Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

11.4. オペランドのネットワークポリシーの設定

External Secrets Operator for Red Hat OpenShift には、セキュリティー用の事前定義された NetworkPolicies が含まれています。しかし、外部プロバイダーと通信するために external-secrets コントローラーの Egress 許可ポリシーを設定するには、ExternalSecretsConfig カスタムリソースを通じて追加のカスタムポリシーを設定する必要があります。これらの設定可能なポリシーは、ExternalSecretsConfig カスタムリソースを通じて設定され、Egress 許可ポリシーを確立します。

すべての外部プロバイダーへの Egress をすべて許可するには、ExternalSecretsConfig カスタムリソースを通じてカスタムポリシーを設定する必要があります。

前提条件

  • ExternalSecretsConfig が事前に定義されている。
  • 宛先ポートやプロトコルを含む特定の Egress ルールを定義できる。

手順

  1. 次のコマンドを実行して、ExternalSecretsConfig CR を編集します。 

    $ oc edit externalsecretsconfigs.operator.openshift.io cluster
    Copy to Clipboard Toggle word wrap

  2. networkPolicies セクションを編集してポリシーを設定します。 

    apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
metadata:
  name: cluster
spec:
  controllerConfig:
    networkPolicies:
      - name: allow-external-secrets-egress
        componentName: CoreController
        egress: # Allow all egress traffic
    Copy to Clipboard Toggle word wrap

11.4.2. 特定のプロバイダーへの Egress を許可するカスタムネットワークポリシーの追加
リンクのコピー

特定のプロバイダーへの Egress をすべて許可するには、ExternalSecretsConfig カスタムリソースを通じてカスタムポリシーを設定する必要があります。

前提条件

  • ExternalSecretsConfig が事前に定義されている。
  • 宛先ポートやプロトコルを含む特定の Egress ルールを定義できる。

手順

  1. 次のコマンドを実行して、ExternalSecretsConfig CR を編集します。 

    $ oc edit externalsecretsconfigs.operator.openshift.io cluster
    Copy to Clipboard Toggle word wrap

  2. networkPolicies セクションを編集してポリシーを設定します。次の例は、Amazon Web Services (AWS) エンドポイントへの Egress を許可する方法を示しています。 

    apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
metadata:
  name: cluster
spec:
  controllerConfig:
    networkPolicies:
      - componentName: ExternalSecretsCoreController
        egress:
          # Allow egress to Kubernetes API server, AWS endpoints, and DNS
          - ports:
              - port: 443   # HTTPS (AWS Secrets Manager)
                protocol: TCP
      - name: allow-external-secrets-egress
    Copy to Clipboard Toggle word wrap
    componentName
    コアコントローラーの名前であり、ExternalSecretsCoreController として指定されています。

Egress ルールには、AWS Secrets Manager などのサービス用の Transmission Control Protocol (TCP) ポート 443 など、必要なポートが含まれている必要があります。

11.4.3. デフォルトの Ingress および Egress ルール
リンクのコピー

次の表は、デフォルトの Ingress および Egress ルールをまとめたものです。

Expand
コンポーネントIngress ポートEgress ポート説明

external-secrets

8080

6443

メトリクスの取得と API サーバーとのやり取りを許可します。

external-secrets-webhook

8080/10250

6443

メトリクスの取得、Webhook リクエストの処理、API サーバーとのやり取りを許可します。

external-secrets-cert-controller

8080

6443

メトリクスの取得と API サーバーとのやり取りを許可します。

external-secrets-bitwarden-server

9998

6443

Bitwarden サーバーの接続を処理し、API サーバーとやり取りします。

external-secrets-allow-dns

 

5353

外部シークレットプロバイダーを特定するための DNS 検索を有効にします。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat