본문 바로가기

About/Kubernetes

Kubernetes TLS 인증서 발급: ClusterIssuer Solver 활용하기 (HTTP01 Solver, DNS01 Solver)

Kubernetes TLS 인증서 발급: ClusterIssuer Solver 활용하기

Kubernetes에서 ClusterIssuer는 Let's Encrypt와 같은 인증 기관을 통해 클러스터 전역에서 사용할 수 있는 TLS 인증서를 발급하는 데 사용됩니다. 이 글에서는 ClusterIssuer의 solver를 테스트하는 방법을 다룹니다.

ClusterIssuer의 solver는 DNS01, HTTP01, 또는 기타 인증 방법을 사용하는 경우가 많습니다. 올바르게 구성되었는지 확인하려면 적절한 테스트가 필요합니다. 이 글은 일반적인 HTTP01 및 DNS01 솔버를 테스트하는 방법에 초점을 맞춥니다.


1. ClusterIssuer 개요

ClusterIssuer는 cert-manager에서 제공하는 Custom Resource로, Kubernetes 클러스터 내 모든 네임스페이스에서 사용할 수 있는 인증서를 발급하도록 구성됩니다. 일반적으로 인증서를 요청하는 Pod나 서비스가 인증서와 연결된 비밀(Secret)을 참조하여 HTTPS 통신을 수행할 수 있도록 지원합니다.


2. ClusterIssuer 설정 방법

ClusterIssuer는 먼저 올바르게 설정되어야 합니다. 예시 YAML은 다음과 같습니다:

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    email: example@example.com
    server: <https://acme-v02.api.letsencrypt.org/directory>
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - http01:
        ingress:
          class: nginx

위 설정은 Let's Encrypt의 HTTP01 솔버를 사용하여 인증서를 발급합니다.


3. HTTP01 Solver 테스트 방법

HTTP01 솔버는 Ingress를 통해 ACME 서버가 HTTP 요청을 보내어 도메인 소유권을 검증합니다. 다음 절차를 따라 테스트할 수 있습니다:

3.1 테스트 인증서 요청 생성

ClusterIssuer를 테스트하려면 인증서를 요청해야 합니다. 다음은 테스트 Certificate 리소스입니다:

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: test-cert
  namespace: default
spec:
  secretName: test-cert-tls
  dnsNames:
  - test.example.com
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer

3.2 Ingress 리소스 생성 확인

HTTP01 솔버를 사용할 때 cert-manager는 자동으로 Ingress 리소스를 생성합니다. 다음 명령어로 이를 확인할 수 있습니다:

kubectl get ingress

생성된 Ingress가 적절히 구성되었는지 확인합니다. ACME 검증 URL이 올바른 경로(/test.example.com/.well-known/acme-challenge/...)로 설정되어야 합니다.

3.3 ACME 검증 테스트

다음 명령으로 인증 상태를 확인합니다:

kubectl describe certificate test-cert

Ready 상태로 변경되면 인증서 발급이 성공적으로 이루어진 것입니다.


4. DNS01 Solver 테스트 방법

DNS01 솔버는 도메인의 DNS 기록에 특정 TXT 레코드를 추가하여 도메인 소유권을 검증합니다. 다음 단계를 따라 테스트할 수 있습니다:

4.1 DNS Provider 설정

DNS01 솔버는 DNS 제공자 API를 사용합니다. 예를 들어 Cloudflare를 사용하는 경우:

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    email: example@example.com
    server: <https://acme-v02.api.letsencrypt.org/directory>
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - dns01:
        cloudflare:
          email: example@example.com
          apiTokenSecretRef:
            name: cloudflare-api-token
            key: api-token

4.2 TXT 레코드 확인

인증 요청이 제출되면 cert-manager는 도메인의 DNS에 TXT 레코드를 추가합니다. 이를 확인하려면 다음 명령어를 사용합니다:

kubectl describe challenge

또는 DNS 툴을 사용하여 TXT 레코드를 확인할 수도 있습니다:

dig TXT _acme-challenge.test.example.com

4.3 인증 상태 확인

마찬가지로 인증 상태는 다음 명령으로 확인합니다:

kubectl describe certificate test-cert

5. 문제 해결 방법

  • Ingress가 생성되지 않는 경우:
    • ClusterIssuer 또는 Certificate 리소스의 구성을 다시 확인합니다.
    • cert-manager Pod 로그를 확인합니다:
    • kubectl logs -n cert-manager deploy/cert-manager
  • DNS 검증 실패:
    • DNS 제공자의 API 키가 올바른지 확인합니다.
    • TXT 레코드가 적절히 추가되었는지 확인합니다.

6. 공식 문서

더 자세한 정보는 cert-manager 공식 문서를 참조하세요:


ClusterIssuer와 cert-manager를 제대로 테스트하고 설정하면 Kubernetes 클러스터에서 안전하고 자동화된 인증서 관리를 쉽게 구현할 수 있습니다. 위 절차를 따라 문제를 해결하고 서비스를 보호하세요!