관리자 클러스터 CA 인증서 순환

Google Distributed Cloud는 인증서와 비공개 키를 사용하여 관리자 클러스터의 Kubernetes 시스템 구성요소 간의 통신을 인증합니다. 관리자 클러스터를 만들면 새 인증 기관(CA) 인증서가 생성되며 이러한 루트 인증서는 Kubernetes 시스템 구성요소에 대한 추가 리프 인증서를 발급하는 데 사용됩니다.

이 가이드는 관리자 클러스터 CA 인증서 순환에만 적용됩니다. 사용자 클러스터의 경우 사용자 클러스터 CA 인증서 순환을 참조하세요.

관리자 클러스터의 Kubernetes 시스템에서 사용하는 3가지 CA 인증서가 있습니다.

• etcd CA 인증서는 Kubernetes API 서버에서 etcd 복제본으로의 통신과 etcd 복제본 간 통신도 보호합니다. 이 인증서는 자체 서명됩니다.

• 클러스터 CA 인증서는 Kubernetes API 서버와 모든 내부 Kubernetes API 클라이언트(예: kubelet, 컨트롤러 관리자, 스케줄러) 간의 통신을 보호합니다. 이 인증서는 자체 서명됩니다.

• 프런트 프록시 CA 인증서는 집계된 API와의 통신을 보호합니다. 이 인증서는 자체 서명됩니다.

gkectl을 사용하여 인증서 순환을 트리거할 수 있습니다. 순환 중에 gkectl은 관리자 클러스터의 핵심 시스템 CA 인증서를 새로 생성된 인증서로 바꿉니다. 그런 다음 새 CA 인증서, 리프 인증서, 비공개 키를 관리자 클러스터 시스템 구성요소에 배포합니다. 순환이 증분적으로 발생하므로 순환 중에도 시스템 구성요소가 계속 통신할 수 있습니다. 그러나 워크로드와 노드는 순환 중에 다시 시작됩니다.

순환이 없으면 CA 인증서 및 컨트롤 플레인 인증서가 클러스터가 생성된 날로부터 5년 후에 만료됩니다. 컨트롤 플레인 인증서는 클러스터 업그레이드 중에 자동으로 순환되지만 CA는 자동으로 순환되지 않습니다. 즉, 일반 버전 업그레이드 외에도 최소 5년마다 한 번씩 CA 순환을 수행해야 합니다.

제한사항

• CA 인증서 순환은 이전에 언급된 etcd, 클러스터, 프런트 프록시 인증서로 제한됩니다.

• CA 인증서 순환은 Google Distributed Cloud에서 자동으로 발급한 인증서로 제한됩니다. 해당 인증서가 시스템 CA에서 서명된 경우에도 관리자가 수동으로 발급한 인증서는 업데이트하지 않습니다.

• CA 인증서 순환은 Kubernetes API 서버, 기타 컨트롤 플레인 프로세스 및 관리자 클러스터의 각 노드를 여러 번 다시 시작합니다. 순환의 각 단계는 클러스터 업그레이드와 비슷하게 진행됩니다. 관리자 클러스터에서 관리하는 관리자 클러스터와 사용자 클러스터는 인증서 순환 중에 계속 작동하지만 관리자 클러스터의 워크로드가 다시 시작되고 다시 예약됩니다. 관리자 클러스터 컨트롤 플레인과 사용자 클러스터 컨트롤 플레인에도 짧은 기간 동안 다운타임이 발생할 수 있습니다.

• 인증서 순환 도중, 그리고 관리자 순환이 완료된 후에 관리자 클러스터 kubeconfig 파일을 업데이트해야 합니다. 이전 클러스터 인증서가 취소되고 kubeconfig 파일의 사용자 인증 정보가 더 이상 작동하지 않기 때문입니다.

• CA 인증서 순환을 시작한 후에는 롤백할 수 없습니다.

• CA 인증서 순환은 클러스터의 크기에 따라 완료하는 데 상당한 시간이 걸릴 수 있습니다.

• 중단된 경우 동일한 명령어를 다시 실행하면 인증서 순환 프로세스를 재개할 수 있습니다. 하지만 한 번에 순환 명령어 하나만 실행되는지 확인해야 합니다.

순환 시작

인증서 순환을 시작하려면 다음 명령어를 실행합니다. 순환의 전반부를 수행하고 일시중지 지점에서 중지됩니다.

순환을 시작합니다.

gkectl update credentials certificate-authorities rotate \
    --admin-cluster \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG

다음을 바꿉니다.

• ADMIN_CLUSTER_CONFIG: 관리자 클러스터 구성 파일의 경로입니다.

• ADMIN_CLUSTER_KUBECONFIG: 관리자 클러스터 kubeconfig 파일의 경로입니다.

명령어가 중단되면 동일한 명령어를 실행하여 재개합니다.

kubeconfig 파일 업데이트

앞의 명령어가 일시중지되면 관리자 클러스터의 kubeconfig 파일을 업데이트합니다. 그러면 새 클라이언트 인증서와 새 CA 인증서가 kubeconfig 파일에 배치됩니다. 이전 클라이언트 인증서는 kubeconfig 파일에서 삭제되고 이전 CA 인증서는 kubeconfig 파일에 유지됩니다.

gkectl update credentials certificate-authorities update-kubeconfig \
    --admin-cluster \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG

순환 계속

다음 명령어를 실행하여 이 절차의 후반부를 수행합니다. gkectl에서 업데이트된 kubeconfig 파일이 현재 디렉터리에 있는지 확인할 때까지 명령어가 진행되지 않습니다.

gkectl update credentials certificate-authorities rotate \
    --admin-cluster \
    --complete \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG

명령어가 중단되면 동일한 명령어를 실행하여 재개합니다.

순환이 완료되면 현재 CA 버전이 보고됩니다.

kubeconfig 파일 다시 업데이트

순환의 후반부가 완료되면 kubeconfig 파일을 다시 업데이트합니다. 이렇게 하면 kubeconfig 파일에서 이전 CA 인증서가 삭제됩니다.

gkectl update credentials certificate-authorities update-kubeconfig \
    --admin-cluster \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG

새 kubeconfig 파일 배포

새 관리자 클러스터 kubeconfig 파일을 모든 클러스터 사용자에게 배포합니다.