할 수 있습니다.

참고

cluster-admin 역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

다음 절차에 따라 공용 인터넷의 외부 서비스를 직접 또는 로드 밸런서를 사용하여 Pod에 액세스할 수 있는 정책을 구성합니다. 트래픽은 app=web 레이블이 있는 Pod에만 허용됩니다.

사전 요구 사항

  • 클러스터는 mode: NetworkPolicy 로 설정된 OpenShift SDN 네트워크 공급자와 같은 NetworkPolicy 오브젝트를 지원하는 네트워크 플러그인을 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.
  • OpenShift CLI(oc)를 설치합니다.
  • admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

절차

  1. 공용 인터넷의 트래픽을 직접 또는 로드 밸런서를 사용하여 Pod에 액세스할 수 있는 정책을 생성합니다. web-allow-external.yaml 파일에 YAML을 저장합니다. 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: web-allow-external
  namespace: default
spec:
  policyTypes:
  - Ingress
  podSelector:
    matchLabels:
      app: web
  ingress:
    - {}

  2. 다음 명령을 입력하여 정책을 적용합니다. 

    $ oc apply -f web-allow-external.yaml

    출력 예

    networkpolicy.networking.k8s.io/web-allow-external created

이 정책은 다음 다이어그램에 설명된 외부 트래픽을 포함하여 모든 리소스의 트래픽을 허용합니다.

외부 클라이언트의 트래픽 허용

7.2.5. 모든 네임스페이스에서 애플리케이션으로의 트래픽을 허용하는 네트워크 정책 생성

참고

cluster-admin 역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

다음 절차에 따라 모든 네임스페이스의 모든 Pod에서 특정 애플리케이션으로의 트래픽을 허용하는 정책을 구성합니다.

사전 요구 사항

  • 클러스터는 mode: NetworkPolicy 로 설정된 OpenShift SDN 네트워크 공급자와 같은 NetworkPolicy 오브젝트를 지원하는 네트워크 플러그인을 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.
  • OpenShift CLI(oc)를 설치합니다.
  • admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

절차

  1. 모든 네임스페이스의 모든 Pod에서 특정 애플리케이션으로의 트래픽을 허용하는 정책을 생성합니다. YAML을 web-allow-all-namespaces.yaml 파일에 저장합니다. 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: web-allow-all-namespaces
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: web 1
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: {} 2
    1
    정책을 기본 네임스페이스의 app:web Pod에만 적용합니다.
    2
    모든 네임스페이스의 모든 Pod를 선택합니다.
    참고

    기본적으로 namespaceSelector 를 지정하지 않으면 정책이 네트워크 정책이 배포된 네임스페이스에서만 트래픽을 허용하는 네임스페이스를 선택하지 않습니다.

  2. 다음 명령을 입력하여 정책을 적용합니다. 

    $ oc apply -f web-allow-all-namespaces.yaml

    출력 예

    networkpolicy.networking.k8s.io/web-allow-all-namespaces created

검증

  1. 다음 명령을 입력하여 default 네임스페이스에서 웹 서비스를 시작합니다. 

    $ oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80

  2. 다음 명령을 실행하여 보조 네임스페이스에 alpine 이미지를 배포하고 쉘을 시작합니다. 

    $ oc run test-$RANDOM --namespace=secondary --rm -i -t --image=alpine -- sh

  3. 쉘에서 다음 명령을 실행하고 요청이 허용되는지 확인합니다. 

    # wget -qO- --timeout=2 http://web.default

    예상 출력

    <!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

7.2.6. 네임스페이스에서 애플리케이션으로의 트래픽을 허용하는 네트워크 정책 생성

참고

cluster-admin 역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

다음 절차에 따라 특정 네임스페이스에서 app=web 레이블이 있는 Pod로의 트래픽을 허용하는 정책을 구성합니다. 다음 작업을 수행할 수 있습니다.

  • 프로덕션 워크로드가 배포된 네임스페이스로만 프로덕션 데이터베이스로 트래픽을 제한합니다.
  • 특정 네임스페이스에 배포된 모니터링 툴을 활성화하여 현재 네임스페이스에서 메트릭을 스크랩할 수 있습니다.

사전 요구 사항

  • 클러스터는 mode: NetworkPolicy 로 설정된 OpenShift SDN 네트워크 공급자와 같은 NetworkPolicy 오브젝트를 지원하는 네트워크 플러그인을 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.
  • OpenShift CLI(oc)를 설치합니다.
  • admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

절차

  1. purpose=production 레이블이 있는 특정 네임스페이스의 모든 Pod의 트래픽을 허용하는 정책을 생성합니다. YAML을 web-allow-prod.yaml 파일에 저장합니다. 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: web-allow-prod
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: web 1
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          purpose: production 2
    1
    정책을 default 네임스페이스의 app:web Pod에만 적용합니다.
    2
    purpose=production 레이블이 있는 네임스페이스의 Pod로만 트래픽을 제한합니다.

  2. 다음 명령을 입력하여 정책을 적용합니다. 

    $ oc apply -f web-allow-prod.yaml

    출력 예

    networkpolicy.networking.k8s.io/web-allow-prod created

검증

  1. 다음 명령을 입력하여 default 네임스페이스에서 웹 서비스를 시작합니다. 

    $ oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80

  2. 다음 명령을 실행하여 prod 네임스페이스를 생성합니다. 

    $ oc create namespace prod

  3. 다음 명령을 실행하여 prod 네임스페이스에 레이블을 지정합니다. 

    $ oc label namespace/prod purpose=production

  4. 다음 명령을 실행하여 dev 네임스페이스를 생성합니다. 

    $ oc create namespace dev

  5. 다음 명령을 실행하여 dev 네임스페이스에 레이블을 지정합니다. 

    $ oc label namespace/dev purpose=testing

  6. 다음 명령을 실행하여 dev 네임스페이스에 alpine 이미지를 배포하고 쉘을 시작합니다. 

    $ oc run test-$RANDOM --namespace=dev --rm -i -t --image=alpine -- sh

  7. 쉘에서 다음 명령을 실행하고 요청이 차단되었는지 확인합니다. 

    # wget -qO- --timeout=2 http://web.default

    예상 출력

    wget: download timed out

  8. 다음 명령을 실행하여 prod 네임스페이스에 alpine 이미지를 배포하고 쉘을 시작합니다. 

    $ oc run test-$RANDOM --namespace=prod --rm -i -t --image=alpine -- sh

  9. 쉘에서 다음 명령을 실행하고 요청이 허용되는지 확인합니다. 

    # wget -qO- --timeout=2 http://web.default

    예상 출력

    <!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

7.2.7. OpenShift Cluster Manager를 사용하여 네트워크 정책 생성

클러스터의 네임스페이스에서 허용된 수신 또는 송신 네트워크 트래픽을 설명하는 세분화된 규칙을 정의하기 위해 네트워크 정책을 생성할 수 있습니다.

사전 요구 사항

  • OpenShift Cluster Manager Hybrid Cloud Console 에 로그인했습니다.
  • AWS 클러스터에서 Red Hat OpenShift Service를 생성하셨습니다.
  • 클러스터의 ID 공급자를 구성했습니다.
  • 구성된 ID 공급자에 사용자 계정을 추가했습니다.
  • Red Hat OpenShift Service on AWS 클러스터 내에 프로젝트를 생성하셨습니다.

