Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.5. CertManager カスタムリソースを使用して cert-manager Operator をカスタマイズする

cert-manager Operator for Red Hat OpenShift をインストールした後、CertManager カスタムリソース (CR) を設定することで、次のアクションを実行できます。

  • cert-manager コントローラー、CA インジェクター、Webhook などの cert-manager コンポーネントの動作を変更するには、引数を設定します。
  • コントローラー Pod の環境変数を設定します。
  • CPU とメモリーの使用量を管理するために、リソース要求と制限を定義します。
  • クラスター内で Pod が実行される場所を制御するためのスケジューリングルールを設定します。

CertManager CR YAML ファイルの例

apiVersion: operator.openshift.io/v1alpha1
kind: CertManager
metadata:
  name: cluster
spec:
  controllerConfig:
    overrideArgs:
      - "--dns01-recursive-nameservers=8.8.8.8:53,1.1.1.1:53"
    overrideEnv:
      - name: HTTP_PROXY
        value: http://proxy.example.com:8080
    overrideResources:
      limits:
        cpu: "200m"
        memory: "512Mi"
      requests:
        cpu: "100m"
        memory: "256Mi"
    overrideScheduling:
      nodeSelector:
        custom: "label"
      tolerations:
        - key: "key1"
          operator: "Equal"
          value: "value1"
          effect: "NoSchedule"
    overrideReplicas: 2
#...

  webhookConfig:
    overrideArgs:
#...
    overrideResources:
#...
    overrideScheduling:
#...
    overrideReplicas:
#...

  cainjectorConfig:
    overrideArgs:
#...
    overrideResources:
#...
    overrideScheduling:
#...
    overrideReplicas:
#...

警告

サポートされていない引数をオーバーライドするには、CertManager リソースに spec.unsupportedConfigOverrides セクションを追加しますが、spec.unsupportedConfigOverrides の使用はサポートされていません。

9.5.1. CertManager カスタムリソースのフィールドの説明
リンクのコピー

CertManager カスタムリソース (CR) を使用して、cert-manager Operator for Red Hat OpenShift の次のコアコンポーネントを設定できます。

  • cert-manager コントローラー: spec.controllerConfig フィールドを使用して、cert‑manager コントローラー Pod を設定できます。
  • Webhook: spec.webhookConfig フィールドを使用して、検証および変更リクエストを処理する Webhook Pod を設定できます。
  • CA インジェクター: spec.cainjectorConfig フィールドを使用して、CA インジェクター Pod を設定できます。

9.5.1.1. cert-manager コンポーネントの CertManager CR における共通の設定可能フィールド
リンクのコピー

次の表は、CertManager CR の spec.controllerConfigspec.webhookConfig、および spec.cainjectorConfig セクションで設定できる共通フィールドを示しています。

Expand
表9.1 cert-manager コンポーネントの CertManager CR における共通の設定可能フィールド
フィールド説明

overrideArgs

string

cert-manager コンポーネントでサポートされている引数をオーバーライドできます。

overrideEnv

dict

cert-manager コントローラーでサポートされている環境変数をオーバーライドできます。このフィールドは、cert-manager コントローラーコンポーネントでのみサポートされます。

overrideReplicas

int

cert-manager コンポーネントのレプリカ数を設定できます。デフォルト値は 1 です。実稼働環境では、次のレプリカ数が推奨されます。

  • controller: 2
  • cainjector: 2
  • webhook: 3 以上

詳細は、High Availability を参照してください。

overrideResources

object

cert-manager コンポーネントの CPU およびメモリーの制限を設定できます。

overrideScheduling

object

cert-manager コンポーネントの Pod スケジューリング制約を設定できます。

9.5.1.2. cert-manager コンポーネントのオーバーライド可能な引数
リンクのコピー

CertManager CR の spec.controllerConfigspec.webhookConfig、および spec.cainjectorConfig セクションで、cert-manager コンポーネントのオーバーライド可能な引数を設定できます。

