ホーム
製品
OpenShift Dedicated
4
Ingress と負荷分散

Ingress と負荷分散

OpenShift Dedicated 4

OpenShift Dedicated でのサービスの公開と外部トラフィックの管理

Red Hat OpenShift Documentation Team

法律上の通知

概要

このドキュメントでは、OpenShift Dedicated でルートを設定し、Ingress トラフィックを管理して、さまざまな負荷分散ソリューションを実装する方法を説明します。

第1章ルートの作成
リンクのコピー

1.1. ルート設定
リンクのコピー

1.1.1. HTTP ベースのルートの作成
リンクのコピー

公開 URL でアプリケーションをホストするルートを作成します。ルートは、アプリケーションのネットワークセキュリティー設定に応じて、セキュリティーで保護される場合と保護されない場合があります。HTTP ベースのルートとは、セキュアではないルートで、基本的な HTTP ルーティングプロトコルを使用してセキュリティー保護されていないアプリケーションポートでサービスを公開します。

以下の手順では、hello-openshift アプリケーションを例に、Web アプリケーションへのシンプルな HTTP ベースのルートを作成する方法を説明します。

前提条件

OpenShift CLI (oc) がインストールされている。
管理者としてログインしている。
あるポートを公開する Web アプリケーションと、そのポートでトラフィックをリッスンする TCP エンドポイントがあります。

手順

次のコマンドを実行して、hello-openshift というプロジェクトを作成します。
```
oc new-project hello-openshift
```
```
$ oc new-project hello-openshift
```
Copy to Clipboard Toggle word wrap

以下のコマンドを実行してプロジェクトに Pod を作成します。

oc create -f https://raw.githubusercontent.com/openshift/origin/master/examples/hello-openshift/hello-pod.json

$ oc create -f https://raw.githubusercontent.com/openshift/origin/master/examples/hello-openshift/hello-pod.json

Copy to Clipboard

Toggle word wrap

以下のコマンドを実行して、hello-openshift というサービスを作成します。
```
oc expose pod/hello-openshift
```
```
$ oc expose pod/hello-openshift
```
Copy to Clipboard Toggle word wrap
次のコマンドを実行して、hello-openshift アプリケーションに対して、セキュアではないルートを作成します。
```
oc expose svc hello-openshift
```
```
$ oc expose svc hello-openshift
```
Copy to Clipboard Toggle word wrap

検証

作成した route リソースを確認するには、次のコマンドを実行します。
```
oc get routes -o yaml <name of resource>
```
```
$ oc get routes -o yaml <name of resource> 
```
1
Copy to Clipboard Toggle word wrap
1
この例では、ルートの名前は hello-openshift です。

上記で作成したセキュアでないルートの YAML 定義

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: hello-openshift
spec:
  host: www.example.com 
  port:
    targetPort: 8080 
  to:
    kind: Service
    name: hello-openshift

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: hello-openshift
spec:
  host: www.example.com


  port:
    targetPort: 8080


  to:
    kind: Service
    name: hello-openshift

Copy to Clipboard

Toggle word wrap

1

host フィールドは、サービスを指すエイリアス DNS レコードです。このフィールドには、www.example.com などの有効な DNS 名を指定できます。DNS 名は DNS952 サブドメイン規則に従う必要があります。指定しない場合は、ルート名が自動的に生成されます。

2

targetPort フィールドは、このルートが指すサービスによって選択される Pod 上のターゲットポートです。

注記

デフォルトの Ingress ドメインを表示するには、以下のコマンドを実行します。

oc get ingresses.config/cluster -o jsonpath={.spec.domain}

$ oc get ingresses.config/cluster -o jsonpath={.spec.domain}

Copy to Clipboard

Toggle word wrap

1.1.2. ルートのタイムアウトの設定
リンクのコピー

Service Level Availability (SLA) で必要とされる、低タイムアウトが必要なサービスや、バックエンドでの処理速度が遅いケースで高タイムアウトが必要なサービスがある場合は、既存のルートに対してデフォルトのタイムアウトを設定することができます。

重要

OpenShift Dedicated クラスターの前にユーザー管理の外部ロードバランサーを設定した場合は、ユーザー管理の外部ロードバランサーのタイムアウト値がルートのタイムアウト値よりも高いことを確認してください。この設定により、クラスターが使用するネットワーク上でのネットワーク輻輳の問題を防ぐことができます。