절차

  1. OpenShift Cluster Manager Hybrid Cloud Console 에서 액세스할 클러스터를 클릭합니다.
  2. 콘솔 열기 를 클릭하여 OpenShift 웹 콘솔로 이동합니다.
  3. ID 공급자를 클릭하고 클러스터에 로그인할 수 있는 인증 정보를 제공합니다.
  4. 관리자 관점에서 Networking 아래에서 NetworkPolicies 를 클릭합니다.
  5. NetworkPolicy 생성을 클릭합니다.
  6. 정책 이름 필드에 정책 이름을 제공합니다.
  7. 선택 사항: 이 정책이 하나 이상의 특정 Pod에만 적용되는 경우 특정 Pod에 대한 라벨 및 선택기를 제공할 수 있습니다. 특정 Pod를 선택하지 않으면 이 정책은 클러스터의 모든 Pod에 적용됩니다.
  8. 선택 사항: 모든 수신 트래픽 거부 또는 모든 송신 트래픽 거부 확인란을 사용하여 모든 수신 및 송신 트래픽 차단할 수 있습니다.
  9. 또한 수신 및 송신 규칙의 조합을 추가하여 승인하려는 포트, 네임스페이스 또는 IP 블록을 지정할 수 있습니다.

  10. 정책에 수신 규칙을 추가합니다.

    1. 수신 규칙 추가 를 선택하여 새 규칙을 구성합니다. 이 작업에서는 인바운드 트래픽을 제한하는 방법을 지정할 수 있는 Add allowed source 드롭다운 메뉴를 사용하여 새 Ingress 규칙 행을 생성합니다. 드롭다운 메뉴에는 인그레스 트래픽을 제한하는 세 가지 옵션이 있습니다.

      • 동일한 네임스페이스의 Pod가 동일한 네임스페이스 내의 Pod로 트래픽을 제한하도록 허용합니다. 네임스페이스에서 Pod를 지정할 수 있지만 이 옵션을 비워 두면 네임스페이스의 Pod의 모든 트래픽이 허용됩니다.
      • 클러스터 내부의 포드가 정책과 동일한 클러스터 내의 pod로 트래픽을 제한하도록 허용합니다. 인바운드 트래픽을 허용하려는 네임스페이스 및 Pod를 지정할 수 있습니다. 이 옵션을 비워 두면 이 클러스터 내의 모든 네임스페이스 및 Pod의 인바운드 트래픽이 허용됩니다.
      • allow peer by IP 블록에서 는 지정된 CIDR(Classless Inter-Domain Routing) IP 블록의 트래픽을 제한합니다. 예외 옵션으로 특정 IP를 차단할 수 있습니다. CIDR 필드를 비워 두면 모든 외부 소스의 인바운드 트래픽이 모두 허용됩니다.
    2. 모든 인바운드 트래픽을 포트로 제한할 수 있습니다. 포트를 추가하지 않으면 모든 포트에 트래픽에 액세스할 수 있습니다.

  11. 네트워크 정책에 송신 규칙을 추가합니다.

    1. 송신 규칙 추가 를 선택하여 새 규칙을 구성합니다. 이 작업은 Add allowed destination"* 드롭다운 메뉴로 새 Egress 규칙 행을 생성하여 아웃바운드 트래픽을 제한하는 방법을 지정할 수 있습니다. 드롭다운 메뉴에서는 송신 트래픽을 제한하는 세 가지 옵션을 제공합니다.

      • 동일한 네임스페이스의 Pod는 동일한 네임스페이스 내의 Pod로 아웃바운드 트래픽을 제한합니다. 네임스페이스에서 Pod를 지정할 수 있지만 이 옵션을 비워 두면 네임스페이스의 Pod의 모든 트래픽이 허용됩니다.
      • 클러스터 내부의 포드가 정책과 동일한 클러스터 내의 pod로 트래픽을 제한하도록 허용합니다. 아웃바운드 트래픽을 허용하려는 네임스페이스 및 Pod를 지정할 수 있습니다. 이 옵션을 비워 두면 이 클러스터 내의 모든 네임스페이스 및 Pod의 아웃바운드 트래픽이 허용됩니다.
      • IP 블록별 피어 를 허용하면 지정된 CIDR IP 블록의 트래픽을 제한합니다. 예외 옵션으로 특정 IP를 차단할 수 있습니다. CIDR 필드를 비워 두면 모든 외부 소스의 아웃바운드 트래픽이 모두 허용됩니다.
    2. 모든 아웃바운드 트래픽을 포트로 제한할 수 있습니다. 포트를 추가하지 않으면 모든 포트에 트래픽에 액세스할 수 있습니다.

7.3. 네트워크 정책 보기

admin 역할이 있는 사용자는 네임스페이스에 대한 네트워크 정책을 볼 수 있습니다.

7.3.1. NetworkPolicy 오브젝트 예

다음은 예제 NetworkPolicy 오브젝트에 대한 주석입니다. 

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-27107 1
spec:
  podSelector: 2
    matchLabels:
      app: mongodb
  ingress:
  - from:
    - podSelector: 3
        matchLabels:
          app: app
    ports: 4
    - protocol: TCP
      port: 27017
1
NetworkPolicy 오브젝트의 이름입니다.
2
정책이 적용되는 Pod를 설명하는 선택기입니다. 정책 오브젝트는 NetworkPolicy 오브젝트를 정의하는 프로젝트에서 Pod만 선택할 수 있습니다.
3
정책 오브젝트가 수신 트래픽을 허용하는 Pod와 일치하는 선택기입니다. 선택기는 NetworkPolicy와 동일한 네임스페이스의 Pod와 일치합니다.
4
트래픽을 수락할 하나 이상의 대상 포트 목록입니다.

7.3.2. CLI를 사용하여 네트워크 정책 보기

네임스페이스에서 네트워크 정책을 검사할 수 있습니다.

참고

cluster-admin 역할을 가진 사용자로 로그인하면 클러스터의 모든 네트워크 정책을 볼 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 네트워크 정책이 존재하는 네임스페이스에서 작업하고 있습니다.

프로세스

  • 네임스페이스의 네트워크 정책을 나열합니다.

    • 네임스페이스에 정의된 네트워크 정책 개체를 보려면 다음 명령을 입력합니다. 

      $ oc get networkpolicy

    • 선택 사항: 특정 네트워크 정책을 검사하려면 다음 명령을 입력합니다. 

      $ oc describe networkpolicy <policy_name> -n <namespace>

      다음과 같습니다.

      <policy_name>
      검사할 네트워크 정책의 이름을 지정합니다.
      <namespace>
      선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.

      예를 들면 다음과 같습니다. 