次の表は、cert-manager コンポーネントのオーバーライド可能な引数について説明しています。

Expand
表9.2 cert-manager コンポーネントのオーバーライド可能な引数
引数コンポーネント説明

--dns01-recursive-nameservers=<server_address>

Controller

DNS-01 セルフチェックをクエリーするネームサーバーのコンマ区切りリストを指定します。ネームサーバーは、<host>:<port> (例: 1.1.1.1:53) で指定することも、DNS over HTTPS (DoH) (例: https://1.1.1.1/dns-query) を使用することもできます。

注記

DNS over HTTPS (DoH) は、cert-manager Operator for Red Hat OpenShift バージョン 1.13.0 以降でのみサポートされます。

--dns01-recursive-nameservers-only

Controller

そのドメインに関連付けられた権限のあるネームサーバーをチェックする代わりに、再帰的なネームサーバーのみを使用するように指定します。

--acme-http01-solver-nameservers=<host>:<port>

Controller

Automated Certificate Management Environment (ACME) HTTP01 セルフチェックをクエリーするための <host>:<port> ネームサーバーをコンマ区切りのリストで指定します。たとえば --acme-http01-solver-nameservers=1.1.1.1:53 です。

--metrics-listen-address=<host>:<port>

Controller

メトリクスエンドポイントのホストとポートを指定します。デフォルト値は --metrics-listen-address=0.0.0.0:9402 です。

--issuer-ambient-credentials

Controller

この引数を使用すると、アンビエント認証情報を使用して DNS-01 チャレンジを解決するように ACME Issuer を設定できます。

--enable-certificate-owner-ref

Controller

この引数は、証明書リソースを、TLS 証明書が保存されているシークレットの所有者として設定します。詳細は、「証明書の削除時に TLS シークレットを自動的に削除する」を参照してください。

--acme-http01-solver-resource-limits-cpu

Controller

ACME HTTP-01 ソルバー Pod の最大 CPU 制限を定義します。デフォルト値は 100m です。

--acme-http01-solver-resource-limits-memory

Controller

ACME HTTP-01 ソルバー Pod の最大メモリー制限を定義します。デフォルト値は 64Mi です。

--acme-http01-solver-resource-request-cpu

Controller

ACME HTTP-01 ソルバー Pod の最小 CPU 要求を定義します。デフォルト値は 10m です。

--acme-http01-solver-resource-request-memory

Controller

ACME HTTP-01 ソルバー Pod の最小メモリー要求を定義します。デフォルト値は 64Mi です。

--v=<verbosity_level>

コントローラー、Webhook、CA インジェクター

ログメッセージの冗長性を決定するために、ログレベルの詳細度を指定します。

9.5.1.3. cert-manager コントローラーのオーバーライド可能な環境変数
リンクのコピー

CertManager CR の spec.controllerConfig.overrideEnv フィールドで、cert-manager コントローラーのオーバーライド可能な環境変数を設定できます。

次の表は、cert-manager コントローラーのオーバーライド可能な環境変数について説明しています。

Expand
表9.3 cert-manager コントローラーのオーバーライド可能な環境変数
環境変数説明

HTTP_PROXY

送信 HTTP 要求のプロキシーサーバー。

HTTPS_PROXY

送信 HTTPS 要求のプロキシーサーバー。

NO_PROXY

プロキシーをバイパスするホストのコンマ区切りリスト。

9.5.1.4. cert-manager コンポーネントのオーバーライド可能なリソースパラメーター
リンクのコピー

CertManager CR の spec.controllerConfigspec.webhookConfig、および spec.cainjectorConfig セクションで、cert-manager コンポーネントの CPU およびメモリー制限を設定できます。

次の表は、cert-manager コンポーネントのオーバーライド可能なリソースパラメーターについて説明しています。

Expand
表9.4 cert-manager コンポーネントのオーバーライド可能なリソースパラメーター
フィールド説明

overrideResources.limits.cpu

コンポーネント Pod が使用できる CPU の最大量を定義します。

overrideResources.limits.memory

コンポーネント Pod が使用できるメモリーの最大量を定義します。

overrideResources.requests.cpu

コンポーネント Pod のスケジューラーによって要求される CPU の最小量を定義します。

overrideResources.requests.memory

コンポーネント Pod のスケジューラーによって要求されるメモリーの最小量を定義します。

9.5.1.5. cert-manager コンポーネントのオーバーライド可能なスケジューリングパラメーター
リンクのコピー

CertManager CR の spec.controllerConfigspec.webhookConfig フィールド、および spec.cainjectorConfig セクションで、cert-manager コンポーネントの Pod スケジューリング制約を設定できます。

