Red Hat Summit第11章 External Secrets Operator for Red Hat OpenShift
11.1. External Secrets Operator for Red Hat OpenShift の概要
External Secrets Operator for Red Hat OpenShift は、external-secrets アプリケーションをデプロイおよび管理するためのクラスター全体のサービスとして動作します。external-secrets アプリケーションは、外部のシークレット管理システムと統合し、クラスター内でシークレットの取得、更新、プロビジョニングを実行します。
External Secrets Operator for Red Hat OpenShift は、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
11.1.1. External Secrets Operator for Red Hat OpenShift について
External Secrets Operator for Red Hat OpenShift は、external-secrets アプリケーションを OpenShift Container Platform クラスターと統合するために使用します。external-secrets アプリケーションは、AWS Secrets Manager、HashiCorp Vault、Google Secret Manager、Azure Key Vault、IBM Cloud Secrets Manager、AWS Systems Manager Parameter Store などの外部プロバイダーに保存されているシークレットを取得し、それらを Kubernetes とセキュアに統合します。
External Secrets Operator を使用すると、次のことを実現できます。
- アプリケーションをシークレットライフサイクル管理から分離する。
- コンプライアンス要件に対応するためにシークレットストレージを一元管理する。
- セキュアで自動化されたシークレットのローテーションを可能にする。
- きめ細かなアクセス制御を使用したマルチクラウドのシークレットソーシングをサポートする。
- アクセス制御を一元管理して監査する。
クラスター内で複数の External Secrets Operator を使用しないでください。クラスターにコミュニティー版の External Secrets Operator がインストールされている場合は、アンインストールしてから External Secrets Operator for Red Hat OpenShift をインストールする必要があります。
external-secrets アプリケーションの詳細は、external-secrets を参照してください。
External Secrets Operator を使用すると、外部シークレットストアで認証し、シークレットを取得して、取得したシークレットをネイティブ Kubernetes シークレットに注入できます。この方法により、アプリケーションが外部シークレットに直接アクセスしたり管理したりする必要がなくなります。
11.1.2. External Secrets Operator for Red Hat OpenShift の外部シークレットプロバイダー
External Secrets Operator for Red Hat OpenShift は、次の外部シークレットプロバイダータイプを使用してテストされています。
Red Hat は、サードパーティーのシークレットストアプロバイダーの機能に関連するすべての要素をテストしているわけではありません。サードパーティーのサポートの詳細は、Red Hat サードパーティーサポートポリシー を参照してください。
11.1.3. 外部シークレットプロバイダータイプのテスト
次の表は、テスト済みの各外部シークレットプロバイダータイプのテスト範囲を示しています。
| シークレットプロバイダー | テストステータス | 注記 |
|---|---|---|
| AWS Secrets Manager | 部分的にテスト済み | 基本的な機能を確認しました。 |
| AWS Systems Manager Parameter Store | 部分的にテスト済み | 基本的な機能を確認しました。 |
| HashiCorp Vault | 部分的にテスト済み | |
| Google Secrets Manager | 部分的にテスト済み |
11.1.4. External Secrets Operator for Red Hat OpenShift の FIPS 準拠について
External Secrets Operator for Red Hat OpenShift は FIPS 準拠に対応しています。External Secrets Operator は、OpenShift Container Platform 上で FIPS モードで実行される場合、x86_64、ppc64le、および s390X アーキテクチャーでの FIPS 検証を受けるために NIST に提出された RHEL 暗号化ライブラリーを使用します。NIST 検証プログラムの詳細は、Cryptographic module validation program を参照してください。検証を受けるために提出された RHEL 暗号化ライブラリーの個々のバージョンに関する最新の NIST ステータスの詳細は、Compliance activities and government standards を参照してください。
FIPS モードを有効にするには、FIPS モードで稼働する OpenShift Container Platform クラスターに External Secrets Operator をインストールします。詳細は、「Do you need extra security for your cluster?」を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}