      $ oc describe networkpolicy allow-same-namespace

      oc describe 명령의 출력

      Name:         allow-same-namespace
Namespace:    ns1
Created on:   2021-05-24 22:28:56 -0400 EDT
Labels:       <none>
Annotations:  <none>
Spec:
  PodSelector:     <none> (Allowing the specific traffic to all pods in this namespace)
  Allowing ingress traffic:
    To Port: <any> (traffic allowed to all ports)
    From:
      PodSelector: <none>
  Not affecting egress traffic
  Policy Types: Ingress

참고

cluster-admin 권한을 사용하여 웹 콘솔에 로그인하는 경우 YAML에서 직접 또는 웹 콘솔의 양식에서 클러스터의 모든 네임스페이스에서 네트워크 정책을 볼 수 있습니다.

7.3.3. OpenShift Cluster Manager를 사용하여 네트워크 정책 보기

Red Hat OpenShift Cluster Manager에서 네트워크 정책의 구성 세부 정보를 볼 수 있습니다.

사전 요구 사항

  • OpenShift Cluster Manager Hybrid Cloud Console 에 로그인했습니다.
  • AWS 클러스터에서 Red Hat OpenShift Service를 생성하셨습니다.
  • 클러스터의 ID 공급자를 구성했습니다.
  • 구성된 ID 공급자에 사용자 계정을 추가했습니다.
  • 네트워크 정책을 생성했습니다.

절차

  1. OpenShift Cluster Manager 웹 콘솔의 Administrator 관점에서 Networking 에서 NetworkPolicies 를 클릭합니다.
  2. 확인할 네트워크 정책을 선택합니다.
  3. 네트워크 정책 세부 정보 페이지에서 연결된 모든 수신 및 송신 규칙을 볼 수 있습니다.

  4. 네트워크 정책 세부 정보에서 YAML 을 선택하여 YAML 형식으로 정책 구성을 확인합니다.

    참고

    이러한 정책의 세부 사항만 볼 수 있습니다. 이러한 정책을 편집할 수 없습니다.

7.4. 네트워크 정책 삭제

admin 역할이 있는 사용자는 네임스페이스에서 네트워크 정책을 삭제할 수 있습니다.

7.4.1. CLI를 사용하여 네트워크 정책 삭제

네임스페이스에서 네트워크 정책을 삭제할 수 있습니다.

참고

cluster-admin 역할을 가진 사용자로 로그인하면 클러스터의 모든 네트워크 정책을 삭제할 수 있습니다.

사전 요구 사항

  • 클러스터는 mode: NetworkPolicy 로 설정된 OpenShift SDN 네트워크 공급자와 같은 NetworkPolicy 오브젝트를 지원하는 네트워크 플러그인을 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.
  • OpenShift CLI(oc)를 설치합니다.
  • admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 네트워크 정책이 존재하는 네임스페이스에서 작업하고 있습니다.

프로세스

  • 네트워크 정책 개체를 삭제하려면 다음 명령을 입력합니다. 

    $ oc delete networkpolicy <policy_name> -n <namespace>

    다음과 같습니다.

    <policy_name>
    네트워크 정책의 이름을 지정합니다.
    <namespace>
    선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.

    출력 예

    networkpolicy.networking.k8s.io/default-deny deleted

참고

cluster-admin 권한을 사용하여 웹 콘솔에 로그인하는 경우 작업 메뉴를 통해 클러스터의 네임스페이스에서 직접 또는 웹 콘솔의 정책에서 네트워크 정책을 삭제할 수 있습니다.

7.4.2. OpenShift Cluster Manager를 사용하여 네트워크 정책 삭제

네임스페이스에서 네트워크 정책을 삭제할 수 있습니다.

사전 요구 사항

  • OpenShift Cluster Manager Hybrid Cloud Console 에 로그인했습니다.
  • AWS 클러스터에서 Red Hat OpenShift Service를 생성하셨습니다.
  • 클러스터의 ID 공급자를 구성했습니다.
  • 구성된 ID 공급자에 사용자 계정을 추가했습니다.

절차

  1. OpenShift Cluster Manager 웹 콘솔의 Administrator 관점에서 Networking 에서 NetworkPolicies 를 클릭합니다.

  2. 다음 방법 중 하나를 사용하여 네트워크 정책을 삭제합니다.

    • 네트워크 정책 표에서 정책을 삭제합니다.

      1. Network Policies (네트워크 정책) 표에서 삭제할 네트워크 정책 행의 스택 메뉴를 선택한 다음 Delete NetworkPolicy 를 클릭합니다.

    • 개별 네트워크 정책 세부 정보에서 작업 드롭다운 메뉴를 사용하여 정책을 삭제합니다.

      1. 네트워크 정책의 작업 드롭다운 메뉴를 클릭합니다.
      2. 메뉴에서 NetworkPolicy 삭제 를 선택합니다.

7.5. 네트워크 정책으로 다중 테넌트 격리 구성

클러스터 관리자는 다중 테넌트 네트워크 격리를 제공하도록 네트워크 정책을 구성할 수 있습니다.

참고

OpenShift SDN 네트워크 플러그인을 사용하는 경우 이 섹션에 설명된 대로 네트워크 정책을 구성하는 경우 다중 테넌트 모드와 유사하지만 네트워크 정책 모드가 설정된 네트워크 격리를 제공합니다.

7.5.1. 네트워크 정책을 사용하여 다중 테넌트 격리 구성

다른 프로젝트 네임스페이스의 Pod 및 서비스에서 격리하도록 프로젝트를 구성할 수 있습니다.

사전 요구 사항

  • 클러스터는 mode: NetworkPolicy 로 설정된 OpenShift SDN 네트워크 공급자와 같은 NetworkPolicy 오브젝트를 지원하는 네트워크 플러그인을 사용합니다. 이 모드는 OpenShift SDN의 기본값입니다.
  • OpenShift CLI(oc)를 설치합니다.
  • admin 권한이 있는 사용자로 클러스터에 로그인합니다.

프로세스

  1. 다음 NetworkPolicy 오브젝트를 생성합니다.

    1. 이름이 allow-from-openshift-ingress인 정책입니다. 

      $ cat << EOF| oc create -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-openshift-ingress
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          policy-group.network.openshift.io/ingress: ""
  podSelector: {}
  policyTypes:
  - Ingress
EOF
      참고

      policy-group.network.openshift.io/ingress: "" 는 OpenShift SDN에 권장되는 네임스페이스 선택기 레이블입니다. network.openshift.io/policy-group: ingress 네임스페이스 선택기 레이블을 사용할 수 있지만 레거시 레이블입니다.

    2. 이름이 allow-from-openshift-monitoring인 정책: 

      $ cat << EOF| oc create -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-openshift-monitoring
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          network.openshift.io/policy-group: monitoring
  podSelector: {}
  policyTypes:
  - Ingress
EOF

    3. 이름이 allow-same-namespace인 정책: 

      $ cat << EOF| oc create -f -
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}
EOF

    4. 이름이 allow-from-kube-apiserver-operator 인 정책: 

      $ cat << EOF| oc create -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-kube-apiserver-operator
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: openshift-kube-apiserver-operator
      podSelector:
        matchLabels:
          app: kube-apiserver-operator
  policyTypes:
  - Ingress
EOF

      자세한 내용은 웹 후크 의 상태를 검증하는 New kube-apiserver-operator webhook 컨트롤러를 참조하십시오.

  2. 선택 사항: 현재 프로젝트에 네트워크 정책이 있는지 확인하려면 다음 명령을 입력합니다. 

