1. OCI 인증서로 Oracle Cloud VMware Solution에서 호스팅되는 보안 웹 애플리케이션
  2. 구성

구성

VMware 환경 앞에 있는 로드 밸런서에서 X509 인증서를 사용하는 데 필요한 구성 단계에 대해 알아봅니다.

다음 작업을 수행합니다.

  1. 인증서 생성.
  2. SDDC 작업 로드를 LBaaS와 연결합니다.
  3. OCI LBaaS의 인증서를 사용합니다.

동적 그룹 생성

OCI 인증서(인증서 관리 솔루션)가 OCI Vault의 키에 액세스할 수 있도록 동적 그룹이 생성됩니다.

  1. OCI 콘솔에서 메뉴, ID 및 보안을 차례로 누릅니다.
  2. ID에서 도메인을 누릅니다.
  3. 기본값 링크를 누릅니다.
  4. 왼쪽 메뉴에서 동적 그룹을 누릅니다.
  5. 동적 그룹 생성 단추를 누릅니다.
  6. 이름 필드에 Dynamic-group-cert-authority을 입력합니다.
  7. 규칙 1 필드에 resource.type = 'certificateauthority'을 입력합니다.
  8. 생성 단추를 누릅니다.
Dynamic-group-cert-authority 그룹이 만들어집니다.

정책 생성

정책을 통해 동적 그룹은 인증 기관을 만들 수 있도록 저장소의 키에 액세스할 수 있습니다. 선택적으로 사용자 그룹이 OCI 인증서를 관리하도록 허용할 수도 있습니다.

정책에는 여러 명령문이 포함될 수 있습니다. 설계에 따라 모든 명령문은 하나 또는 여러 정책에 포함될 수 있습니다. 정책은 인증서 서비스에 키 액세스 및 인증서 생성 자격을 부여하고 사용자가 OCI 인증서를 관리할 수 있도록 두 부분으로 구성됩니다.
  1. OCI 콘솔에서 메뉴, ID 및 보안을 차례로 누릅니다.
  2. ID에서 정책을 누릅니다.
  3. 정책 생성 단추를 누릅니다.
  4. 이름 필드에 Cert-Auth-Ocvs을 입력합니다.
  5. 설명 필드에 OCVS을 입력합니다.
  6. 설명서 편집기 표시 토글을 누릅니다.
  7. 정책 작성기 필드에 다음을 입력합니다. 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. 생성을 누릅니다.
    Cert-Auth-Ocvs 정책이 만들어집니다.

저장소 생성

정책이 정의되면 OCI Vault에 저장된 키를 사용하는 개인 인증 기관을 만들 수 있습니다.

저장소가 이미 있는 경우 해당 단계를 건너뛰고 다음 섹션으로 진행할 수 있습니다.
  1. OCI 콘솔에서 메뉴, ID 및 보안을 차례로 누릅니다.
  2. 키 관리 및 암호 관리에서 저장소를 누릅니다.
  3. 저장소 생성 단추를 누릅니다.
  4. 구획에 생성 필드에서 Ocvs가 선택되었는지 확인합니다.
  5. 이름 필드에서 WebCert을 입력합니다.
  6. 저장소 생성 단추를 누릅니다.
    WebCert 저장소가 생성됩니다.

마스터 키 및 암호화 키 만들기

인증 기관의 개인 키인 마스터 키가 만들어집니다. OCI Certificates는 OCI Vault의 소프트웨어 섹션이 아닌 HSM에 저장된 키만 지원합니다.

이러한 단계를 수행하기 전에 WebCert 저장소를 만들고 해당 StateActive 상태여야 합니다.
  1. OCI 콘솔에서 메뉴, 키 관리 및 암호 관리를 차례로 누릅니다.

    주:

    이전 작업과 함께 진행 중인 경우 Vault 화면이 이미 표시되어 있어야 합니다.
  2. WebCert 링크를 누릅니다.
  3. 키 생성 단추를 누릅니다.
  4. 보호 모드에서 HSM이 선택되었는지 확인합니다.
  5. 이름 필드에서 OCVS을 입력합니다.
  6. 키 구성: 알고리즘에서 RSA를 선택합니다.
  7. 키 생성 단추를 누릅니다.
마스터 키 및 암호화 키가 만들어집니다.

인증 기관 만들기

저장소가 만들어지고 키가 저장되면 개인 인증 기관을 만들 수 있습니다. 실패할 경우 정책이 올바르지 않거나 서비스 제한을 초과할 수 있습니다.

  1. OCI 콘솔에서 메뉴, ID 및 보안을 차례로 누릅니다.
  2. 인증서에서 인증서 기관을 누릅니다.
  3. 인증 기관 생성 단추를 누릅니다.
  4. 이름 필드에서 OCVS을 입력합니다.
  5. 다음 단추를 누릅니다.
  6. 공통 이름 필드에 ocvs.local을 입력합니다.
  7. 다음 단추를 누른 다음 다음, 다시 다음을 누릅니다.
  8. 취소 구성 페이지에서 취소 건너뛰기를 사용으로 설정합니다.
  9. 다음 단추를 누릅니다.
  10. 요약 내용을 검토한 다음 인증 기관 생성 단추를 누릅니다.
  11. 닫기 링크를 누릅니다.
OCVS 인증 기관이 만들어집니다.

