Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

10.5.5. SPIRE OpenID Connect ディスカバリープロバイダーのデプロイ

SpireOIDCDiscoveryProvider CR を設定して、SPIRE OpenID Connect (OIDC) ディスカバリープロバイダーをデプロイします。これにより、クラスターの信頼ドメインと JSON Web トークン (JWT) の発行者を定義できます。

前提条件

  • cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。
  • クラスターに Zero Trust Workload Identity Manager をインストールした。

手順

  1. SpireOIDCDiscoveryProvider CR を作成します。

    1. SpireOIDCDiscoveryProvider CR を定義する YAML ファイル (例: SpireOIDCDiscoveryProvider.yaml) を作成します。

      SpireOIDCDiscoveryProvider.yaml の例

      aapiVersion: operator.openshift.io/v1alpha1
kind: SpireOIDCDiscoveryProvider
metadata:
 name: cluster
spec:
  logLevel: "info"
  logFormat: "text"
  csiDriverName: "csi.spiffe.io"
  jwtIssuer: "https://oidc-discovery.apps.cluster.example.com"
  replicaCount: 1
  managedRoute: "true"
  externalSecretRef: ""

      ここでは、以下のようになります。

      metadata.name
      値が クラスター でなければならないことを指定します。
      spec.logLevel
      SPIRE サーバーのログレベルを指定します。有効なオプションは、debuginfowarnerror です。
      spec.logFormat
      SPIRE サーバーのログ記録フォーマットを指定します。有効なオプションは、textjson です。
      spec.csiDriverName
      Workload API ソケットのマウントに使用する CSI ドライバーの名前を指定します。これは、OIDC プロバイダーが SPIFFE アイデンティティーにアクセスできるように、SpiffeCSIDriver.spec.pluginName の 値と一致する必要があります。有効な DNS サブドメイン形式 (例: csi.spiffe.io) で、最大長は 127 文字です。
      spec.jwtIssuer
      JWT 発行者の URL を指定します。有効な HTTPS または HTTP URL である必要があり、最大長は 512 文字です。この値は、SpireServer.spec.jwtIssuer の 値と一致する必要があります。
      spec.replicaCount
      OIDC ディスカバリープロバイダーのデプロイメントにおけるレプリカ数を指定します。1 から 5 の間である必要があります。
      仕様管理ルート
      Operator が OIDC ディスカバリープロバイダーのエンドポイントに対して OpenShift ルートを自動的に作成するかどうかを指定します。Operator が OIDC ディスカバリーエンドポイント (*.apps.) 用の OpenShift ルートを自動的に作成および維持するようにするには、true に設定します。管理者がルートまたは Ingress を手動で設定できるようにするには、false に設定してください。
      spec.ternalSecretRef
      OIDC ディスカバリープロバイダーのルートホストの TLS 証明書を含む、外部管理シークレットへの参照を指定します。有効な Kubernetes シークレット参照名で、最大長は 253 文字です。このフィールドは任意です。

    2. 以下のコマンドを実行して設定を適用します。 

      $ oc apply -f SpireOIDCDiscoveryProvider.yaml

検証

  1. 次のコマンドを実行して、OIDC Discovery Provider のデプロイメントが準備完了状態であり、利用可能であることを確認します。 

    $ oc get deployment -l app.kubernetes.io/name=spiffe-oidc-discovery-provider -n zero-trust-workload-identity-manager

    出力例

    NAME                                    READY  UP-TO-DATE  AVAILABLE  AGE
spire-spiffe-oidc-discovery-provider    1/1    1           1          2m58s

  2. 次のコマンドを実行して、OIDC Discovery Provider Pod のステータスが Running であることを確認します。 

    $ oc get po -l app.kubernetes.io/name=spiffe-oidc-discovery-provider -n zero-trust-workload-identity-manager

    出力例

    NAME                                                    READY   STATUS    RESTARTS   AGE
spire-spiffe-oidc-discovery-provider-64586d599f-lcc94   2/2     Running   0          7m15s

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る