    $ oc describe networkpolicy

    출력 예

    Name:         allow-from-openshift-ingress
Namespace:    example1
Created on:   2020-06-09 00:28:17 -0400 EDT
Labels:       <none>
Annotations:  <none>
Spec:
  PodSelector:     <none> (Allowing the specific traffic to all pods in this namespace)
  Allowing ingress traffic:
    To Port: <any> (traffic allowed to all ports)
    From:
      NamespaceSelector: network.openshift.io/policy-group: ingress
  Not affecting egress traffic
  Policy Types: Ingress


Name:         allow-from-openshift-monitoring
Namespace:    example1
Created on:   2020-06-09 00:29:57 -0400 EDT
Labels:       <none>
Annotations:  <none>
Spec:
  PodSelector:     <none> (Allowing the specific traffic to all pods in this namespace)
  Allowing ingress traffic:
    To Port: <any> (traffic allowed to all ports)
    From:
      NamespaceSelector: network.openshift.io/policy-group: monitoring
  Not affecting egress traffic
  Policy Types: Ingress

8장. 경로 구성

8.1. 경로 구성

8.1.1. HTTP 기반 경로 생성

경로를 사용하면 공용 URL에서 애플리케이션을 호스팅할 수 있습니다. 애플리케이션의 네트워크 보안 구성에 따라 안전하거나 안전하지 않을 수 있습니다. HTTP 기반 경로는 기본 HTTP 라우팅 프로토콜을 사용하고 보안되지 않은 애플리케이션 포트에서 서비스를 노출하는 비보안 라우팅입니다.

다음 절차에서는 hello-openshift 애플리케이션을 예로 사용하여 웹 애플리케이션에 대한 간단한 HTTP 기반 경로를 생성하는 방법을 설명합니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • 관리자로 로그인되어 있습니다.
  • 포트 및 포트의 트래픽을 수신하는 TCP 엔드포인트를 노출하는 웹 애플리케이션이 있습니다.

절차

  1. 다음 명령을 실행하여 hello-openshift 라는 프로젝트를 생성합니다. 

    $ oc new-project hello-openshift

  2. 다음 명령을 실행하여 프로젝트에 Pod를 생성합니다. 

    $ oc create -f https://raw.githubusercontent.com/openshift/origin/master/examples/hello-openshift/hello-pod.json

  3. 다음 명령을 실행하여 hello-openshift 라는 서비스를 생성합니다. 

    $ oc expose pod/hello-openshift

  4. 다음 명령을 실행하여 hello-openshift 애플리케이션에 대한 비보안 경로를 생성합니다. 

    $ oc expose svc hello-openshift

검증

  • 생성한 경로 리소스가 있는지 확인하려면 다음 명령을 실행합니다. 

    $ oc get routes -o yaml <name of resource> 1
    1
    이 예제에서 경로 이름은 hello-openshift 입니다.

생성된 비보안 경로의 샘플 YAML 정의:

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: hello-openshift
spec:
  host: hello-openshift-hello-openshift.<Ingress_Domain> 1
  port:
    targetPort: 8080 2
  to:
    kind: Service
    name: hello-openshift

1
<Ingress_Domain >은 기본 수신 도메인 이름입니다. ingresses.config/cluster 오브젝트는 설치 중에 생성되며 변경할 수 없습니다. 다른 도메인을 지정하려면 appsDomain 옵션을 사용하여 대체 클러스터 도메인을 지정할 수 있습니다.
2
targetPort 는 이 경로가 가리키는 서비스에서 선택한 Pod의 대상 포트입니다.
참고

기본 수신 도메인을 표시하려면 다음 명령을 실행합니다. 

$ oc get ingresses.config/cluster -o jsonpath={.spec.domain}

8.1.2. 경로 시간 초과 구성

SLA(Service Level Availability) 목적에 필요한 낮은 시간 초과 또는 백엔드가 느린 경우 높은 시간 초과가 필요한 서비스가 있는 경우 기존 경로에 대한 기본 시간 초과를 구성할 수 있습니다.

사전 요구 사항

  • 실행 중인 클러스터에 배포된 Ingress 컨트롤러가 필요합니다.

프로세스

  1. oc annotate 명령을 사용하여 경로에 시간 초과를 추가합니다. 

    $ oc annotate route <route_name> \
    --overwrite haproxy.router.openshift.io/timeout=<timeout><time_unit> 1
    1
    지원되는 시간 단위는 마이크로초(us), 밀리초(ms), 초(s), 분(m), 시간(h) 또는 일(d)입니다.

    다음 예제는 이름이 myroute인 경로에서 2초의 시간 초과를 설정합니다. 

    $ oc annotate route myroute --overwrite haproxy.router.openshift.io/timeout=2s

8.1.3. HSTS(HTTP Strict Transport Security)

HSTS(HTTP Strict Transport Security) 정책은 라우트 호스트에서 HTTPS 트래픽만 허용됨을 브라우저 클라이언트에 알리는 보안 강화 정책입니다. 또한 HSTS는 HTTP 리디렉션을 사용하지 않고 HTTPS 전송 신호를 통해 웹 트래픽을 최적화합니다. HSTS는 웹사이트와의 상호 작용을 가속화하는 데 유용합니다.

HSTS 정책이 적용되면 HSTS는 사이트의 HTTP 및 HTTPS 응답에 Strict Transport Security 헤더를 추가합니다. 경로에서 insecureEdgeTerminationPolicy 값을 사용하여 HTTP를 HTTPS로 리디렉션할 수 있습니다. HSTS를 적용하면 클라이언트는 요청을 전송하기 전에 HTTP URL의 모든 요청을 HTTPS로 변경하여 리디렉션이 필요하지 않습니다.

클러스터 관리자는 다음을 수행하도록 HSTS를 구성할 수 있습니다.

  • 경로당 HSTS 활성화
  • 라우팅당 HSTS 비활성화
  • 도메인당 HSTS 시행, 도메인 집합 또는 도메인과 함께 네임스페이스 라벨 사용
중요

HSTS는 보안 경로(엣지 종료 또는 재암호화)에서만 작동합니다. HTTP 또는 패스스루(passthrough) 경로에서는 구성이 유효하지 않습니다.

8.1.3.1. 라우팅당 HSTS(HTTP Strict Transport Security) 활성화

HSTS(HTTP Strict Transport Security)는 HAProxy 템플릿에 구현되고 haproxy.router.openshift.io/hsts_header 주석이 있는 에지 및 재암호화 경로에 적용됩니다.

사전 요구 사항

  • 프로젝트에 대한 관리자 권한이 있는 사용자로 클러스터에 로그인합니다.
  • oc CLI를 설치했습니다.

절차

  • 경로에서 HSTS를 활성화하려면 haproxy.router.openshift.io/hsts_header 값을 에지 종료 또는 재암호화 경로에 추가합니다. oc annotate 툴을 사용하여 다음 명령을 실행하여 이 작업을 수행할 수 있습니다. 

