12.2. クラスター全体のプロキシーの有効化

手順

1. HTTPS 接続のプロキシーに必要な追加の CA 証明書が含まれる ConfigMap を作成します。

   注記

   プロキシーのアイデンティティー証明書が RHCOS 信頼バンドルからの認証局によって署名される場合は、これを省略できます。

   1. 以下の内容で user-ca-bundle.yaml というファイルを作成して、PEM でエンコードされた証明書の値を指定します。

      apiVersion: v1
      data:
        ca-bundle.crt: | 1
          <MY_PEM_ENCODED_CERTS> 2
      kind: ConfigMap
      metadata:
        name: user-ca-bundle 3
        namespace: openshift-config 4

      1

      このデータキーは ca-bundle.crtという名前にする必要があります。

      2

      プロキシーのアイデンティティー証明書に署名するために使用される 1 つ以上の PEM でエンコードされた X.509 証明書。

      3

      プロキシーオブジェクトから参照される ConfigMap 名。

      4

      ConfigMap は openshift-config namespace になければなりません。

   2. このファイルから ConfigMap を作成します。

      $ oc create -f user-ca-bundle.yaml

2. oc edit コマンドを使用してプロキシーオブジェクトを変更します。

   $ oc edit proxy/cluster

3. プロキシーに必要なフィールドを設定します。

   apiVersion: config.openshift.io/v1
   kind: Proxy
   metadata:
     name: cluster
   spec:
     httpProxy: http://<username>:<pswd>@<ip>:<port> 1
     httpsProxy: http://<username>:<pswd>@<ip>:<port> 2
     noProxy: example.com 3
     readinessEndpoints:
     - http://www.google.com 4
     - https://www.google.com
     trustedCA:
       name: user-ca-bundle 5

   1

   クラスター外の HTTP 接続を作成するために使用するプロキシー URL。URL スキームは httpである必要があります。

   2

   クラスター外で HTTPS 接続を作成するために使用するプロキシー URL。これが指定されていない場合、HTTP および HTTPS 接続の両方に httpProxy が使用されます。URL スキームは http である必要があります。 https は現在サポートされていません。

   3

   プロキシーを除外するための宛先ドメイン名、ドメイン、IP アドレス、または他のネットワーク CIDR のカンマ区切りの一覧。ドメインのすべてのサブドメインを組み込むために、ドメインの前に . を入力します。* を使用し、すべての宛先のプロキシーをバイパスします。networking.machineCIDR に含まれていないワーカーをスケールアップする場合、 それらをこの一覧に追加し、接続の問題を防ぐ必要があります。

   4

   httpProxy および httpsProxy の値をステータスに書き込む前の readiness チェックに使用するクラスター外の 1 つ以上の URL。

   5

   HTTPS 接続のプロキシーに必要な追加の CA 証明書が含まれる、openshift-config namespace の ConfigMap の参照。ここで参照する前に ConfigMap が存在している必要があります。このフィールドは、プロキシーのアイデンティティー証明書が RHCOS 信頼バンドルからの認証局によって署名されない限り必要になります。

4. 変更を適用するためにファイルを保存します。