ホーム
製品
OpenShift Container Platform
4.5
Operator
3.4.2. カスタム CA 証明書の挿入

3.4.2. カスタム CA 証明書の挿入

クラスター管理者が設定マップを使用してカスタム CA 証明書をクラスターに追加すると、Cluster Network Operator はユーザーによってプロビジョニングされる証明書およびシステム CA 証明書を単一バンドルにマージします。このマージされたバンドルを Operator Lifecycle Manager (OLM) で実行されている Operator に挿入することができます。これは、man-in-the-middle HTTPS プロキシーがある場合に役立ちます。

前提条件

cluster-admin パーミッションを持つアカウントを使用して OpenShift Container Platform クラスターにアクセスできる。
設定マップを使用してクラスターに追加されたカスタム CA 証明書。
必要な Operator が OLM にインストールされ、実行される。

手順

Operator のサブスクリプションがある namespace に空の設定マップを作成し、以下のラベルを組み込みます。
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: trusted-ca 
  labels:
    config.openshift.io/inject-trusted-cabundle: "true" 
```
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: trusted-ca 
```
1
```
  labels:
    config.openshift.io/inject-trusted-cabundle: "true" 
```
2
Copy to Clipboard Toggle word wrap
1
設定マップの名前。
2
Cluster Network Operator に対してマージされたバンドルを挿入するように要求します。
この設定マップの作成後すぐに、設定マップにはマージされたバンドルの証明書の内容が設定されます。

Subscription オブジェクトを更新し、trusted-ca 設定マップをカスタム CA を必要とする Pod 内の各コンテナーにボリュームとしてマウントする spec.config セクションを追加します。

kind: Subscription
metadata:
  name: my-operator
spec:
  package: etcd
  channel: alpha
  config: 
    selector:
      matchLabels:
        <labels_for_pods> 
    volumes: 
    - name: trusted-ca
      configMap:
        name: trusted-ca
        items:
          - key: ca-bundle.crt 
            path: tls-ca-bundle.pem 
    volumeMounts: 
    - name: trusted-ca
      mountPath: /etc/pki/ca-trust/extracted/pem
      readOnly: true

kind: Subscription
metadata:
  name: my-operator
spec:
  package: etcd
  channel: alpha
  config:


    selector:
      matchLabels:
        <labels_for_pods>


    volumes:


    - name: trusted-ca
      configMap:
        name: trusted-ca
        items:
          - key: ca-bundle.crt


            path: tls-ca-bundle.pem


    volumeMounts:


    - name: trusted-ca
      mountPath: /etc/pki/ca-trust/extracted/pem
      readOnly: true

Copy to Clipboard

Toggle word wrap

1: config セクションがない場合に、これを追加します。
2: Operator が所有する Pod に一致するラベルを指定します。
3: trusted-ca ボリュームを作成します。
4: ca-bundle.crt は設定マップキーとして必要になります。
5: tls-ca-bundle.pem は設定マップパスとして必要になります。
6: trusted-ca ボリュームマウントを作成します。

トップに戻る

3.4.2. カスタム CA 証明書の挿入

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links