前提条件

実行中のクラスターでデプロイ済みの Ingress Controller が必要になります。

手順

oc annotate コマンドを使用して、ルートにタイムアウトを追加します。
```
oc annotate route <route_name> \
    --overwrite haproxy.router.openshift.io/timeout=<timeout><time_unit>
```
```
$ oc annotate route <route_name> \
    --overwrite haproxy.router.openshift.io/timeout=<timeout><time_unit> 
```
1
Copy to Clipboard Toggle word wrap
1
サポートされる時間単位は、マイクロ秒 (us)、ミリ秒 (ms)、秒 (s)、分 (m)、時間 (h)、または日 (d) です。
以下の例では、2 秒のタイムアウトを myroute という名前のルートに設定します。
```
oc annotate route myroute --overwrite haproxy.router.openshift.io/timeout=2s
```
```
$ oc annotate route myroute --overwrite haproxy.router.openshift.io/timeout=2s
```
Copy to Clipboard Toggle word wrap

1.1.3. HTTP Strict Transport Security
リンクのコピー

HTTP Strict Transport Security (HSTS) ポリシーは、HTTPS トラフィックのみがルートホストで許可されるブラウザークライアントに通知するセキュリティーの拡張機能です。また、HSTS は、HTTP リダイレクトを使用せずに HTTPS トランスポートにシグナルを送ることで Web トラフィックを最適化します。HSTS は Web サイトとの対話を迅速化するのに便利です。

HSTS ポリシーが適用されると、HSTS はサイトから Strict Transport Security ヘッダーを HTTP および HTTPS 応答に追加します。HTTP を HTTPS にリダイレクトするルートで insecureEdgeTerminationPolicy 値を使用できます。HSTS を強制している場合は、要求の送信前にクライアントがすべての要求を HTTP URL から HTTPS に変更するため、リダイレクトの必要がなくなります。

クラスター管理者は、以下を実行するために HSTS を設定できます。

ルートごとに HSTS を有効にします。
ルートごとに HSTS を無効にします。
ドメインごとに HSTS を適用するか、ドメインと組み合わせた namespace ラベルを使用します。

重要

HSTS はセキュアなルート (edge-terminated または re-encrypt) でのみ機能します。この設定は、HTTP または passthrough ルートには適していません。

1.1.3.1. ルートごとの HTTP Strict Transport Security の有効化
リンクのコピー

HTTP Strict Transport Security (HSTS) は HAProxy テンプレートに実装され、haproxy.router.openshift.io/hsts_header アノテーションを持つ edge および re-encrypt ルートに適用されます。

前提条件

プロジェクトの管理者権限があるユーザーで、クラスターにログインしている。
OpenShift CLI (oc) がインストールされている。

手順

ルートで HSTS を有効にするには、haproxy.router.openshift.io/hsts_header 値を edge-terminated または re-encrypt ルートに追加します。次のコマンドを実行すると、oc annotate ツールを使用してこれを実行できます。コマンドを適切に実行するには、haproxy.router.openshift.io/ hsts_header ルートアノテーション内のセミコロン (;) も二重引用符 ("") で囲まれていることを確認してください。
最大経過時間を 31536000 ミリ秒 (約 8.5 時間) に設定する annotate コマンドの例
```
oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header=max-age=31536000;\
includeSubDomains;preload"
```
```
$ oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header=max-age=31536000;\
includeSubDomains;preload"
```
Copy to Clipboard Toggle word wrap
アノテーションで設定されたルートの例
```
apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=31536000;includeSubDomains;preload   
# ...
spec:
  host: def.abc.com
  tls:
    termination: "reencrypt"
    ...
  wildcardPolicy: "Subdomain"
# ...
```
```
apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=31536000;includeSubDomains;preload 
```
1
```
 
