Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.11. cert-manager Operator のネットワークポリシー設定

cert-manager Operator for Red Hat OpenShift には、事前定義済みの NetworkPolicy リソースが含まれています。これは、コンポーネントの Ingress および Egress トラフィックを制御することでセキュリティーを強化するためのものです。この機能は、アップグレード中の接続の問題や重大な変更を防ぐため、デフォルトで無効になっています。この機能を使用するには、CertManager カスタムリソース (CR) で有効にする必要があります。

デフォルトポリシーを有効にした後、送信トラフィックを許可するには、追加の Egress ルールを手動で設定する必要があります。このルールは、cert-manager Operator for Red Hat OpenShift が API サーバーおよび内部 DNS 以外の外部サービスと通信するために必要です。

カスタム Egress ルールを必要とするサービスの例は次のとおりです。

  • ACME サーバー (Let’s Encrypt など)
  • DNS-01 チャレンジプロバイダー (AWS Route53 や Cloudflare など)
  • 外部 CA (HashiCorp Vault など)
注記

今後のリリースでは、ネットワークポリシーがデフォルトで有効になる予定です。これにより、アップグレード中に接続障害が発生する可能性があります。この変更に備えて、必要な Egress ポリシーを設定してください。

9.11.1. デフォルトの Ingress および Egress ルール
リンクのコピー

デフォルトのネットワークポリシーは、各コンポーネントに次の Ingress および Egress ルールを適用します。

Expand
コンポーネントIngress ポートEgress ポート説明

cert-manager

9402

6443、5353

メトリクスサーバーへの Ingress トラフィックと OpenShift API サーバーへの Egress トラフィックを許可します。

cert-manager-webhook

9402、10250

6443

メトリクスおよび Webhook サーバーへの Ingress トラフィックと、OpenShift API サーバーおよび内部 DNS サーバーへの Egress トラフィックを許可します。

cert-manager-cainjector

9402

6443

メトリクスサーバーへの Ingress トラフィックと OpenShift API サーバーへの Egress トラフィックを許可します。

istio-csr

6443、9402

6443

gRPC Istio 証明書リクエスト API およびメトリクスサーバーへの Ingress トラフィックと、OpenShift API サーバーへの Egress トラフィックを許可します。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る