    $ oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=31536000;\ 1
includeSubDomains;preload"
    1
    이 예에서 최대 기간은 31536000 ms로 설정되며 약 8시간 반입니다.
    참고

    이 예제에서는 등호(=)는 따옴표로 묶습니다. 이 작업은 annotate 명령을 올바르게 실행하는 데 필요합니다.

    주석으로 구성된 경로 예

    apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=31536000;includeSubDomains;preload 1 2 3
...
spec:
  host: def.abc.com
  tls:
    termination: "reencrypt"
    ...
  wildcardPolicy: "Subdomain"

    1
    필수 항목입니다. Max-age는 HSTS 정책이 적용되는 시간(초)을 측정합니다. 0으로 설정하면 정책이 무효화됩니다.
    2
    선택 사항: 포함되는 경우 includeSubDomains는 호스트의 모든 하위 도메인에 호스트와 동일한 HSTS 정책이 있어야 함을 알려줍니다.
    3
    선택 사항: max-age가 0보다 크면 haproxy.router.openshift.io/hsts_headerpreload를 추가하여 외부 서비스에서 이 사이트를 HSTS 사전 로드 목록에 포함할 수 있습니다. 예를 들어 Google과 같은 사이트는 preload가 설정된 사이트 목록을 구성할 수 있습니다. 그런 다음 브라우저는 이 목록을 사용하여 사이트와 상호 작용하기 전에 HTTPS를 통해 통신할 수 있는 사이트를 결정할 수 있습니다. preload를 설정하지 않으면 브라우저가 HTTPS를 통해 사이트와 상호 작용하여 헤더를 가져와야 합니다.

8.1.3.2. 라우팅당 HSTS(HTTP Strict Transport Security) 비활성화

경로당 HSTS(HTTP Strict Transport Security)를 비활성화하려면 경로 주석에서 max-age 값을 0으로 설정할 수 있습니다.

사전 요구 사항

  • 프로젝트에 대한 관리자 권한이 있는 사용자로 클러스터에 로그인합니다.
  • oc CLI를 설치했습니다.

절차

  • HSTS를 비활성화하려면 다음 명령을 입력하여 경로 주석의 max-age 값을 0으로 설정합니다. 

    $ oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"
    작은 정보

    다음 YAML을 적용하여 구성 맵을 만들 수 있습니다.

    경로당 HSTS 비활성화 예

    metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=0

  • 네임스페이스의 모든 경로에 대해 HSTS를 비활성화하려면 다음 명령을 입력합니다. 

    $ oc annotate route --all -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

검증

  1. 모든 경로에 대한 주석을 쿼리하려면 다음 명령을 입력합니다. 

    $ oc get route  --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'

    출력 예

    Name: routename HSTS: max-age=0

8.1.4. 쿠키를 사용하여 경로 상태 유지

AWS의 Red Hat OpenShift Service는 모든 트래픽이 동일한 끝점에 도달하도록 하여 상태 저장 애플리케이션 트래픽을 활성화하는 고정 세션을 제공합니다. 그러나 재시작, 스케일링 또는 구성 변경 등으로 인해 끝점 pod가 종료되면 이러한 상태 저장 특성이 사라질 수 있습니다.

AWS의 Red Hat OpenShift Service는 쿠키를 사용하여 세션 지속성을 구성할 수 있습니다. Ingress 컨트롤러에서는 사용자 요청을 처리할 끝점을 선택하고 세션에 대한 쿠키를 생성합니다. 쿠키는 요청에 대한 응답으로 다시 전달되고 사용자는 세션의 다음 요청과 함께 쿠키를 다시 보냅니다. 쿠키는 세션을 처리하는 끝점을 Ingress 컨트롤러에 알려 클라이언트 요청이 쿠키를 사용하여 동일한 Pod로 라우팅되도록 합니다.

참고

HTTP 트래픽을 볼 수 없기 때문에 패스스루 경로에서 쿠키를 설정할 수 없습니다. 대신 백엔드를 결정하는 소스 IP 주소를 기반으로 숫자가 계산됩니다.

백엔드가 변경되면 트래픽을 잘못된 서버로 전달하여 덜 고정시킬 수 있습니다. 소스 IP를 숨기는 로드 밸런서를 사용하는 경우 모든 연결에 대해 동일한 번호가 설정되고 트래픽이 동일한 Pod로 전송됩니다.

8.1.5. 경로 기반 라우터

경로 기반 라우터는 URL과 비교할 수 있는 경로 구성 요소를 지정하며 이를 위해 라우트의 트래픽이 HTTP 기반이어야 합니다. 따라서 동일한 호스트 이름을 사용하여 여러 경로를 제공할 수 있으며 각각 다른 경로가 있습니다. 라우터는 가장 구체적인 경로를 기반으로 하는 라우터와 일치해야 합니다. 그러나 이는 라우터 구현에 따라 다릅니다.

다음 표에서는 경로 및 액세스 가능성을 보여줍니다.

표 8.1. 경로 가용성

경로비교 대상액세스 가능

www.example.com/test

www.example.com/test

제공됨

www.example.com

없음

www.example.com/testwww.example.com

www.example.com/test

제공됨

www.example.com

제공됨

www.example.com

www.example.com/text

예 (경로가 아닌 호스트에 의해 결정됨)

www.example.com

제공됨

경로가 있는 보안되지 않은 라우터

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: route-unsecured
spec:
  host: www.example.com
  path: "/test" 1
  to:
    kind: Service
    name: service-name

1
경로는 경로 기반 라우터에 대해 추가된 유일한 속성입니다.
참고

라우터가 해당 경우 TLS를 종료하지 않고 요청 콘텐츠를 읽을 수 없기 때문에 패스스루 TLS를 사용할 때 경로 기반 라우팅을 사용할 수 없습니다.

8.1.6. 경로별 주석

Ingress 컨트롤러는 노출하는 모든 경로에 기본 옵션을 설정할 수 있습니다. 개별 경로는 주석에 특정 구성을 제공하는 방식으로 이러한 기본값 중 일부를 덮어쓸 수 있습니다. Red Hat은 operator 관리 경로에 경로 주석 추가를 지원하지 않습니다.

중요

여러 소스 IP 또는 서브넷이 있는 화이트리스트를 생성하려면 공백으로 구분된 목록을 사용합니다. 다른 구분 기호 유형으로 인해 경고 또는 오류 메시지 없이 목록이 무시됩니다.

표 8.2. 경로 주석

변수설명기본값으로 사용되는 환경 변수

haproxy.router.openshift.io/balance

로드 밸런싱 알고리즘을 설정합니다. 사용 가능한 옵션은 random, source, roundrobin, leastconn입니다. 기본값은 random 입니다.

경유 경로의 경우 ROUTER_TCP_BALANCE_SCHEME입니다. 그 외에는 ROUTER_LOAD_BALANCE_ALGORITHM을 사용하십시오.

haproxy.router.openshift.io/disable_cookies

쿠키를 사용하여 관련 연결을 추적하지 않도록 설정합니다. 'true' 또는 'TRUE' 로 설정하면 수신되는 각 HTTP 요청에 대해 어떤 백엔드 연결을 제공하는지 밸런싱 알고리즘이 사용됩니다.

