이 문서에서는 인증서 관리자 (2세대)의 핵심 구성요소와 Google Cloud 리소스 및 외부 인증 기관 소스와의 상호작용 방식을 설명합니다.
인증서 관리자 (2세대)를 사용하면 기능을 점진적으로 도입할 수 있습니다. 기존 인증서 인벤토리를 모니터링하는 것으로 시작한 다음 필요에 따라 자동 발급 또는 신뢰 관리를 추가할 수 있습니다.
핵심 구성요소
인증서 관리자 (2세대)에는 다음과 같은 핵심 구성요소가 있습니다.
- 인증서 디렉터리: 프로젝트에서 감지되고 수동으로 업로드된 모든 인증서의 통합 목록입니다.
- 개요 대시보드: 만료 알림 및 보안 동향을 비롯한 인증서 환경을 요약하는 모니터링 도구입니다.
- 발급 구성: 인증서 관리자 (2세대)가 자동 인증서 갱신을 생성하고 관리하는 방법을 정의하는 재사용 가능한 정책입니다.
- 신뢰 구성: 워크로드가 상호 TLS (mTLS)를 사용하여 ID를 확인하는 데 사용하는 루트 CA 인증서와 같은 신뢰 앵커의 정의입니다.
기능 독립성
인증서 관리자 (2세대)의 핵심 기능, 특히 인증서 모니터링, 발급 구성, 신뢰 구성은 모두 서로 독립적입니다. 원하는 순서대로 사용할 수 있습니다. 예를 들어 디렉터리를 사용하여 자동 발급을 설정하지 않고 기존 인증서를 모니터링하거나 디렉터리를 중앙 집중화하지 않고 mTLS의 신뢰 관리를 구성할 수 있습니다.
아키텍처 개요
다음 다이어그램은 이러한 구성요소가 서로 상호작용하는 방식을 보여줍니다.
인증서 인벤토리는 CA 서비스 및 통합된 Google Cloud 리소스의 인증서를 추가합니다. 개요 대시보드를 사용하여 인증서 상태를 모니터링하고 발급 및 신뢰 설정을 구성하여 수명 주기 관리를 자동화할 수 있습니다. 다음 섹션에서는 각 구성요소를 자세히 설명합니다.
인증서 모니터링 가능성
인증서 관리자 (2세대)는 환경을 자동으로 모니터링하고 다음 소스에서 인증서 디렉터리를 채웁니다.
- 통합 Google Cloud 서비스: 관리형 워크로드 아이덴티티, Cloud Load Balancing (업로드된 인증서 및 클래식 인증서 포함)과 같은 서비스에서 사용되는 인증서입니다.
- Certificate Authority Service: 비공개 CA 풀에서 발급한 인증서입니다.
인증서 모니터링
개요 대시보드는 인증서 디렉터리의 데이터를 사용하여 환경의 상태 및 보안 상황을 요약합니다. 대시보드를 사용하여 다음 작업을 수행할 수 있습니다.
- 만료 예정 인증서 확인: 모든 서비스에서 만료가 임박한 인증서를 확인하여 갱신 우선순위를 정합니다.
- 보안 상황 감사: 암호화 알고리즘 및 키 길이의 분포를 모니터링하여 보안 표준을 준수하는지 확인합니다.
- 발급 추세 추적: 시간 경과에 따른 인증서 사용 및 발급에 관한 유용한 정보를 얻습니다.
자동화된 인증서 수명 주기 관리
발급 및 신뢰 설정을 구성하여 인증서 관리를 자동화할 수 있습니다.
- 발급 구성: 수명, 키 알고리즘, 순환 기간과 같은 매개변수를 정의합니다. 발급 구성이 리소스와 연결되면 인증서 관리자 (2세대)가 인증서를 자동으로 생성하고 갱신합니다.
- 신뢰 구성: 상호 TLS (mTLS)를 사용하여 워크로드 간 통신을 보호하기 위해 신뢰 앵커를 애플리케이션에 배포합니다. 이 접근 방식을 사용하면 애플리케이션이 승인된 인증서만 신뢰할 수 있습니다.