検索

4.9. Machine Config Operator 証明書

download PDF

4.9.1. 目的

この認証局は、初期プロビジョニング中にノードから Machine Config Server (MCS) への接続を保護するために使用されます。

証明書は 2 つあります。自己署名 CA (MCS CA)。派生証明書、MCS 証明書

4.9.1.1. プロビジョニングの詳細

Red Hat Enterprise Linux CoreOS (RHCOS) を使用する OpenShift Container Platform インストールは、Ignition を使用してインストールされます。このプロセスは 2 つの部分に分かれています。

  1. MCS によって提供される完全な設定の URL を参照する Ignition 設定が作成されます。
  2. ユーザーがプロビジョニングしたインフラストラクチャーのインストール方法の場合、Ignition 設定は、openshift-install コマンドによって作成された worker.ign ファイルとしてマニフェストされます。Machine API Operator を使用する、インストーラーがプロビジョニングするインフラストラクチャーのインストール方法の場合、この設定は worker-user-data シークレットとして表示されます。
重要

現在、マシン設定サーバーエンドポイントをブロックまたは制限する方法はサポートされていません。マシン設定サーバーは、既存の設定または状態を持たない新しくプロビジョニングされたマシンが設定を取得できるように、ネットワークに公開する必要があります。このモデルでは、信頼のルートは証明書署名要求 (CSR) エンドポイントであり、kubelet がクラスターに参加するための承認のために証明書署名要求を送信する場所です。このため、シークレットや証明書などの機密情報を配布するためにマシン設定を使用しないでください。

マシン設定サーバーエンドポイント、ポート 22623 および 22624 がベアメタルシナリオで確実に保護されるようにするには、顧客は適切なネットワークポリシーを設定する必要があります。

4.9.1.2. 信頼チェーンのプロビジョニング

MCS CA は、security.tls.certificateAuthorities 設定フィールドの下の Ignition 設定に挿入されます。その後、MCS は、Web サーバーによって提示された MCS 証明書を使用して完全な設定を提供します。

クライアントは、サーバーによって提示された MCS 証明書に、認識する機関への信頼チェーンがあることを検証します。この場合、MCS CA がその認証局であり、MCS 証明書に署名します。これにより、クライアントが正しいサーバーにアクセスしていることを確認できます。この場合のクライアントは、initramfs のマシン上で実行されている Ignition です。

4.9.1.3. クラスター内のキーマテリアル

MCS CA は、ca.crt キーを持つ kube-system namespace、root-ca オブジェクト内の config map としてクラスターに表示されます。秘密鍵はクラスターに保存されず、インストール完了後に破棄されます。

MCS 証明書は、tls.crt キーと tls.key キーを持つ openshift-machine-config-operator namespace および machine-config-server-tls オブジェクト内のシークレットとしてクラスターに表示されます。

4.9.2. 管理

現時点では、これらの証明書のいずれかを直接変更することはサポートされていません。

4.9.3. 有効期限

MCS CA は 10 年間有効です。

発行されたサービング証明書は 10 年間有効です。

4.9.4. カスタマイズ

Machine Config Operator 証明書をカスタマイズすることはできません。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.