베어메탈용 Anthos 클러스터는 인증서 및 비공개 키를 사용하여 사용자 클러스터에서 시스템 구성요소 간의 연결을 인증하고 암호화합니다. 클러스터 인증 기관(CA)은 이러한 인증서 및 키를 관리합니다. bmctl update credentials --cluster-ca 명령어를 실행하면 베어메탈용 Anthos 클러스터가 다음 작업을 수행합니다.
새 클러스터 인증 기관을 만들고 관리자 클러스터에서 사용자 클러스터 네임스페이스에 업로드합니다.
관리자 클러스터 컨트롤러는 사용자 클러스터 인증 기관을 새로 생성된 인증 기관으로 바꿉니다.
관리자 클러스터 컨트롤러는 새로운 공개 CA 인증서 및 리프 인증서 키 쌍을 사용자 클러스터 시스템 구성요소에 배포합니다.
보안 클러스터 통신을 유지하려면 주기적으로 사용자 클러스터 CA를 순환하고 보안 침해가 발생할 가능성이 있을 때마다 순환합니다.
시작하기 전에
사용자 클러스터 인증 기관을 순환하기 전 다음 조건 및 영향에 따라 계획을 세웁니다.
사용자 클러스터 CA 순환을 시작하기 전에 관리자 및 사용자 클러스터 버전이 1.8.2 이상인지 확인합니다.
사용자 클러스터 CA 순환이 증분되어 순환 중 시스템 구성요소의 통신을 허용합니다.
사용자 클러스터 순환 프로세스에 따라 사용자 클러스터에서 API 서버, 제어 영역 프로세스, 포드가 다시 시작됩니다.
CA 순환 중 워크로드가 다시 시작되고 다시 예약됩니다.
고가용성 클러스터 구성이 아닌 경우 CA 순환 중 제어 영역 다운타임이 잠시 있을 것으로 예상됩니다.
사용자 클러스터 관리 작업은 CA 순환 중에 허용되지 않습니다.
사용자 클러스터 CA 순환 기간은 클러스터 크기에 따라 달라집니다. 예를 들어 제어 영역이 1개 있고 워커 노드가 50개인 사용자 클러스터의 경우 사용자 클러스터 CA 순환이 완료되는 데 2시간까지 걸릴 수 있습니다.
제한사항
미리보기 중 사용자 클러스터 인증 기관 순환 기능에는 다음 제한이 포함됩니다.
클러스터 CA 순환은 사용자 클러스터에 대해서만 지원됩니다.
사용자 클러스터 CA 순환은 클러스터 CA로만 제한됩니다. 사용자 클러스터 CA 순환은 사용자 클러스터에 대해 etcd CA 또는 프런트 프록시 CA를 순환하지 않습니다.
사용자 클러스터 CA 순환은 클러스터 CA가 인증서를 서명하더라도 관리자가 수동으로 발급한 인증서를 업데이트하지 않습니다. 사용자 클러스터 CA 순환이 완료된 후 수동으로 발급된 인증서를 업데이트하고 다시 배포합니다.
사용자 클러스터 CA 순환은 시작된 후 일시 중지되거나 롤백될 수 없습니다.
클러스터 CA 순환은 미리보기 기능이며 해당 인터페이스 및 작업이 변경될 수 있습니다.
클러스터 CA 순환 시작
다음 명령어를 사용하여 CA 순환 프로세스를 시작합니다.
bmctl update credentials --cluster-ca --cluster-name USER_CLUSTER_NAME \
--kubeconfig ADMIN_KUBECONFIG
다음을 바꿉니다.
USER_CLUSTER_NAME: 사용자 클러스터의 이름ADMIN_KUBECONFIG: 관리자 클러스터 kubeconfig 파일의 경로
클러스터 CA가 성공적으로 순환되고 새로운 kubeconfig 파일이 생성된 후 bmctl 명령어가 종료됩니다. kubeconfig 파일의 표준 경로는 bmctl-workspace/USER_CLUSTER_NAME/USER_CLUSTER_NAME-kubeconfig입니다.
클러스터 CA 순환 문제 해결
bmctl update credentials 명령어는 클러스터 CA 순환의 진행 상태를 표시합니다. 연결된 update-credentials.log 파일은 다음과 같이 타임스탬프가 표시된 디렉터리에 저장됩니다.
bmctl-workspace/USER_CLUSTER_NAME/log/update-credentials-TIMESTAMP