次の表は、cert-manager コンポーネントの Pod スケジューリングパラメーターについて説明しています。

Expand
表9.5 cert-manager コンポーネントのオーバーライド可能なスケジューリングパラメーター
フィールド説明

overrideScheduling.nodeSelector

Pod を特定のノードに制限するためのキーと値のペア。

overrideScheduling.tolerations

taint されたノードで Pod をスケジュールするための toleration リスト。

9.5.2. cert-manager Operator API から環境変数をオーバーライドして cert-manager をカスタマイズする
リンクのコピー

CertManager リソースに spec.controllerConfig セクションを追加することで、cert-manager Operator for Red Hat OpenShift でサポートされている環境変数をオーバーライドできます。

前提条件

  • cluster-admin ロールを持つユーザーとして OpenShift Container Platform クラスターにアクセスできる。

手順

  1. 次のコマンドを実行して、CertManager リソースを編集します。 

    $ oc edit certmanager cluster

  2. 次のオーバーライド引数を指定して、spec.controllerConfig セクションを追加します。 

    apiVersion: operator.openshift.io/v1alpha1
kind: CertManager
metadata:
  name: cluster
  ...
spec:
  ...
  controllerConfig:
    overrideEnv:
      - name: HTTP_PROXY
        value: http://<proxy_url>
    1 
    
      - name: HTTPS_PROXY
        value: https://<proxy_url>
    2 
    
      - name: NO_PROXY
        value: <ignore_proxy_domains>
    3
    1 2
    <proxy_url> をプロキシーサーバーの URL に置き換えます。
    3
    <ignore_proxy_domains> をドメインのコンマ区切りリストに置き換えます。これらのドメインは、プロキシーサーバーにより無視されます。
    注記

    オーバーライド可能な環境変数の詳細は、「CertManager カスタムリソースのフィールドの説明」の「cert-manager コンポーネントのオーバーライド可能な環境変数」を参照してください。

  3. 変更を保存してテキストエディターを終了し、変更を適用します。

検証

  1. 次のコマンドを実行して、cert-manager コントローラー Pod が再デプロイされているか確認します。 

    $ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager

    出力例

    NAME                          READY   STATUS    RESTARTS   AGE
cert-manager-bd7fbb9fc-wvbbt  1/1     Running   0          39s

  2. 次のコマンドを実行して、cert-manager Pod の環境変数が更新されているか確認します。 

    $ oc get pod <redeployed_cert-manager_controller_pod> -n cert-manager -o yaml

    出力例

        env:
    ...
    - name: HTTP_PROXY
      value: http://<PROXY_URL>
    - name: HTTPS_PROXY
      value: https://<PROXY_URL>
    - name: NO_PROXY
      value: <IGNORE_PROXY_DOMAINS>

9.5.3. cert-manager Operator API から引数をオーバーライドして cert-manager をカスタマイズする
リンクのコピー

CertManager リソースに spec.controllerConfig セクションを追加することで、cert-manager Operator for Red Hat OpenShift でサポートされる引数をオーバーライドできます。

前提条件

  • cluster-admin ロールを持つユーザーとして OpenShift Container Platform クラスターにアクセスできる。

手順

  1. 次のコマンドを実行して、CertManager リソースを編集します。 

    $ oc edit certmanager cluster

  2. 次のオーバーライド引数を指定して、spec.controllerConfig セクションを追加します。 

    apiVersion: operator.openshift.io/v1alpha1
kind: CertManager
metadata:
  name: cluster
  ...
spec:
  ...
  controllerConfig:
    overrideArgs:
      - '--dns01-recursive-nameservers=<server_address>'
    1 
    
