ホーム
製品
OpenShift Container Platform
4.20
セキュリティーおよびコンプライアンス
11.7. External Secrets Operator for Red Hat OpenShift のカスタマイズ

11.7. External Secrets Operator for Red Hat OpenShift のカスタマイズ

External Secrets Operator for Red Hat OpenShift をインストールした後、ExternalSecretsConfig カスタムリソース (CR) を編集することで、Operator の動作をカスタマイズできます。これにより、external-secrets コントローラー、cert-controller、webhook、bitwardenSecretManagerProvider プラグインなどのコンポーネントを変更したり、Operator Pod の環境変数を設定したりできます。

11.7.1. External Secrets Operator for Red Hat OpenShift のログレベルの設定
リンクのコピー

External Secrets Operator for Red Hat OpenShift のログレベルを設定して、Operator ログメッセージの詳細レベルを決定できます。

前提条件

cluster-admin 権限でクラスターにアクセスできる。
ExternalSecretsConfig カスタムリソースを作成した。

手順

次のコマンドを実行して、External Secrets Operator for Red Hat OpenShift のサブスクリプションオブジェクトを更新し、Operator ログの詳細レベルを指定します。
```
oc -n <external_secrets_operator_namespace> patch subscription openshift-external-secrets-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"OPERATOR_LOG_LEVEL","value":"<log_level>"}]}}}'
```
```
$ oc -n <external_secrets_operator_namespace> patch subscription openshift-external-secrets-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"OPERATOR_LOG_LEVEL","value":"<log_level>"}]}}}'
```
Copy to Clipboard Toggle word wrap
ここでは、以下のようになります。
external_secrets_operator_namespace
Operator がインストールされている namespace。
log_level
1 - 5 の値がサポートされています。デフォルトは 2 です。

検証

External Secrets Operator Pod が再デプロイされます。次のコマンドを実行して、External Secrets Operator for Red Hat OpenShift のログレベルが更新されていることを確認します。

oc set env deploy/external-secrets-operator-controller-manager -n external-secrets-operator --list | grep -e OPERATOR_LOG_LEVEL -e container

$ oc set env deploy/external-secrets-operator-controller-manager -n external-secrets-operator --list | grep -e OPERATOR_LOG_LEVEL -e container

Copy to Clipboard

Toggle word wrap

出力例

deployments/external-secrets-operator-controller-manager, container manager

# deployments/external-secrets-operator-controller-manager, container manager
OPERATOR_LOG_LEVEL=2

Copy to Clipboard

Toggle word wrap

oc logs コマンドを実行して、External Secrets Operator for Red Hat OpenShift のログレベルが更新されていることを確認します。

oc logs -n external-secrets-operator -f deployments/external-secrets-operator-controller-manager -c manager

$ oc logs -n external-secrets-operator -f deployments/external-secrets-operator-controller-manager -c manager

Copy to Clipboard

Toggle word wrap

11.7.2. External Secrets Operator for Red Hat OpenShift オペランドのログレベルの設定
リンクのコピー

External Secrets Operator for Red Hat OpenShift のログレベルを設定して、ログメッセージの詳細レベルを決定できます。

前提条件

cluster-admin 権限でクラスターにアクセスできる。
ExternalSecretsConfig カスタムリソースを作成した。

手順

次のコマンドを実行して、ExternalSecretsConfig CR を編集します。
```
oc edit externalsecretsconfigs.operator.openshift.io cluster
```
```
$ oc edit externalsecretsconfigs.operator.openshift.io cluster
```
Copy to Clipboard Toggle word wrap
spec.appConfig.logLevel セクションを編集してログレベルの値を設定します。
```
apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
...
spec:
  appConfig:
    logLevel: <log_level> 
```
```
apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
...
spec:
  appConfig:
    logLevel: <log_level> 
```
1
Copy to Clipboard Toggle word wrap
1
1 - 5 の値がサポートされています。ログレベルは、オペランド側で次のサポートレベルにマッピングされます。
1 - 警告
2 - エラーログ
3 - 情報ログ
4 および 5 - デバッグログ
変更を保存し、エディターを終了します。

