6.2. 実行中のクラスターにカスタム CA を追加する

実行中のクラスターでは、証明書を含む ConfigMap オブジェクトを作成し、クラスターの Proxy オブジェクトでその ConfigMap オブジェクトを参照することで、カスタム CA を追加できます。

注記

クラスター Proxy オブジェクトを変更すると、Machine Config Operator (MCO) は変更を適用するためにすべてのノードのローリングリブートを開始します。これは想定された動作であり、手動による介入は必要ありません。

この手順では、Proxy オブジェクトの trustedCA フィールドを使用します。同時に Egress プロキシー設定も設定または変更する必要がある場合は、「クラスター全体のプロキシーの設定」の章で詳細な手順を参照してください。

前提条件

手順

この手順には、証明書を使用して ConfigMap オブジェクトを作成する、そのオブジェクトを信頼するようにクラスターを更新するという 2 つの段階があります。

CA 証明書を使用して ConfigMap オブジェクトを作成します。
1. ConfigMap オブジェクトを定義するために、custom-ca.yaml という名前の YAML ファイルを作成します。
2. 以下の内容をファイルに追加します。
  apiVersion: v1 kind: ConfigMap metadata: name: custom-ca-bundle
  1
  namespace: openshift-config
  2
  data: ca-bundle.crt: |
  3
  -----BEGIN CERTIFICATE----- <MY_PEM_ENCODED_CA_CERT> -----END CERTIFICATE-----
  Copy to Clipboard Toggle word wrap
  1
  Proxy オブジェクトから参照する ConfigMap オブジェクトの名前。
  2
  ConfigMap オブジェクトは openshift-config namespace に作成する必要があります。
  3
  証明書バンドルのデータキーは ca-bundle.crt である必要があります。
マニフェストを適用して、クラスターに ConfigMap オブジェクトを作成します。
```
oc apply -f custom-ca.yaml
```
```
$ oc apply -f custom-ca.yaml
```
Copy to Clipboard Toggle word wrap
クラスター Proxy オブジェクト内の ConfigMap オブジェクトを参照します。
1. 次の oc patch コマンドを実行して、クラスター Proxy オブジェクトを更新し、作成した ConfigMap オブジェクトを参照するようにします。
  $ oc patch proxy/cluster --type=merge --patch='{"spec":{"trustedCA":{"name":"custom-ca-bundle"}}}'
  Copy to Clipboard Toggle word wrap

このコマンドを実行すると、Machine Config Operator (MCO) が変更を検出し、クラスター内の全ノードに信頼された新規 CA の配布を開始します。

トップに戻る