検索
サポートコンソール開発者トライアルの開始お問い合わせ

8.5. NBDE Tang Server Operator を使用した Tang サーバーの設定と管理

download PDF

NBDE Tang Server Operator を使用すると、Tang サーバーをデプロイして迅速に設定できます。デプロイされた Tang サーバーでは、既存のキーをリストし、それらをローテーションできます。

8.5.1. NBDE Tang Server Operator を使用して Tang サーバーをデプロイする

Web コンソールで NBDE Tang Server Operator を使用すると、1 つ以上の Tang サーバーをデプロイして迅速に設定できます。

前提条件

  • OpenShift Container Platform クラスターに対する cluster-admin 権限を持っている。
  • OCP クラスターに NBDE Tang Server Operator がインストールされている。

手順

  1. OpenShift Container Platform Web コンソールで、Operators OperatorHub ページに移動します。

  2. Project を選択し、Create Project をクリックします。

    Web コンソールでプロジェクトを作成する

  3. Create Project ページで、次のような必須情報を入力します。

    Create Project ページの値の例
  4. Create をクリックします。

  5. NBDE Tang Server レプリカには、暗号鍵を保存するためにの永続ボリューム要求 (PVC) が必要です。Web コンソールで、Storage PersistentVolumeClaims に移動します。

    Storage メニューの PersistentVolumeClaims
  6. 次の PersistentVolumeClaims 画面で、Create PersistentVolumeClaim をクリックします。

  7. Create PersistentVolumeClaim ページで、デプロイメントシナリオに適したストレージを選択します。暗号鍵をローテーションする頻度を検討してください。PVC に名前を付け、要求されたストレージ容量を選択します。以下はその例です。

    PersistentVolumeClaims ページの作成
  8. Operators Installed Operators に移動し、NBDE Tang Server をクリックします。

  9. Create instance をクリックします。

    NBDE Tang Server インスタンスの作成

  10. Create TangServer ページで、Tang Server インスタンスの名前とレプリカの数を選択し、前に作成した永続ボリューム要求の名前を指定します。以下はその例です。

    TangServer ページの作成
  11. 必要な値を入力し、シナリオのデフォルト値とは異なる設定を変更してから Create をクリックします。

8.5.2. NBDE Tang Server Operator を使用して鍵をローテートする

NBDE Tang Server Operator を使用すると、Tang サーバーの鍵をローテートすることも可能です。鍵をローテートするのに適した間隔は、アプリケーション、鍵のサイズ、および組織のポリシーにより異なります。

前提条件

  • OpenShift Container Platform クラスターに対する cluster-admin 権限を持っている。
  • NBDE Tang Server Operator を使用して Tang サーバーを OpenShift クラスターにデプロイしている。
  • OpenShift CLI (oc) がインストールされている。

手順

  1. Tang サーバー上の既存の鍵をリストします。以下はその例です。 

    $ oc -n nbde describe tangserver

    出力例

    …
Status:
  Active Keys:
	File Name:  	QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg
	Generated:  	2022-02-08 15:44:17.030090484 +0000
	sha1:       	PvYQKtrTuYsMV2AomUeHrUWkCGg
	sha256:     	QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg
…

  2. アクティブな鍵を非表示の鍵に移動ための YAML ファイル (例: minimal-keyretrieve-rotate-tangserver.yaml) を作成します。

    tang-operato の鍵ローテーション YAML の例

    apiVersion: daemons.redhat.com/v1alpha1
kind: TangServer
metadata:
  name: tangserver
  namespace: nbde
  finalizers:
    - finalizer.daemons.tangserver.redhat.com
spec:
  replicas: 1
  hiddenKeys:
    - sha1: "PvYQKtrTuYsMV2AomUeHrUWkCGg" 1

    1
    アクティブな鍵の SHA-1 サムプリントを指定して、鍵をローテーションします。

  3. YAML ファイルを適用します。 

    $ oc apply -f minimal-keyretrieve-rotate-tangserver.yaml

検証

  1. 設定に応じて一定の時間が経過した後、以前の activeKey 値が新しい hiddenKey 値になり、activeKey キーファイルが新しく生成されていることを確認します。以下はその例です。 