11.7.3. external-secrets の証明書要件を満たすための cert-manager の設定
リンクのコピー

証明書管理のために、external-secrets の Webhook およびプラグインを cert-manager に割り当てることができます。この設定は任意です。

cert-manager が使用されない場合、external-secrets はデフォルトで独自の証明書管理を使用します。このモードでは、Webhook に必要な証明書は自動で生成されますが、プラグインの証明書は手動で設定する必要があります。

前提条件

cluster-admin 権限でクラスターにアクセスできる。
ExternalSecretsConfig カスタムリソースを作成した。
cert-manager Operator for Red Hat OpenShift がインストールされている。詳細は、「cert-manager Operator for Red Hat OpenShift のインストール」を参照してください。

手順

次のコマンドを実行して、ExternalSecretsConfig カスタムリソースを編集します。
```
 oc edit externalsecretsconfigs.operator.openshift.io cluster
```
```
$  oc edit externalsecretsconfigs.operator.openshift.io cluster
```
Copy to Clipboard Toggle word wrap
次のように spec.controllerConfig.certProvider.certManager セクションを編集して、cert-manager を設定します。
```
apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
...
spec:
  controllerConfig:
    certProvider:
      certManager:
        injectAnnotations: "true"
        issuerRef:
          name: <issuer_name>
          kind: <issuer_kind>
          group: <issuer_group>
        mode: Enabled
```
```
apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
...
spec:
  controllerConfig:
    certProvider:
      certManager:
        injectAnnotations: "true"
        issuerRef:
          name: <issuer_name>
          kind: <issuer_kind>
          group: <issuer_group>
        mode: Enabled
```
Copy to Clipboard Toggle word wrap
ここでは、以下のようになります。
injectAnnotation
有効にする場合は true に設定する必要があります。
name
ExternalSecretsConfig で参照される発行者オブジェクトの名前。
kind
API 発行者。Issuer または ClusterIssuer のいずれかに設定できます。
group
API 発行者グループ。グループ名は cert-manager.io にする必要があります。
mode
Enabled に設定する必要があります。これはイミュータブルなフィールドであり、一度設定すると変更できません。
変更を保存します。
externalsecretsconfig.operator.openshift.io オブジェクト内の cert-manager 設定を更新した後、次のコマンドを実行して external-secrets-cert-controller デプロイメントを手動で削除する必要があります。これにより、external-secrets アプリケーションのパフォーマンスのデグレードを防ぎます。
```
oc delete deployments.apps external-secrets-cert-controller -n external-secrets
```
```
$ oc delete deployments.apps external-secrets-cert-controller -n external-secrets
```
Copy to Clipboard Toggle word wrap

必要に応じて、次のコマンドを実行して、cert-controller 用に作成された他のリソースを削除できます。

oc delete clusterrolebindings.rbac.authorization.k8s.io external-secrets-cert-controller

$ oc delete clusterrolebindings.rbac.authorization.k8s.io external-secrets-cert-controller

Copy to Clipboard

Toggle word wrap

oc delete clusterroles.rbac.authorization.k8s.io external-secrets-cert-controller

$ oc delete clusterroles.rbac.authorization.k8s.io external-secrets-cert-controller

Copy to Clipboard

Toggle word wrap

oc delete serviceaccounts external-secrets-cert-controller -n external-secrets

$ oc delete serviceaccounts external-secrets-cert-controller -n external-secrets

Copy to Clipboard

Toggle word wrap

oc delete secrets external-secrets-webhook -n external-secrets

$ oc delete secrets external-secrets-webhook -n external-secrets

Copy to Clipboard

Toggle word wrap

11.7.4. bitwardenSecretManagerProvider プラグインの設定
リンクのコピー

bitwardenSecretManagerProvider を有効にすると、Bitwarden Secrets Manager プロバイダーをシークレットのソースとして使用できます。