 

router.openshift.io/cookie_name

이 경로에 사용할 선택적 쿠키를 지정합니다. 이름은 대문자와 소문자, 숫자, ‘_’, ‘-’의 조합으로 구성해야 합니다. 기본값은 경로의 해시된 내부 키 이름입니다.

 

haproxy.router.openshift.io/pod-concurrent-connections

라우터에서 백업 pod로 허용되는 최대 연결 수를 설정합니다.
참고: Pod가 여러 개인 경우 각각 이 수만큼의 연결이 있을 수 있습니다. 라우터가 여러 개 있고 조정이 이루어지지 않는 경우에는 각각 이 횟수만큼 연결할 수 있습니다. 설정하지 않거나 0으로 설정하면 제한이 없습니다.

 

haproxy.router.openshift.io/rate-limit-connections

'true' 또는 'TRUE' 를 설정하면 경로당 특정 백엔드에서 고정 테이블을 통해 구현되는 속도 제한 기능을 사용할 수 있습니다.
참고: 이 주석을 사용하면 DDoS(Distributed-of-service) 공격에 대한 기본 보호 기능이 제공됩니다.

 

haproxy.router.openshift.io/rate-limit-connections.concurrent-tcp

동일한 소스 IP 주소를 통해 만든 동시 TCP 연결 수를 제한합니다. 숫자 값을 허용합니다.
참고: 이 주석을 사용하면 DDoS(Distributed-of-service) 공격에 대한 기본 보호 기능이 제공됩니다.

 

haproxy.router.openshift.io/rate-limit-connections.rate-http

동일한 소스 IP 주소가 있는 클라이언트에서 HTTP 요청을 수행할 수 있는 속도를 제한합니다. 숫자 값을 허용합니다.
참고: 이 주석을 사용하면 DDoS(Distributed-of-service) 공격에 대한 기본 보호 기능이 제공됩니다.

 

haproxy.router.openshift.io/rate-limit-connections.rate-tcp

동일한 소스 IP 주소가 있는 클라이언트에서 TCP 연결을 수행할 수 있는 속도를 제한합니다. 숫자 값을 허용합니다.
참고: 이 주석을 사용하면 DDoS(Distributed-of-service) 공격에 대한 기본 보호 기능이 제공됩니다.

 

haproxy.router.openshift.io/timeout

경로에 대한 서버 쪽 타임아웃을 설정합니다. (TimeUnits)

ROUTER_DEFAULT_SERVER_TIMEOUT

haproxy.router.openshift.io/timeout-tunnel

이 시간 초과는 일반 텍스트, 에지, 재암호화 또는 패스스루 경로와 같은 터널 연결에 적용됩니다. 일반 텍스트, 에지 또는 재암호화 경로 유형을 사용하면 이 주석이 기존 시간 초과 값을 사용하여 시간 제한 터널로 적용됩니다. passthrough 경로 유형의 경우 주석은 기존의 시간 초과 값보다 우선합니다.

ROUTER_DEFAULT_TUNNEL_TIMEOUT

ingresses.config/cluster ingress.operator.openshift.io/hard-stop-after

IngressController 또는 ingress 구성을 설정할 수 있습니다. 이 주석은 라우터를 재배포하고 전체 소프트 중지를 수행하는 데 허용되는 최대 시간을 정의하는 haproxy hard-stop-after 글로벌 옵션을 내보내도록 HA 프록시를 구성합니다.

ROUTER_HARD_STOP_AFTER

router.openshift.io/haproxy.health.check.interval

백엔드 상태 점검 간격을 설정합니다. (TimeUnits)

ROUTER_BACKEND_CHECK_INTERVAL

haproxy.router.openshift.io/ip_whitelist

경로에 대한 화이트리스트를 설정합니다. 화이트리스트는 승인된 소스 주소에 대한 IP 주소 및 CIDR 범위가 공백으로 구분된 목록입니다. 화이트리스트에 없는 IP 주소의 요청은 삭제됩니다.

화이트리스트에 허용되는 최대 IP 주소 및 CIDR 범위 수는 61개입니다.

 

haproxy.router.openshift.io/hsts_header

엣지 종단 경로 또는 재암호화 경로에 Strict-Transport-Security 헤더를 설정합니다.

 

haproxy.router.openshift.io/log-send-hostname

Syslog 헤더에 hostname 필드를 설정합니다. 시스템의 호스트 이름을 사용합니다. 라우터에 대해 사이드카 또는 Syslog 기능과 같은 Ingress API 로깅 방법이 활성화된 경우 기본적으로 log-send-hostname이 사용됩니다.

 

haproxy.router.openshift.io/rewrite-target

백엔드의 요청 재작성 경로를 설정합니다.

 

router.openshift.io/cookie-same-site

쿠키를 제한하는 값을 설정합니다. 값은 다음과 같습니다.

Lax: 방문한 사이트와 타사 사이트 간에 쿠키가 전송됩니다.

Strict: 쿠키가 방문한 사이트로 제한됩니다.

None: 쿠키가 방문한 사이트로 제한됩니다.

이 값은 재암호화 및 엣지 경로에만 적용됩니다. 자세한 내용은 SameSite 쿠키 설명서를 참조하십시오.

 

haproxy.router.openshift.io/set-forwarded-headers

라우터당 ForwardedX-Forwarded-For HTTP 헤더를 처리하기 위한 정책을 설정합니다. 값은 다음과 같습니다.

append: 기존 헤더를 유지하면서 헤더를 추가합니다. 이는 기본값입니다.

replace: 헤더를 설정하고 기존 헤더를 제거합니다.

never: 헤더를 설정하지 않고 기존 헤더를 유지합니다.

if-none: 아직 설정되지 않은 경우 헤더를 설정합니다.

ROUTER_SET_FORWARDED_HEADERS

참고

환경 변수는 편집할 수 없습니다.

라우터 시간 제한 변수

TimeUnits는 다음과 같이 표시됩니다. us *(마이크로초), ms (밀리초, 기본값), s (초), m (분), h *(시간), d (일).

정규 표현식은 [1-9][0-9]*(us\|ms\|s\|m\|h\|d)입니다.

VariableDefault설명

ROUTER_BACKEND_CHECK_INTERVAL

5000ms

백엔드에서 후속 활성 검사 사이의 시간입니다.

ROUTER_CLIENT_FIN_TIMEOUT

1s

경로에 연결된 클라이언트의 TCP FIN 시간 제한 기간을 제어합니다. FIN이 연결을 닫도록 전송한 경우 지정된 시간 내에 응답하지 않으면 HAProxy가 연결을 종료합니다. 낮은 값으로 설정하면 문제가 없으며 라우터에서 더 적은 리소스를 사용합니다.

ROUTER_DEFAULT_CLIENT_TIMEOUT

30s

클라이언트가 데이터를 승인하거나 보내야 하는 시간입니다.

ROUTER_DEFAULT_CONNECT_TIMEOUT

5s

최대 연결 시간입니다.

ROUTER_DEFAULT_SERVER_FIN_TIMEOUT

1s

라우터에서 경로를 지원하는 pod로의 TCP FIN 시간 초과를 제어합니다.

ROUTER_DEFAULT_SERVER_TIMEOUT

30s

서버에서 데이터를 승인하거나 보내야 하는 시간입니다.

