Red Hat Summit第24章 OperatorPKI [network.operator.openshift.io/v1]
- 説明
- OperatorPKI は、単純な認証局です。これは外部での使用を目的としたものではなく、ネットワーク Operator の内部で使用されます。CNO は、CA とその CA によって署名された証明書を作成します。証明書では、ClientAuth と ServerAuth の両方の拡張使用が有効になっています。より具体的には、<name> を持つ OperatorPKI が与えられると、CNO は以下を管理します。<name>- 単一のデータキーを持つ ca:-cabundle.crt-CA 証明書 -<name> と呼ばれるシークレット -2 つのデータキーを持つ証明書:-tls.key- 秘密キー --tls.crt- CA によって署名された証明書 CA 証明書の有効期間は 10 年で、9 日後にローテーションされます。ターゲット証明書の有効期間は 6 か月で、3 日後にローテーションされます。CA 証明書の CommonName は <namespace> _ <name> -ca @ <timestamp> になります。ここで、<timestamp> は最後のローテーション時間です。
- タイプ
-
object - 必須
-
spec
-
24.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
|
| 標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
|
| OperatorPKISpec は、PKI 設定です。 |
|
|
| OperatorPKIStatus は実装されていません。 |
24.1.1. .spec
- 説明
- OperatorPKISpec は、PKI 設定です。
- 型
-
object - 必須
-
targetCert
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| targetCert は、CA によって署名された証明書を設定します。ClientAuth と ServerAuth の両方が有効になります |
24.1.2. .spec.targetCert
- 説明
- targetCert は、CA によって署名された証明書を設定します。ClientAuth と ServerAuth の両方が有効になります
- 型
-
object - 必須
-
commonName
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| commonName は、証明書の CN の値です |
24.1.3. .status
- 説明
- OperatorPKIStatus は実装されていません。
- 型
-
object