      - '--dns01-recursive-nameservers-only'
      - '--acme-http01-solver-nameservers=<host>:<port>'
      - '--v=<verbosity_level>'
      - '--metrics-listen-address=<host>:<port>'
      - '--issuer-ambient-credentials'
      - '--acme-http01-solver-resource-limits-cpu=<quantity>'
      - '--acme-http01-solver-resource-limits-memory=<quantity>'
      - '--acme-http01-solver-resource-request-cpu=<quantity>'
      - '--acme-http01-solver-resource-request-memory=<quantity>'
  webhookConfig:
    overrideArgs:
      - '--v=<verbosity_level>'
  cainjectorConfig:
    overrideArgs:
      - '--v=<verbosity_level>'
    1
    オーバーライド可能な引数の詳細は、「CertManager カスタムリソースのフィールドの説明」の「cert-manager コンポーネントのオーバーライド可能な引数」を参照してください。
  3. 変更を保存してテキストエディターを終了し、変更を適用します。

検証

  • 次のコマンドを実行して、cert-manager Pod の引数が更新されているか確認します。 

    $ oc get pods -n cert-manager -o yaml

    出力例

    ...
  metadata:
    name: cert-manager-6d4b5d4c97-kldwl
    namespace: cert-manager
...
  spec:
    containers:
    - args:
      - --acme-http01-solver-nameservers=1.1.1.1:53
      - --cluster-resource-namespace=$(POD_NAMESPACE)
      - --dns01-recursive-nameservers=1.1.1.1:53
      - --dns01-recursive-nameservers-only
      - --leader-election-namespace=kube-system
      - --max-concurrent-challenges=60
      - --metrics-listen-address=0.0.0.0:9042
      - --v=6
...
  metadata:
    name: cert-manager-cainjector-866c4fd758-ltxxj
    namespace: cert-manager
...
  spec:
    containers:
    - args:
      - --leader-election-namespace=kube-system
      - --v=2
...
  metadata:
    name: cert-manager-webhook-6d48f88495-c88gd
    namespace: cert-manager
...
  spec:
    containers:
    - args:
      ...
      - --v=4

9.5.4. 証明書の削除時に TLS シークレットを自動的に削除する
リンクのコピー

CertManager リソースに spec.controllerConfig セクションを追加することで、cert-manager Operator for Red Hat OpenShift の --enable-certificate-owner-ref フラグを有効にできます。--enable-certificate-owner-ref フラグは、TLS 証明書が保存されているシークレットの所有者として証明書リソースを設定します。

警告

cert-manager Operator for Red Hat OpenShift をアンインストールするか、クラスターから証明書リソースを削除すると、シークレットは自動的に削除されます。証明書 TLS シークレットが使用されている場所によっては、これが原因でネットワーク接続の問題が発生する可能性があります。

前提条件

  • cluster-admin ロールを持つユーザーとして OpenShift Container Platform クラスターにアクセスできる。
  • cert-manager Operator for Red Hat OpenShift のバージョン 1.12.0 以降がインストールされている。

手順

  1. 次のコマンドを実行して、Certificate オブジェクトとそのシークレットが利用可能であることを確認します。 

    $ oc get certificate

    出力例

    NAME                                             READY   SECRET                                           AGE
certificate-from-clusterissuer-route53-ambient   True    certificate-from-clusterissuer-route53-ambient   8h

  2. 次のコマンドを実行して、CertManager リソースを編集します。 

    $ oc edit certmanager cluster

  3. 次のオーバーライド引数を指定して、spec.controllerConfig セクションを追加します。 

    apiVersion: operator.openshift.io/v1alpha1
kind: CertManager
metadata:
  name: cluster
# ...
spec:
# ...
  controllerConfig:
    overrideArgs:
      - '--enable-certificate-owner-ref'
  4. 変更を保存してテキストエディターを終了し、変更を適用します。

検証

  • 次のコマンドを実行して、cert-manager コントローラー Pod の --enable-certificate-owner-ref フラグが更新されていることを確認します。 

    $ oc get pods -l app.kubernetes.io/name=cert-manager -n cert-manager -o yaml

    出力例

    # ...
  metadata:
    name: cert-manager-6e4b4d7d97-zmdnb
    namespace: cert-manager
# ...
  spec:
    containers:
    - args:
      - --enable-certificate-owner-ref