ROUTER_DEFAULT_TUNNEL_TIMEOUT

1h

TCP 또는 WebSocket 연결이 열린 상태로 유지되는 동안의 시간입니다. 이 시간 제한 기간은 HAProxy를 다시 로드할 때마다 재설정됩니다.

ROUTER_SLOWLORIS_HTTP_KEEPALIVE

300s

새 HTTP 요청이 표시될 때까지 대기할 최대 시간을 설정합니다. 이 값을 너무 낮게 설정하면 작은 keepalive 값을 예상하지 못하는 브라우저 및 애플리케이션에 문제가 발생할 수 있습니다.

일부 유효한 시간 제한 값은 예상되는 특정 시간 초과가 아니라 특정 변수의 합계일 수 있습니다. 예를 들어 ROUTER_SLOWLORIS_HTTP_KEEPALIVEtimeout http-keep-alive를 조정합니다. 기본적으로 300s로 설정되지만 HAProxy는 5s로 설정된 tcp-request inspect-delay도 대기합니다. 이 경우 전체 시간 초과는 300s + 5s입니다.

ROUTER_SLOWLORIS_TIMEOUT

10s

HTTP 요청 전송에 걸리는 시간입니다.

RELOAD_INTERVAL

5s

라우터의 최소 빈도가 새 변경 사항을 다시 로드하고 승인하도록 허용합니다.

ROUTER_METRICS_HAPROXY_TIMEOUT

5s

HAProxy 메트릭 수집에 대한 시간 제한입니다.

경로 설정 사용자 정의 타임아웃

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/timeout: 5500ms 1
...

1
HAProxy 지원 단위(us, ms, s, m, h, d)를 사용하여 새 타임아웃을 지정합니다. 단위가 제공되지 않는 경우 ms가 기본값입니다.
참고

패스스루(passthrough) 경로에 대한 서버 쪽 타임아웃 값을 너무 낮게 설정하면 해당 경로에서 WebSocket 연결이 자주 시간 초과될 수 있습니다.

하나의 특정 IP 주소만 허용하는 경로

metadata:
  annotations:
    haproxy.router.openshift.io/ip_whitelist: 192.168.1.10

여러 IP 주소를 허용하는 경로

metadata:
  annotations:
    haproxy.router.openshift.io/ip_whitelist: 192.168.1.10 192.168.1.11 192.168.1.12

IP 주소 CIDR 네트워크를 허용하는 경로

metadata:
  annotations:
    haproxy.router.openshift.io/ip_whitelist: 192.168.1.0/24

IP 주소 및 IP 주소 CIDR 네트워크를 둘 다 허용하는 경로

metadata:
  annotations:
    haproxy.router.openshift.io/ip_whitelist: 180.5.61.153 192.168.1.0/24 10.0.0.0/8

재작성 대상을 지정하는 경로

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/rewrite-target: / 1
...

1
/를 백엔드의 요청 재작성 경로로 설정합니다.

경로에 haproxy.router.openshift.io/rewrite-target 주석을 설정하면 Ingress Controller에서 요청을 백엔드 애플리케이션으로 전달하기 전에 이 경로를 사용하여 HTTP 요청의 경로를 재작성해야 합니다. spec.path에 지정된 경로와 일치하는 요청 경로 부분은 주석에 지정된 재작성 대상으로 교체됩니다.

다음 표에 spec.path, 요청 경로, 재작성 대상의 다양한 조합에 따른 경로 재작성 동작의 예가 있습니다.

표 8.3. 재작성 대상의 예:

Route.spec.path요청 경로재작성 대상전달된 요청 경로

/foo

/foo

/

/

/foo

/foo/

/

/

/foo

/foo/bar

/

/bar

/foo

/foo/bar/

/

/bar/

/foo

/foo

/bar

/bar

/foo

/foo/

/bar

/bar/

/foo

/foo/bar

/baz

/baz/bar

/foo

/foo/bar/

/baz

/baz/bar/

/foo/

/foo

/

N/A(요청 경로가 라우팅 경로와 일치하지 않음)

/foo/

/foo/

/

/

/foo/

/foo/bar

/

/bar

8.1.7. Ingress 오브젝트를 통해 기본 인증서를 사용하여 경로 생성

TLS 구성을 지정하지 않고 Ingress 오브젝트를 생성하면 AWS의 Red Hat OpenShift Service가 비보안 경로를 생성합니다. 기본 수신 인증서를 사용하여 에지 종료 보안 경로를 생성하는 Ingress 오브젝트를 생성하려면 다음과 같이 빈 TLS 구성을 지정할 수 있습니다.

사전 요구 사항

  • 노출하려는 서비스가 있습니다.
  • OpenShift CLI(oc)에 액세스할 수 있습니다.

절차

  1. Ingress 오브젝트에 대한 YAML 파일을 생성합니다. 이 예제에서는 파일을 example-ingress.yaml 이라고 합니다.

    Ingress 오브젝트의 YAML 정의

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontend
  ...
spec:
  rules:
    ...
  tls:
  - {} 1

    1
    이 정확한 구문을 사용하여 사용자 정의 인증서를 지정하지 않고 TLS를 지정합니다.

  2. 다음 명령을 실행하여 Ingress 오브젝트를 생성합니다. 

    $ oc create -f example-ingress.yaml

검증

  • 다음 명령을 실행하여 AWS의 Red Hat OpenShift Service가 Ingress 오브젝트에 대한 예상 경로를 생성했는지 확인합니다. 

    $ oc get routes -o yaml

    출력 예

    apiVersion: v1
items:
- apiVersion: route.openshift.io/v1
  kind: Route
  metadata:
    name: frontend-j9sdd 1
    ...
  spec:
  ...
    tls: 2
      insecureEdgeTerminationPolicy: Redirect
      termination: edge 3
  ...

    1
    경로 이름에는 Ingress 오브젝트의 이름과 임의의 접미사가 포함됩니다.
    2
    기본 인증서를 사용하려면 경로에서 spec.certificate 를 지정하지 않아야 합니다.
    3
    경로는 엣지 종료 정책을 지정해야 합니다.

8.1.8. Ingress 주석의 대상 CA 인증서를 사용하여 경로 생성

route.openshift.io/destination-ca-certificate-secret 주석을 Ingress 오브젝트에서 사용하여 사용자 정의 대상 CA 인증서로 경로를 정의할 수 있습니다.

사전 요구 사항

  • PEM 인코딩 파일에 인증서/키 쌍이 있고, 인증서가 경로 호스트에 유효할 수 있습니다.
  • 인증서 체인을 완성하는 PEM 인코딩 파일에 별도의 CA 인증서가 있을 수 있습니다.
  • PEM 인코딩 파일에 별도의 대상 CA 인증서가 있어야 합니다.
  • 노출하려는 서비스가 있어야 합니다.

절차

  1. Ingress 주석에 route.openshift.io/destination-ca-certificate-secret 을 추가합니다. 

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontend
  annotations:
    route.openshift.io/termination: "reencrypt"
    route.openshift.io/destination-ca-certificate-secret: secret-ca-cert 1
...
    1
    주석은 kubernetes 보안을 참조합니다.

