ホーム
製品
OpenShift Container Platform
4.20
Security and compliance
10.2.5. Zero Trust Workload Identity Manager ワークフローについて

10.2.5. Zero Trust Workload Identity Manager ワークフローについて

Zero Trust Workload Identity Manager の高レベルなワークフローを理解することで、安全な ID の管理に役立ちます。このプロセスは、SPIRE コンポーネントとカスタムリソース定義 (CRD) を使用して、ノードとワークロードを検証します。

Red Hat OpenShift クラスターにおける Zero Trust Workload Identity Manager のワークフローの概要を以下に示します。

SPIRE、SPIRE Agent、SPIFFE CSI Driver、および SPIRE OIDC Discovery Provider オペランドが、関連付けられているカスタムリソース定義 (CRD) を介して Zero Trust Workload Identity Manager によってデプロイおよび管理されます。
次に、関連する Kubernetes リソースに監視が登録され、必要な SPIRE CRD がクラスターに適用されます。
ZeroTrustWorkloadIdentityManager の CR (cluster という名前のリソース) が、コントローラーによってデプロイおよび管理されます。
SPIRE Server、SPIRE Agent、SPIFFE CSI Driver、および SPIRE OIDC Discovery Provider をデプロイするために、特定のタイプのカスタムリソースを作成し、cluster という名前を付ける必要があります。カスタムリソースのタイプは次のとおりです。
- SPIRE Server - SpireServer
- SPIRE Agent - SpireAgent
- SPIFFE CSI Driver - SpiffeCSIDriver
- SPIRE OIDC ディスカバリープロバイダー - SpireOIDCDiscoveryProvider
ノードが起動すると、SPIRE Agent が初期化され、SPIRE Server に接続します。
SPIRE Agent はノードアテステーションプロセスを開始します。エージェントは、ラベル名や namespace などのノードのアイデンティティーに関する情報を収集します。エージェントは、アテステーションを通じて収集した情報を SPIRE Server にセキュアに提供します。
次に、SPIRE Server が、設定済みのアテステーションポリシーと登録エントリーに照らしてこの情報を評価します。成功した場合、サーバーはエージェントの SVID とトラストバンドル (CA 証明書) を生成し、これをセキュアに SPIRE Agent に送り返します。
ノードでワークロードが起動します。ワークロードにはセキュアなアイデンティティーが必要です。ワークロードはエージェントの Workload API に接続し、SVID を要求します。
SPIRE Agent が要求を受信し、ワークロードアテステーションを開始してワークロードに関する情報を収集します。
SPIRE Agent が情報を収集した後、その情報が SPIRE Server に送信されます。サーバーは設定された登録エントリーを確認します。
SPIRE Agent がワークロードの SVID とトラストバンドルを受信し、それをワークロードに渡します。ワークロードは、他の SPIFFE 対応デバイスに SVID を提示して通信できるようになります。

10.2.5. Zero Trust Workload Identity Manager ワークフローについて

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links