前提条件

cluster-admin 権限でクラスターにアクセスできる。
ExternalSecretsConfig カスタムリソースを作成した。

手順

次のコマンドを実行して、ExternalSecretsConfig カスタムリソースを編集します。
```
 oc edit externalsecretsconfigs.operator.openshift.io cluster
```
```
$  oc edit externalsecretsconfigs.operator.openshift.io cluster
```
Copy to Clipboard Toggle word wrap
spec.plugins.bitwardenSecretManagerProvider セクションを次のように編集し、Bitwarden Secrets Manager を有効にします。
```
apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
...
spec:
  plugins:
    bitwardenSecretManagerProvider:
      mode: Enabled
      secretRef:
        name: <secret_object_name>
```
```
apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
...
spec:
  plugins:
    bitwardenSecretManagerProvider:
      mode: Enabled
      secretRef:
        name: <secret_object_name>
```
Copy to Clipboard Toggle word wrap
ここでは、以下のようになります。
name
プラグインの証明書鍵ペアを含むシークレットの名前。シークレット内において、証明書のキー名は tls.crt である必要があります。秘密鍵のキー名は tls.key である必要があります。認証局 (CA) 証明書のキー名は ca.crt である必要があります。cert-manager 証明書プロバイダーが設定されている場合、シークレットの設定は任意です。
変更を保存し、エディターを終了します。
プラグインを無効にする場合は、次のコマンドを実行して次のリソースを手動で削除する必要があります。

oc delete deployments.apps bitwarden-sdk-server -n external-secrets

$ oc delete deployments.apps bitwarden-sdk-server -n external-secrets

Copy to Clipboard

Toggle word wrap

oc delete certificates.cert-manager.io bitwarden-tls-certs -n external-secrets

$ oc delete certificates.cert-manager.io bitwarden-tls-certs -n external-secrets

Copy to Clipboard

Toggle word wrap

oc delete service bitwarden-sdk-server -n external-secrets

$ oc delete service bitwarden-sdk-server -n external-secrets

Copy to Clipboard

Toggle word wrap

oc delete serviceaccounts bitwarden-sdk-server -n external-secrets

$ oc delete serviceaccounts bitwarden-sdk-server -n external-secrets

Copy to Clipboard

Toggle word wrap

トップに戻る

11.7. External Secrets Operator for Red Hat OpenShift のカスタマイズ

11.7.1. External Secrets Operator for Red Hat OpenShift のログレベルの設定
リンクのコピー

11.7.2. External Secrets Operator for Red Hat OpenShift オペランドのログレベルの設定
リンクのコピー

11.7.3. external-secrets の証明書要件を満たすための cert-manager の設定
リンクのコピー

11.7.4. bitwardenSecretManagerProvider プラグインの設定
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

11.7. External Secrets Operator for Red Hat OpenShift のカスタマイズ

11.7.1. External Secrets Operator for Red Hat OpenShift のログレベルの設定リンクのコピーリンクがクリップボードにコピーされました!

11.7.2. External Secrets Operator for Red Hat OpenShift オペランドのログレベルの設定リンクのコピーリンクがクリップボードにコピーされました!

11.7.3. external-secrets の証明書要件を満たすための cert-manager の設定リンクのコピーリンクがクリップボードにコピーされました!

11.7.4. bitwardenSecretManagerProvider プラグインの設定リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

11.7.1. External Secrets Operator for Red Hat OpenShift のログレベルの設定
リンクのコピー

11.7.2. External Secrets Operator for Red Hat OpenShift オペランドのログレベルの設定
リンクのコピー

11.7.3. external-secrets の証明書要件を満たすための cert-manager の設定
リンクのコピー

11.7.4. bitwardenSecretManagerProvider プラグインの設定
リンクのコピー