```
2
```
 
```
3
```
# ...
spec:
  host: def.abc.com
  tls:
    termination: "reencrypt"
    ...
  wildcardPolicy: "Subdomain"
# ...
```
Copy to Clipboard Toggle word wrap
1
必須。max-age は、HSTS ポリシーが有効な期間 (秒単位) を測定します。0 に設定すると、これはポリシーを無効にします。
2
オプション: includeSubDomains は、クライアントに対し、ホストのすべてのサブドメインにホストと同じ HSTS ポリシーを持つ必要があることを指示します。
3
オプション: max-age が 0 より大きい場合、preload を haproxy.router.openshift.io/hsts_header に追加し、外部サービスがこのサイトをそれぞれの HSTS プリロードリストに含めることができます。たとえば、Google などのサイトは preload が設定されているサイトの一覧を作成します。ブラウザーはこれらのリストを使用し、サイトと対話する前でも HTTPS 経由で通信できるサイトを判別できます。preload を設定していない場合、ブラウザーはヘッダーを取得するために、HTTPS を介してサイトと少なくとも 1 回対話している必要があります。

1.1.3.2. ルートごとの HTTP Strict Transport Security の無効化
リンクのコピー

ルートごとに HTTP Strict Transport Security (HSTS) を無効にするには、ルートアノテーションの max-age の値を 0 に設定します。

前提条件

プロジェクトの管理者権限があるユーザーで、クラスターにログインしている。
OpenShift CLI (oc) がインストールされている。

手順

HSTS を無効にするには、以下のコマンドを入力してルートアノテーションの max-age の値を 0 に設定します。

oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

$ oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

Copy to Clipboard

Toggle word wrap

ヒント

または、以下の YAML を適用して config map を作成できます。

ルートごとに HSTS を無効にする例

metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=0

metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=0

Copy to Clipboard

Toggle word wrap

namespace のすべてのルートで HSTS を無効にするには、following コマンドを入力します。

oc annotate route --all -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

$ oc annotate route --all -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

Copy to Clipboard

Toggle word wrap

検証

すべてのルートのアノテーションをクエリーするには、以下のコマンドを入力します。

oc get route  --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'

$ oc get route  --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'

Copy to Clipboard

Toggle word wrap

出力例

Name: routename HSTS: max-age=0

Name: routename HSTS: max-age=0

Copy to Clipboard

Toggle word wrap

1.1.4. Cookie の使用によるルートのステートフル性の維持
リンクのコピー

OpenShift Dedicated は、すべてのトラフィックを同じエンドポイントにヒットさせることによりステートフルなアプリケーションのトラフィックを可能にするスティッキーセッションを提供します。ただし、エンドポイント Pod が再起動、スケーリング、または設定の変更などによって終了する場合、このステートフル性はなくなります。

OpenShift Dedicated は Cookie を使用してセッションの永続化を設定できます。Ingress コントローラーはユーザー要求を処理するエンドポイントを選択し、そのセッションの Cookie を作成します。Cookie は要求の応答として戻され、ユーザーは Cookie をセッションの次の要求と共に送り返します。Cookie は Ingress Controller に対し、セッションを処理しているエンドポイントを示し、クライアント要求が Cookie を使用して同じ Pod にルーティングされるようにします。

注記

Cookie は、HTTP トラフィックを表示できないので、passthrough ルートで設定できません。代わりに、送信元 IP アドレスをベースに数が計算され、バックエンドを判断します。

バックエンドが変わると、トラフィックが間違ったサーバーに転送されてしまい、スティッキーではなくなります。送信元 IP を非表示にするロードバランサーを使用している場合は、すべての接続に同じ番号が設定され、トラフィックは同じ Pod に送られます。

1.1.4.1. Cookie を使用したルートのアノテーション
リンクのコピー

ルート用に自動生成されるデフォルト名を上書きするために Cookie 名を設定できます。これにより、ルートトラフィックを受信するアプリケーションが Cookie 名を認識できるようになります。Cookie を削除すると、次の要求でエンドポイントの再選択が強制的に実行される可能性があります。その結果、サーバーがオーバーロードしている場合は、クライアントからの要求を取り除き、それらの再分配を試行します。