    $ oc -n nbde describe tangserver

    出力例

    …
Spec:
  Hidden Keys:
    sha1:    PvYQKtrTuYsMV2AomUeHrUWkCGg
  Replicas:  1
Status:
  Active Keys:
    File Name:  T-0wx1HusMeWx4WMOk4eK97Q5u4dY5tamdDs7_ughnY.jwk
    Generated:  2023-10-25 15:38:18.134939752 +0000
    sha1:       vVxkNCNq7gygeeA9zrHrbc3_NZ4
    sha256:     T-0wx1HusMeWx4WMOk4eK97Q5u4dY5tamdDs7_ughnY
  Hidden Keys:
    File Name:           .QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg.jwk
    Generated:           2023-10-25 15:37:29.126928965 +0000
    Hidden:              2023-10-25 15:38:13.515467436 +0000
    sha1:                PvYQKtrTuYsMV2AomUeHrUWkCGg
    sha256:              QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg
…

8.5.3. NBDE Tang Server Operator を使用して非表示の鍵を削除する

Tang サーバー鍵をローテートすると、それまでアクティブだった鍵は非表示になり、Tang インスタンスによってアドバタイズされなくなります。NBDE Tang Server Operator を使用して、使用されなくなった暗号鍵を削除できます。

WARNING
バインドされたすべての Clevis クライアントが新しい鍵を使用していることが確認できない限り、非表示の鍵を削除しないでください。

前提条件

  • OpenShift Container Platform クラスターに対する cluster-admin 権限を持っている。
  • NBDE Tang Server Operator を使用して Tang サーバーを OpenShift クラスターにデプロイしている。
  • OpenShift CLI (oc) がインストールされている。

手順

  1. Tang サーバー上の既存の鍵をリストします。以下はその例です。 

    $ oc -n nbde describe tangserver

    出力例

    …
Status:
  Active Keys:
	File Name:  	PvYQKtrTuYsMV2AomUeHrUWkCGg.jwk
	Generated:  	2022-02-08 15:44:17.030090484 +0000
	sha1:	    	PvYQKtrTuYsMV2AomUeHrUWkCGg
	sha256:	    	QS82aXnPKA4XpfHr3umbA0r2iTbRcpWQ0VI2Qdhi6xg
…

  2. 非表示の鍵をすべて削除するための YAML ファイル (例: hidden-keys-deletion-tangserver.yaml) を作成します。

    tang-operator の hidden-keys-deletion YAML の例

    apiVersion: daemons.redhat.com/v1alpha1
kind: TangServer
metadata:
  name: tangserver
  namespace: nbde
  finalizers:
    - finalizer.daemons.tangserver.redhat.com
spec:
  replicas: 1
  hiddenKeys: [] 1

    1
    hiddenKeys エントリーの値が空の配列である場合、Tang サーバーに非表示の鍵が保存されていないことを示します。

  3. YAML ファイルを適用します。 

    $ oc apply -f hidden-keys-deletion-tangserver.yaml

検証

  1. 設定に応じて一定の時間が経過した後、以前のアクティブな鍵が引き続き存在し、使用可能な非表示の鍵もないことを確認します。以下はその例です。 

    $ oc -n nbde describe tangserver

    出力例

    …
Spec:
  Hidden Keys:
    sha1:    PvYQKtrTuYsMV2AomUeHrUWkCGg
  Replicas:  1
Status:
  Active Keys:
    File Name:  T-0wx1HusMeWx4WMOk4eK97Q5u4dY5tamdDs7_ughnY.jwk
    Generated:  2023-10-25 15:38:18.134939752 +0000
    sha1:       vVxkNCNq7gygeeA9zrHrbc3_NZ4
    sha256:     T-0wx1HusMeWx4WMOk4eK97Q5u4dY5tamdDs7_ughnY
Status:
  Ready:                 1
  Running:               1
  Service External URL:  http://35.222.247.84:7500/adv
  Tang Server Error:     No
Events:
…

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.