  2. 이 주석에서 참조하는 보안은 생성된 경로에 삽입됩니다.

    출력 예

    apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
  annotations:
    route.openshift.io/termination: reencrypt
    route.openshift.io/destination-ca-certificate-secret: secret-ca-cert
spec:
...
  tls:
    insecureEdgeTerminationPolicy: Redirect
    termination: reencrypt
    destinationCACertificate: |
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
...

추가 리소스

8.2. 보안 경로

보안 경로는 여러 유형의 TLS 종료를 사용하여 클라이언트에 인증서를 제공하는 기능을 제공합니다. 다음 섹션에서는 사용자 정의 인증서를 사용하여 재암호화 에지 및 패스스루 경로를 생성하는 방법을 설명합니다.

8.2.1. 사용자 정의 인증서를 사용하여 재암호화 경로 생성

oc create route 명령을 사용하면 재암호화 TLS 종료와 사용자 정의 인증서로 보안 경로를 구성할 수 있습니다.

사전 요구 사항

  • PEM 인코딩 파일에 인증서/키 쌍이 있고 해당 인증서가 경로 호스트에 유효해야 합니다.
  • 인증서 체인을 완성하는 PEM 인코딩 파일에 별도의 CA 인증서가 있을 수 있습니다.
  • PEM 인코딩 파일에 별도의 대상 CA 인증서가 있어야 합니다.
  • 노출하려는 서비스가 있어야 합니다.
참고

암호로 보호되는 키 파일은 지원되지 않습니다. 키 파일에서 암호를 제거하려면 다음 명령을 사용하십시오. 

$ openssl rsa -in password_protected_tls.key -out tls.key

프로세스

이 절차에서는 사용자 정의 인증서를 사용하여 Route 리소스를 생성하고 TLS 종료를 재암호화합니다. 다음 예에서는 인증서/키 쌍이 현재 작업 디렉터리의 tls.crttls.key 파일에 있다고 가정합니다. Ingress 컨트롤러에서 서비스의 인증서를 신뢰하도록 하려면 대상 CA 인증서도 지정해야 합니다. 인증서 체인을 완료하는 데 필요한 경우 CA 인증서를 지정할 수도 있습니다. tls.crt, tls.key, cacert.crt, ca.crt(옵션)에 실제 경로 이름을 사용하십시오. frontend에는 노출하려는 서비스 리소스 이름을 사용합니다. www.example.com을 적절한 호스트 이름으로 바꿉니다.

  • 재암호화 TLS 종료 및 사용자 정의 인증서를 사용하여 보안 Route 리소스를 생성합니다. 

    $ oc create route reencrypt --service=frontend --cert=tls.crt --key=tls.key --dest-ca-cert=destca.crt --ca-cert=ca.crt --hostname=www.example.com

    생성된 Route 리소스는 다음과 유사합니다.

    보안 경로의 YAML 정의

    apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
spec:
  host: www.example.com
  to:
    kind: Service
    name: frontend
  tls:
    termination: reencrypt
    key: |-
      -----BEGIN PRIVATE KEY-----
      [...]
      -----END PRIVATE KEY-----
    certificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    caCertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    destinationCACertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----

    자세한 옵션은 oc create route reencrypt --help를 참조하십시오.

8.2.2. 사용자 정의 인증서를 사용하여 엣지 경로 생성

oc create route 명령을 사용하면 엣지 TLS 종료와 사용자 정의 인증서로 보안 경로를 구성할 수 있습니다. 엣지 경로를 사용하면 Ingress 컨트롤러에서 트래픽을 대상 Pod로 전달하기 전에 TLS 암호화를 종료합니다. 이 경로는 Ingress 컨트롤러가 경로에 사용하는 TLS 인증서 및 키를 지정합니다.

사전 요구 사항

  • PEM 인코딩 파일에 인증서/키 쌍이 있고 해당 인증서가 경로 호스트에 유효해야 합니다.
  • 인증서 체인을 완성하는 PEM 인코딩 파일에 별도의 CA 인증서가 있을 수 있습니다.
  • 노출하려는 서비스가 있어야 합니다.
참고

암호로 보호되는 키 파일은 지원되지 않습니다. 키 파일에서 암호를 제거하려면 다음 명령을 사용하십시오. 

$ openssl rsa -in password_protected_tls.key -out tls.key

프로세스

이 절차에서는 사용자 정의 인증서 및 엣지 TLS 종료를 사용하여 Route 리소스를 생성합니다. 다음 예에서는 인증서/키 쌍이 현재 작업 디렉터리의 tls.crttls.key 파일에 있다고 가정합니다. 인증서 체인을 완료하는 데 필요한 경우 CA 인증서를 지정할 수도 있습니다. tls.crt, tls.key, ca.crt(옵션)에 실제 경로 이름을 사용하십시오. frontend에는 노출하려는 서비스 이름을 사용합니다. www.example.com을 적절한 호스트 이름으로 바꿉니다.

  • 엣지 TLS 종료 및 사용자 정의 인증서를 사용하여 보안 Route 리소스를 생성합니다. 

    $ oc create route edge --service=frontend --cert=tls.crt --key=tls.key --ca-cert=ca.crt --hostname=www.example.com

    생성된 Route 리소스는 다음과 유사합니다.

    보안 경로의 YAML 정의

    apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
spec:
  host: www.example.com
  to:
    kind: Service
    name: frontend
  tls:
    termination: edge
    key: |-
      -----BEGIN PRIVATE KEY-----
      [...]
      -----END PRIVATE KEY-----
    certificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    caCertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----

    추가 옵션은 oc create route edge --help를 참조하십시오.

8.2.3. 패스스루 라우팅 생성

oc create route 명령을 사용하면 패스스루 종료와 사용자 정의 인증서로 보안 경로를 구성할 수 있습니다. 패스스루 종료를 사용하면 암호화된 트래픽이 라우터에서 TLS 종료를 제공하지 않고 바로 대상으로 전송됩니다. 따라서 라우터에 키 또는 인증서가 필요하지 않습니다.

사전 요구 사항

  • 노출하려는 서비스가 있어야 합니다.

프로세스

  • Route 리소스를 생성합니다. 

    $ oc create route passthrough route-passthrough-secured --service=frontend --port=8080

    생성된 Route 리소스는 다음과 유사합니다.

    패스스루 종료를 사용하는 보안 경로

    apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: route-passthrough-secured 1
spec:
  host: www.example.com
  port:
    targetPort: 8080
  tls:
    termination: passthrough 2
    insecureEdgeTerminationPolicy: None 3
  to:
    kind: Service
    name: frontend

    1
    63자로 제한되는 개체의 이름입니다.
    2
    termination 필드는 passthrough로 설정됩니다. 이 필드는 유일한 필수 tls 필드입니다.
    3
    insecureEdgeTerminationPolicy는 선택 사항입니다. 비활성화경우 유효한 값은 None, Redirect 또는 빈 값입니다.

    대상 Pod는 끝점의 트래픽에 대한 인증서를 제공해야 합니다. 현재 이 방법은 양방향 인증이라고도 하는 클라이언트 인증서도 지원할 수 있는 유일한 방법입니다.

법적 공지

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.