手順

指定される cookie 名でルートにアノテーションを付けます。
```
oc annotate route <route_name> router.openshift.io/cookie_name="<cookie_name>"
```
```
$ oc annotate route <route_name> router.openshift.io/cookie_name="<cookie_name>"
```
Copy to Clipboard Toggle word wrap
ここでは、以下のようになります。
<route_name>
ルートの名前を指定します。
<cookie_name>
cookie の名前を指定します。
たとえば、ルート my_route に cookie 名 my_cookie でアノテーションを付けるには、以下を実行します。
```
oc annotate route my_route router.openshift.io/cookie_name="my_cookie"
```
```
$ oc annotate route my_route router.openshift.io/cookie_name="my_cookie"
```
Copy to Clipboard Toggle word wrap
変数でルートのホスト名を取得します。
```
ROUTE_NAME=$(oc get route <route_name> -o jsonpath='{.spec.host}')
```
```
$ ROUTE_NAME=$(oc get route <route_name> -o jsonpath='{.spec.host}')
```
Copy to Clipboard Toggle word wrap
ここでは、以下のようになります。
<route_name>
ルートの名前を指定します。
cookie を保存してからルートにアクセスします。
```
curl $ROUTE_NAME -k -c /tmp/cookie_jar
```
```
$ curl $ROUTE_NAME -k -c /tmp/cookie_jar
```
Copy to Clipboard Toggle word wrap
ルートに接続する際に、直前のコマンドによって保存される cookie を使用します。
```
curl $ROUTE_NAME -k -b /tmp/cookie_jar
```
```
$ curl $ROUTE_NAME -k -b /tmp/cookie_jar
```
Copy to Clipboard Toggle word wrap

1.1.5. パスベースのルート
リンクのコピー

パスベースのルートは、URL に対して比較できるパスコンポーネントを指定します。この場合、ルートのトラフィックは HTTP ベースである必要があります。そのため、それぞれが異なるパスを持つ同じホスト名を使用して複数のルートを提供できます。ルーターは、最も具体的なパスの順に基づいてルートと一致する必要があります。

以下の表は、ルートのサンプルおよびそれらのアクセシビリティーを示しています。

Expand

表1.1 ルートの可用性
ルート	比較対象	アクセス可能
www.example.com/test	www.example.com/test	はい
www.example.com/test	www.example.com	いいえ
www.example.com/test および www.example.com	www.example.com/test	はい
www.example.com/test および www.example.com	www.example.com	はい
www.example.com	www.example.com/text	Yes (ルートではなく、ホストで一致)
www.example.com	www.example.com	はい

パスが 1 つでセキュリティー保護されていないルート

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: route-unsecured
spec:
  host: www.example.com
  path: "/test" 
  to:
    kind: Service
    name: service-name

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: route-unsecured
spec:
  host: www.example.com
  path: "/test"


  to:
    kind: Service
    name: service-name

Copy to Clipboard

Toggle word wrap

1: パスは、パスベースのルートに唯一追加される属性です。

注記

ルーターは TLS を終了させず、要求のコンテンツを読み込みことができないので、パスベースのルーティングは、passthrough TLS を使用する場合には利用できません。

1.1.6. HTTP ヘッダーの設定
リンクのコピー

OpenShift Dedicated は、HTTP ヘッダーを操作するさまざまな方法を提供します。ヘッダーを設定または削除する場合、Ingress Controller の特定のフィールドまたは個々のルートを使用して、リクエストヘッダーと応答ヘッダーを変更できます。ルートアノテーションを使用して特定のヘッダーを設定することもできます。ヘッダーを設定するさまざまな方法は、連携時に課題となる可能性があります。

注記

IngressController または Route CR 内のヘッダーは設定または削除のみ可能で、追加はできません。HTTP ヘッダーに値が設定されている場合、その値は完全である必要があるため、今後追加する必要はありません。X-Forwarded-For ヘッダーなどのヘッダーを追加することが適切な状況では、spec.httpHeaders.actions の代わりに spec.httpHeaders.forwardedHeaderPolicy フィールドを使用します。

1.1.6.1. 優先順位
リンクのコピー

同じ HTTP ヘッダーを Ingress Controller とルートの両方で変更すると、HAProxy は、それがリクエストヘッダーであるか応答ヘッダーであるかに応じて、特定の方法でアクションの優先順位を付けます。

HTTP 応答ヘッダーの場合、Ingress Controller で指定されたアクションは、ルートで指定されたアクションの後に実行されます。これは、Ingress Controller で指定されたアクションが優先されることを意味します。
HTTP リクエストヘッダーの場合、ルートで指定されたアクションは、Ingress Controller で指定されたアクションの後に実行されます。これは、ルートで指定されたアクションが優先されることを意味します。

たとえば、クラスター管理者は、次の設定を使用して、Ingress Controller で X-Frame-Options 応答ヘッダーに値 DENY を設定します。

