Google 관리형 SSL 인증서 사용

개요

Google Kubernetes Engine에서 인그레스를 사용하여 자동으로 구성되는 SSL 인증서로 HTTPS 부하 분산기를 만들 수 있습니다. 도메인 이름에 대해 Google 관리형 SSL 인증서가 자동으로 프로비저닝, 갱신, 관리됩니다. Google 관리형 SSL 인증서에 대한 자세한 내용은 여기를 참조하세요.

관리형 인증서로 인그레스 만들기

관리형 SSL 인증서를 구성하고 인그레스에 연결하려면 다음을 수행해야 합니다.

  • ManagedCertificate 객체를 만듭니다.
  • 인그레스에 networking.gke.io/managed-certificates 주석을 추가하여 ManagedCertificate 객체를 인그레스에 연결합니다. 이 주석은 ManagedCertificate 리소스의 쉼표로 구분된 목록(예: cert1,cert2,cert3)입니다.

인그레스와 동일한 네임스페이스에 ManagedCertificate 리소스를 만들어야 합니다.

제한사항

Google 관리형 인증서는 사용자가 직접 획득하고 관리하는 인증서보다 유연성이 낮습니다. 관리형 인증서는 와일드 카드가 아닌 단일 도메인을 지원합니다. 자가 관리형 인증서는 와일드 카드 및 여러 주체 대체 이름(SAN)을 지원할 수 있습니다.

자가 관리형 인증서가 필요하거나 인그레스에 구성하려는 SSL 인증서를 이미 소유한 경우에는 인그레스 문서를 참조하세요.

인그레스가 지원하는 인증서의 개수와 유형은 GCP 관리형 SSL 인증서의 한도에 따라 정의됩니다.

기본 요건

  • 도메인 이름을 소유하고 있어야 합니다. 도메인 이름은 63자(영문 기준) 이하여야 합니다. Google Domains 또는 다른 등록기관을 이용할 수 있습니다.
  • 예약된(고정) 외부 IP 주소를 만듭니다. 고정 IP 주소를 예약하면 인그레스를 삭제해도 해당 주소가 내 소유로 유지됩니다. 주소를 예약하지 않으면 주소가 변경되어 도메인의 DNS 레코드를 다시 구성해야 할 수 있습니다. gcloud 명령줄 도구 또는 GCP Console을 사용하여 example-ip-address라는 예약된 IP 주소를 만듭니다.

    gcloud

    gcloud compute addresses create example-ip-address --global
    

    생성한 고정 IP 주소를 찾는 방법은 다음과 같습니다.

    $ gcloud compute addresses describe example-ip-address --global
    address: 203.0.113.32
    ...
    

    Console

    1. GCP Console에서 정적 주소 예약 페이지로 이동합니다.

      정적 주소 예약 페이지로 이동

    2. 이 IP 주소의 이름을 example-ip-address로 지정합니다.
    3. 이 주소가 IPv4 또는 IPv6 주소인지 지정합니다. 다음 예에서는 IPv4 주소를 사용합니다.
    4. 주소 유형으로 전역 옵션을 선택합니다.
    5. 예약을 클릭하여 IP를 예약합니다.
    6. IP 주소가 외부 주소 열에 나열됩니다.

관리형 인증서 설정

  1. ManagedCertificate 리소스를 만듭니다. 이 리소스는 SSL 인증서를 만들 대상 도메인을 지정합니다. 와일드 카드 도메인은 지원되지 않습니다. spec.domains 목록에 도메인이 하나만 포함되어야 합니다.

    다음 ManagedCertificate 매니페스트 예를 example-certificate.yaml이라는 파일에 저장합니다. 여기에서 example.com를 내 도메인 이름으로 바꿉니다.

    apiVersion: networking.gke.io/v1beta1
    kind: ManagedCertificate
    metadata:
      name: example-certificate
    spec:
      domains:
        - example.com
    

    kubectl을 사용하여 리소스를 만듭니다.

    kubectl apply -f example-certificate.yaml
    
  2. NodePort 서비스를 만들어 애플리케이션을 인터넷에 노출합니다. 다음은 서비스 매니페스트 파일인 example-service.yaml의 예입니다.

    apiVersion: v1
    kind: Service
    metadata:
      name: example-nodeport-service
    spec:
      type: NodePort
      ports:
        - protocol: TCP
          port: 80
          targetPort: 8080
    

    이 사양 예시에서는 서비스에 포함할 포드를 선택하지 않습니다. 단순히 관리형 인증서를 구성하는 방법을 보여주기 위함이지만, 실무에서는 서비스 사양에 선택자가 포함되어야 합니다.

    서비스를 구성하는 방법에 대한 자세한 내용은 NodePort 문서를 참조하세요.

    kubectl을 사용하여 서비스를 만듭니다.

    kubectl apply -f example-service.yaml
    
  3. 인그레스를 만들고 앞에서 만든 ManagedCertificate에 연결합니다.

    • networking.gke.io/managed-certificates 주석을 인증서 이름으로 설정합니다.
    • spec.backend.serviceName 필드에 이전 단계에서 만든 서비스 이름을 사용합니다.
    • spec.backend.servicePort 필드를 서비스 매니페스트에서 지정한 포트로 설정합니다.
    • kubernetes.io/ingress.global-static-ip-name 주석을 예약된 IP 주소의 이름으로 설정합니다.

