4.2. プロキシー証明書
プロキシー証明書を使用すると、プラットフォームコンポーネントは、送信接続を行う際にカスタム認証局を信頼できるようになります。プロキシー証明書を理解することで、カスタム認証局 (CA) トラストバンドルを必要とするサービスへの安全な外部アクセスを設定できます。
4.2.1. プロキシー証明書の目的 リンクのコピーリンクがクリップボードにコピーされました!
プロキシー証明書を使用すると、プラットフォームコンポーネントは、送信接続を行う際にカスタム認証局を信頼できるようになります。プロキシー証明書により、ユーザーは egress 接続の実行時にプラットフォームコンポーネントによって使用される 1 つ以上のカスタム認証局 (CA) 証明書を指定できます。
プロキシーオブジェクトの trustedCA フィールドは、ユーザーによって提供される信頼される認証局 (CA) バンドルを含む設定マップの参照です。このバンドルは、Red Hat Enterprise Linux CoreOS (RHCOS) のトラストバンドルと統合され、HTTPS 送信呼び出しを行うプラットフォームコンポーネントの トラストストア に注入されます。たとえば、image-registry-operator は外部イメージレジストリーを呼び出してイメージをダウンロードします。trustedCA が指定されていない場合、RHCOS 信頼バンドルのみがプロキシーされる HTTPS 接続に使用されます。独自の証明書インフラストラクチャーを使用する場合は、カスタム CA 証明書を RHCOS 信頼バンドルに指定します。
trustedCA フィールドは、プロキシーバリデーターによってのみ使用される必要があります。バリデーターは、必要なキー ca-bundle.crt から証明書バンドルを読み取ります。バリデーターは、バンドルを openshift-config-managed 名前空間内の user-ca-bundle という名前の config map にコピーします。
apiVersion: v1
kind: ConfigMap
metadata:
name: user-ca-bundle
namespace: openshift-config
data:
ca-bundle.crt: |
-----BEGIN CERTIFICATE-----
Custom CA certificate bundle.
-----END CERTIFICATE-----