주:

OCI 인증서는 조직에 인증서 발급, 스토리지 및 관리 기능을 제공합니다. 인증서 관리 방법을 알아보려면 자세히 탐색 을 참조하십시오.

인증서 발행

네트워크 통신의 ID 및 보안 확인에 사용할 SSL/TLS 인증서를 발급합니다.

  1. OCI 콘솔에서 메뉴를 누른 다음 인증서 아래의 인증서 기관을 누릅니다.

    주:

    이전 작업에서 다음 작업을 수행하는 경우 Certificate Authorities 화면이 이미 표시되어 있어야 합니다.
  2. OCVS 링크를 누릅니다.
  3. Issue Certificate 버튼을 누릅니다.
  4. 이름 필드에서 ocvssecurity을 입력합니다.
  5. 다음 단추를 누릅니다.
  6. 공통 이름 필드에 ocvs.local을 입력합니다.
  7. 다음 단추를 누릅니다.
  8. 인증서 프로파일 유형에서 TLS 서버를 선택합니다.
  9. 다음 이후 유효하지 않음에서 달력 버튼을 누르고 일자를 선택합니다.
  10. 다음 단추를 누른 후 다시 다음을 누릅니다.
  11. 인증서 생성 단추를 누릅니다.
OCVS 인증서가 만들어집니다.

VCN 리소스에 대한 접속 구성

웹 서버가 배포되는 NSX 세그먼트와 로드 밸런서가 다음 단계에서 배포될 OCI 공용 서브넷 간의 통신을 사용으로 설정합니다.

  1. OCI 콘솔에서 메뉴, 하이브리드 순으로 누릅니다.
  2. VMware 솔루션에서 소프트웨어 정의 데이터 센터를 누릅니다.
  3. VCN 리소스 접속 구성 단추를 누릅니다.
  4. SDDC 작업 로드 CIDR 필드에 웹 서버의 NSX 세그먼트 IP 주소(예: 192.168.10.0/24)를 입력합니다.
  5. 서브넷 추가 단추를 누릅니다.
  6. 공용 서브넷 옆에 있는 체크박스를 누릅니다.
  7. 서브넷 추가 단추를 누릅니다.
  8. 다음 단추를 누릅니다.
VCN 리소스에 대한 접속이 구성되었습니다.

로드 밸런서 생성 및 배치

OCVS 기반 구조 앞에 있는 OCI 로드 밸런서를 생성합니다.

  1. OCI 콘솔에서 메뉴, 네트워킹을 차례로 누릅니다.
  2. 로드 밸런서에서 로드 밸런서를 누릅니다.
  3. 로드 밸런서 생성 단추를 누릅니다.
  4. OCVS-INTEL-VCN에서 OCVS-INTEL-VCN을 선택합니다.
  5. OCV의 서브넷에서 공용(지역별)을 선택합니다.
  6. 다음 단추를 누른 후 다시 다음을 누릅니다.

    주:

    백엔드는 나중에 추가됩니다.
  7. OCV의 인증서에서 OCVSSECurity를 선택합니다.
  8. 다음 단추를 누릅니다.
  9. 로그 그룹에서 표시된 로그 그룹 또는 이미 생성된 로그 그룹을 선택합니다.

    주:

    로그 파일을 저장하려면 로그 그룹이 필요합니다.
  10. 제출 단추를 누릅니다.
  11. 스마트 확인으로 이동 단추를 누릅니다.

    주:

    이전에 백엔드 추가를 건너뛰었으므로 스마트 검사 경고가 나타납니다.
  12. 왼쪽 아래 모서리의 리소스에서 백엔드 집합 링크를 누릅니다.
  13. 백엔드 집합에서 백엔드의 링크(예: bs_lb_2023-1003-1521)를 누릅니다.

    주:

    로드 밸런서를 생성하고 상태활성으로 설정해야 합니다.
  14. 리소스에서 백엔드 집합 링크를 누릅니다.
  15. 백엔드 집합에서 백엔드의 링크(예: bs_lb_2023-1003-1521)를 누릅니다.
  16. 리소스에서 백엔드 링크를 누릅니다.
  17. 백엔드 추가 단추를 누릅니다.
  18. IP 주소 라디오 단추를 누릅니다.
  19. IP 주소 필드에 Ubuntu 웹 서버의 IP 주소를 입력합니다.
  20. 추가 백엔드 단추를 누르고 추가할 각 백엔드의 IP 주소를 입력합니다.
  21. 추가 단추를 누릅니다.
  22. 닫기 단추를 누릅니다.
백엔드 서버는 OCVS에 배치됩니다.

구성을 확인하십시오

지원 인프라를 확인하십시오.

  1. OCI 콘솔에서 메뉴, 네트워킹을 차례로 누릅니다.
  2. 로드 밸런서에서 로드 밸런서를 누릅니다.
  3. IP 주소에서 로드 밸런서의 공용 IP 주소를 복사합니다.
  4. 새 브라우저 탭을 연 다음 URL https://, 복사된 IP 주소로 이동합니다.
설치된 웹 서버의 시작 페이지가 나타납니다. 문제가 발생하면 다음 작업을 수행하십시오.
  • 인터넷 게이트웨이가 작동하는지 확인합니다.
  • 경로 지정 테이블이 인터넷에 액세스할 수 있는지 확인합니다.
  • 보안 규칙 및 네트워크 그룹에 대해 프로토콜이 허용되는지 확인합니다.