9.5.5. cert-manager コンポーネントの CPU およびメモリー制限をオーバーライドする
リンクのコピー

cert-manager Operator for Red Hat OpenShift をインストールした後、cert-manager コントローラー、CA インジェクター、Webhook などの cert-manager コンポーネントの cert-manager Operator for Red Hat OpenShift API から CPU およびメモリーの制限を設定できます。

前提条件

  • cluster-admin ロールを持つユーザーとして OpenShift Container Platform クラスターにアクセスできる。
  • cert-manager Operator for Red Hat OpenShift のバージョン 1.12.0 以降がインストールされている。

手順

  1. 次のコマンドを入力して、cert-manager コントローラー、CA インジェクター、および Webhook のデプロイメントが使用可能であることを確認します。 

    $ oc get deployment -n cert-manager

    出力例

    NAME                      READY   UP-TO-DATE   AVAILABLE   AGE
cert-manager              1/1     1            1           53m
cert-manager-cainjector   1/1     1            1           53m
cert-manager-webhook      1/1     1            1           53m

  2. CPU とメモリーの制限を設定する前に、次のコマンドを入力して cert-manager コントローラー、CA インジェクター、および Webhook の既存の設定を確認します。 

    $ oc get deployment -n cert-manager -o yaml

    出力例

    # ...
  metadata:
    name: cert-manager
    namespace: cert-manager
# ...
  spec:
    template:
      spec:
        containers:
        - name: cert-manager-controller
          resources: {}
    1 
    
# ...
  metadata:
    name: cert-manager-cainjector
    namespace: cert-manager
# ...
  spec:
    template:
      spec:
        containers:
        - name: cert-manager-cainjector
          resources: {}
    2 
    
# ...
  metadata:
    name: cert-manager-webhook
    namespace: cert-manager
# ...
  spec:
    template:
      spec:
        containers:
        - name: cert-manager-webhook
          resources: {}
    3 
    
# ...

    1 2 3
    spec.resources フィールドはデフォルトで空です。cert-manager コンポーネントには CPU とメモリーの制限がありません。

  3. cert-manager コントローラー、CA インジェクター、Webhook の CPU およびメモリー制限を設定するには、次のコマンドを入力します。 

    $ oc patch certmanager.operator cluster --type=merge -p="
spec:
  controllerConfig:
    overrideResources:
    1 
    
      limits:
        cpu: 200m
        memory: 64Mi
      requests:
        cpu: 10m
        memory: 16Mi
  webhookConfig:
    overrideResources:
      limits:
        cpu: 200m
        memory: 64Mi
      requests:
        cpu: 10m
        memory: 16Mi
  cainjectorConfig:
    overrideResources:
      limits:
        cpu: 200m
        memory: 64Mi
      requests:
        cpu: 10m
        memory: 16Mi
"
    1
    オーバーライド可能なリソースパラメーターの詳細は、「CertManager カスタムリソースのフィールドの説明」の「cert-manager コンポーネントのオーバーライド可能なリソースパラメーター」を参照してください。

    出力例

    certmanager.operator.openshift.io/cluster patched

検証

  1. cert-manager コンポーネントの CPU とメモリーの制限が更新されていることを確認します。 

    $ oc get deployment -n cert-manager -o yaml

    出力例

    # ...
  metadata:
    name: cert-manager
    namespace: cert-manager
# ...
  spec:
    template:
      spec:
        containers:
        - name: cert-manager-controller
          resources:
            limits:
              cpu: 200m
              memory: 64Mi
            requests:
              cpu: 10m
              memory: 16Mi
# ...
  metadata:
    name: cert-manager-cainjector
    namespace: cert-manager
# ...
  spec:
    template:
      spec:
        containers:
        - name: cert-manager-cainjector
          resources:
            limits:
              cpu: 200m
              memory: 64Mi
            requests:
              cpu: 10m
              memory: 16Mi
# ...
  metadata:
    name: cert-manager-webhook
    namespace: cert-manager
# ...
  spec:
    template:
      spec:
        containers:
        - name: cert-manager-webhook
          resources:
            limits:
              cpu: 200m
              memory: 64Mi
            requests:
              cpu: 10m
              memory: 16Mi
# ...

