4.9. Machine Config Operator 証明書
4.9.1. 目的
この認証局は、初期プロビジョニング中にノードから Machine Config Server (MCS) への接続を保護するために使用されます。
証明書は 2 つあります。自己署名 CA (MCS CA)。派生証明書、MCS 証明書
4.9.1.1. プロビジョニングの詳細
Red Hat Enterprise Linux CoreOS (RHCOS) を使用する OpenShift Container Platform インストールは、Ignition を使用してインストールされます。このプロセスは 2 つの部分に分かれています。
- MCS によって提供される完全な設定の URL を参照する Ignition 設定が作成されます。
-
ユーザーがプロビジョニングしたインフラストラクチャーのインストール方法の場合、Ignition 設定は、
openshift-install
コマンドによって作成されたworker.ign
ファイルとしてマニフェストされます。Machine API Operator を使用する、インストーラーがプロビジョニングするインフラストラクチャーのインストール方法の場合、この設定はworker-user-data
シークレットとして表示されます。
現在、マシン設定サーバーエンドポイントをブロックまたは制限する方法はサポートされていません。マシン設定サーバーは、既存の設定または状態を持たない新しくプロビジョニングされたマシンが設定を取得できるように、ネットワークに公開する必要があります。このモデルでは、信頼のルートは証明書署名要求 (CSR) エンドポイントであり、kubelet がクラスターに参加するための承認のために証明書署名要求を送信する場所です。このため、シークレットや証明書などの機密情報を配布するためにマシン設定を使用しないでください。
マシン設定サーバーエンドポイント、ポート 22623 および 22624 がベアメタルシナリオで確実に保護されるようにするには、顧客は適切なネットワークポリシーを設定する必要があります。
4.9.1.2. 信頼チェーンのプロビジョニング
MCS CA は、security.tls.certificateAuthorities
設定フィールドの下の Ignition 設定に挿入されます。その後、MCS は、Web サーバーによって提示された MCS 証明書を使用して完全な設定を提供します。
クライアントは、サーバーによって提示された MCS 証明書に、認識する機関への信頼チェーンがあることを検証します。この場合、MCS CA がその認証局であり、MCS 証明書に署名します。これにより、クライアントが正しいサーバーにアクセスしていることを確認できます。この場合のクライアントは、initramfs のマシン上で実行されている Ignition です。
4.9.1.3. クラスター内のキーマテリアル
MCS CA は、ca.crt
キーを持つ kube-system
namespace、root-ca
オブジェクト内の config map としてクラスターに表示されます。秘密鍵はクラスターに保存されず、インストール完了後に破棄されます。
MCS 証明書は、tls.crt
キーと tls.key
キーを持つ openshift-machine-config-operator
namespace および machine-config-server-tls
オブジェクト内のシークレットとしてクラスターに表示されます。
4.9.2. 管理
現時点では、これらの証明書のいずれかを直接変更することはサポートされていません。
4.9.3. 有効期限
MCS CA は 10 年間有効です。
発行されたサービング証明書は 10 年間有効です。
4.9.4. カスタマイズ
Machine Config Operator 証明書をカスタマイズすることはできません。