    다음은 인그레스 매니페스트 example-ingress.yaml의 예입니다.

    apiVersion: extensions/v1beta1
    kind: Ingress
    metadata:
      name: example-ingress
      annotations:
        kubernetes.io/ingress.global-static-ip-name: example-ip-address
        networking.gke.io/managed-certificates: example-certificate
    spec:
      backend:
        serviceName: example-nodeport-service
        servicePort: 80
    

    kubectl을 사용하여 인그레스를 만듭니다.

    kubectl apply -f example-ingress.yaml
    
  4. 이전 단계에서 만든 부하 분산기의 IP 주소를 조회합니다. 다음 명령어를 사용하여 부하 분산기의 IP 주소를 가져옵니다.

    $ kubectl get ingress
    NAME              HOSTS     ADDRESS         PORTS     AGE
    example-ingress   *         203.0.113.32     80        54s
    

    부하 분산기의 IP 주소는 ADDRESS 열에 나열되며, 이 예에서는 203.0.113.32입니다. 예약된 고정 IP 주소를 사용하는 경우 이 주소는 부하 분산기의 주소입니다.

    주소가 나열되지 않는 경우 인그레스 설정이 완료되기를 기다립니다.

  5. 도메인의 DNS 레코드가 부하 분산기의 IP 주소를 가리키도록 구성합니다. Cloud DNS를 사용하는 경우 자세한 내용은 레코드 관리 가이드를 참조하세요.

  6. 관리형 인증서가 프로비저닝되기를 기다립니다. 최대 15분이 걸릴 수 있습니다. 다음 명령어로 인증서의 상태를 확인할 수 있습니다.

    kubectl describe managedcertificate
    

    인증서가 성공적으로 프로비저닝되면 Status.CertificateStatus 필드의 값이 Active가 됩니다. 다음 예에서는 예제 인증서가 성공적으로 프로비저닝된 후의 kubectl describe 출력을 보여줍니다.

    Name:         example-certificate
    Namespace:    default
    Labels:       
    Annotations:  
    API Version:  networking.gke.io/v1beta1
    Kind:         ManagedCertificate
    (...)
    Spec:
      Domains:
        example.com
    Status:
      CertificateStatus: Active
    (...)
    
  7. https:// 프리픽스로 도메인을 방문하여 SSL이 작동하는지 확인합니다. 브라우저에 연결이 안전하다고 표시되며 인증서 세부정보를 확인할 수 있습니다.

자가 관리형 인증서에서 Google 관리형 인증서로 이전

자가 관리형 SSL 인증서에서 Google 관리형 SSL 인증서로 인그레스를 이전하는 경우, Google 관리형 SSL 인증서가 활성화되기 전에 자가 관리형 SSL 인증서를 삭제하지 마세요. Google 관리형 SSL 인증서는 성공적으로 프로비저닝된 후 자동으로 활성화됩니다. Google 관리형 SSL 인증서가 활성화되면 자가 관리형 SSL 인증서를 삭제할 수 있습니다.

다음 안내에 따라 자가 관리형에서 Google 관리형 SSL 인증서로 이전하세요.

  1. 관리형 인증서 설정 섹션의 설명에 따라 인그레스에 새 관리형 인증서를 추가합니다.
  2. Google 관리형 인증서 리소스가 활성 상태가 되기를 기다립니다. kubectl describe managedcertificate로 인증서의 상태를 확인합니다.
  3. 활성 상태가 되면 인그레스를 업데이트하여 자가 관리형 인증서에 대한 참조를 삭제합니다.

관리형 인증서 삭제

클러스터에서 관리형 인증서를 삭제하려면 ManagedCertificate 리소스를 삭제하고 해당 리소스를 참조하는 인그레스 주석을 제거해야 합니다.

  1. kubectl로 ManagedCertificate 리소스를 삭제합니다.

    kubectl delete -f example-certificate.yaml
    

    다음과 같은 출력이 표시됩니다.

    managedcertificate.networking.gke.io "example-certificate" deleted
    
  2. 인그레스에서 주석을 삭제합니다.

    kubectl annotate ingress example-ingress networking.gke.io/managed-certificates-
    

    명령어 끝에 마이너스 기호 '-'가 있습니다.

  3. 부하 분산기용으로 예약한 고정 IP 주소를 해제합니다.

gcloud

gcloud 명령줄 도구를 사용합니다.

gcloud compute addresses delete [ADDRESS_NAME] --global

여기에서 [ADDRESS_NAME]은 IP 주소의 이름입니다.

Console

  1. GCP Console에서 외부 IP 주소 페이지로 이동합니다.

    외부 IP 주소 페이지로 이동

  2. 해제할 IP 주소 옆에 있는 상자를 선택합니다.
  3. IP 주소 해제를 클릭합니다.

문제해결

ManagedCertificate 리소스가 생성되기 전에 ManagedCertificate 정의가 검증됩니다. 검증에 실패하면 ManagedCertificate 리소스가 생성되지 않고 오류 메시지가 출력됩니다. 아래에서 여러 가지 실패 이유를 설명합니다.

spec.domains in body should have at most 1 items

ManagedCertificate 매니페스트의 spec.domains 필드에 나열된 도메인이 두 개 이상입니다. 관리형 인증서는 도메인을 하나만 지원합니다.

spec.domains in body should match '^(([a-zA-Z0-9]+|[a-zA-Z0-9][-a-zA-Z0-9]*[a-zA-Z0-9])\.)+[a-zA-Z][-a-zA-Z0-9]*[a-zA-Z0-9]\.?$'

spec.domains 필드에 지정한 도메인 이름 또는 와일드 카드 도메인 이름이 잘못되었습니다. 관리형 인증서는 *.example.com 등의 와일드 카드 도메인을 지원하지 않습니다.

spec.domains in body should be at most 63 chars long

지정한 도메인 이름이 너무 깁니다. 관리형 인증서가 지원하는 도메인 이름은 최대 63자입니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Kubernetes Engine 문서