9.5.6. cert-manager コンポーネントのスケジュールオーバーライドを設定する
リンクのコピー

cert-manager コントローラー、CA インジェクター、Webhook などの cert-manager Operator for Red Hat OpenShift コンポーネントの Pod スケジューリングを、cert-manager Operator for Red Hat OpenShift API から設定できます。

前提条件

  • cluster-admin ロールを持つユーザーとして OpenShift Container Platform クラスターにアクセスできる。
  • cert-manager Operator for Red Hat OpenShift のバージョン 1.15.0 以降がインストールされている。

手順

  • 次のコマンドを実行して certmanager.operator カスタムリソースを更新し、目的のコンポーネントの Pod スケジューリングオーバーライドを設定します。nodeSelector および tolerations 設定を定義するには、controllerConfigwebhookConfig、または cainjectorConfig セクションの overrideScheduling フィールドを使用します。 

    $ oc patch certmanager.operator cluster --type=merge -p="
spec:
  controllerConfig:
    overrideScheduling:
    1 
    
      nodeSelector:
        node-role.kubernetes.io/control-plane: ''
      tolerations:
        - key: node-role.kubernetes.io/master
          operator: Exists
          effect: NoSchedule
  webhookConfig:
    overrideScheduling:
      nodeSelector:
        node-role.kubernetes.io/control-plane: ''
      tolerations:
        - key: node-role.kubernetes.io/master
          operator: Exists
          effect: NoSchedule
  cainjectorConfig:
    overrideScheduling:
      nodeSelector:
        node-role.kubernetes.io/control-plane: ''
      tolerations:
        - key: node-role.kubernetes.io/master
          operator: Exists
          effect: NoSchedule"
"
    1
    オーバーライド可能なスケジューリングパラメーターの詳細は、「CertManager カスタムリソースのフィールドの説明」の「cert-manager コンポーネントのオーバーライド可能なスケジューリングパラメーター」を参照してください。

検証

  1. cert-manager Pod の Pod スケジューリング設定を検証します。

    1. 次のコマンドを実行して、cert-manager namespace のデプロイメントをチェックし、正しい nodeSelectortolerations があることを確認します。 

      $ oc get pods -n cert-manager -o wide

      出力例

      NAME                                       READY   STATUS    RESTARTS   AGE   IP            NODE                         NOMINATED NODE   READINESS GATES
cert-manager-58d9c69db4-78mzp              1/1     Running   0          10m   10.129.0.36   ip-10-0-1-106.ec2.internal   <none>           <none>
cert-manager-cainjector-85b6987c66-rhzf7   1/1     Running   0          11m   10.128.0.39   ip-10-0-1-136.ec2.internal   <none>           <none>
cert-manager-webhook-7f54b4b858-29bsp      1/1     Running   0          11m   10.129.0.35   ip-10-0-1-106.ec2.internal   <none>           <none>

    2. 次のコマンドを実行して、デプロイメントに適用されている nodeSelectortolerations の設定を確認します。 

      $ oc get deployments -n cert-manager -o jsonpath='{range .items[*]}{.metadata.name}{"\n"}{.spec.template.spec.nodeSelector}{"\n"}{.spec.template.spec.tolerations}{"\n\n"}{end}'

      出力例

      cert-manager
{"kubernetes.io/os":"linux","node-role.kubernetes.io/control-plane":""}
[{"effect":"NoSchedule","key":"node-role.kubernetes.io/master","operator":"Exists"}]

cert-manager-cainjector
{"kubernetes.io/os":"linux","node-role.kubernetes.io/control-plane":""}
[{"effect":"NoSchedule","key":"node-role.kubernetes.io/master","operator":"Exists"}]

cert-manager-webhook
{"kubernetes.io/os":"linux","node-role.kubernetes.io/control-plane":""}
[{"effect":"NoSchedule","key":"node-role.kubernetes.io/master","operator":"Exists"}]

  2. 次のコマンドを実行して、cert-manager namespace 内の Pod スケジューリングイベントを検証します。 

    $ oc get events -n cert-manager --field-selector reason=Scheduled
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る