IngressController 仕様の例

apiVersion: operator.openshift.io/v1
kind: IngressController
# ...
spec:
  httpHeaders:
    actions:
      response:
      - name: X-Frame-Options
        action:
          type: Set
          set:
            value: DENY

apiVersion: operator.openshift.io/v1
kind: IngressController
# ...
spec:
  httpHeaders:
    actions:
      response:
      - name: X-Frame-Options
        action:
          type: Set
          set:
            value: DENY

Copy to Clipboard

Toggle word wrap

ルート所有者は、クラスター管理者が Ingress Controller に設定したものと同じ応答ヘッダーを設定しますが、次の設定を使用して値 SAMEORIGIN を設定します。

Route 仕様の例

apiVersion: route.openshift.io/v1
kind: Route
# ...
spec:
  httpHeaders:
    actions:
      response:
      - name: X-Frame-Options
        action:
          type: Set
          set:
            value: SAMEORIGIN

apiVersion: route.openshift.io/v1
kind: Route
# ...
spec:
  httpHeaders:
    actions:
      response:
      - name: X-Frame-Options
        action:
          type: Set
          set:
            value: SAMEORIGIN

Copy to Clipboard

Toggle word wrap

IngressController 仕様と Route 仕様の両方で X-Frame-Options 応答ヘッダーが設定されている場合、特定のルートでフレームが許可されている場合でも、Ingress Controller のグローバルレベルでこのヘッダーに設定された値が優先されます。リクエストヘッダーの場合、Route 仕様の値が IngressController 仕様の値をオーバーライドします。

この優先順位付けは、haproxy.config ファイルで次のロジックが使用されるため発生します。このロジックでは、Ingress Controller がフロントエンドと見なされ、個々のルートがバックエンドと見なされます。フロントエンド設定に適用されるヘッダー値 DENY は、バックエンドで設定されている値 SAMEORIGIN で同じヘッダーをオーバーライドします。

frontend public
  http-response set-header X-Frame-Options 'DENY'

frontend fe_sni
  http-response set-header X-Frame-Options 'DENY'

frontend fe_no_sni
  http-response set-header X-Frame-Options 'DENY'

backend be_secure:openshift-monitoring:alertmanager-main
  http-response set-header X-Frame-Options 'SAMEORIGIN'

frontend public
  http-response set-header X-Frame-Options 'DENY'

frontend fe_sni
  http-response set-header X-Frame-Options 'DENY'

frontend fe_no_sni
  http-response set-header X-Frame-Options 'DENY'

backend be_secure:openshift-monitoring:alertmanager-main
  http-response set-header X-Frame-Options 'SAMEORIGIN'

Copy to Clipboard

Toggle word wrap

さらに、Ingress Controller またはルートのいずれかで定義されたアクションは、ルートアノテーションを使用して設定された値をオーバーライドします。

1.1.6.2. 特殊なケースのヘッダー
リンクのコピー

次のヘッダーは、設定または削除が完全に禁止されているか、特定の状況下で許可されています。

Expand

表1.2 特殊な場合のヘッダー設定オプション
ヘッダー名	`IngressController` 仕様を使用して設定可能かどうか	`Route` 仕様を使用して設定可能かどうか	不許可の理由	別の方法で設定可能かどうか
`proxy`	いいえ	いいえ	`プロキシー` HTTP リクエストヘッダーを使用し、ヘッダー値を `HTTP_PROXY` 環境変数に注入して、脆弱な CGI アプリケーションを悪用できます。`プロキシー` HTTP リクエストヘッダーも標準ではないため、設定中にエラーが発生しやすくなります。	いいえ
`host`	いいえ	はい	`IngressController` CR を使用して `ホスト` HTTP 要求ヘッダーが設定されている場合、HAProxy は正しいルートを検索するときに失敗する可能性があります。	いいえ
`strict-transport-security`	いいえ	いいえ	`strict-transport-security` HTTP 応答ヘッダーはルートアノテーションを使用してすでに処理されているため、別の実装は必要ありません。	はい: `haproxy.router.openshift.io/hsts_header` ルートアノテーション
`cookie` と `set-cookie`	いいえ	いいえ	HAProxy が設定する Cookie は、クライアント接続を特定のバックエンドサーバーにマップするセッション追跡に使用されます。これらのヘッダーの設定を許可すると、HAProxy のセッションアフィニティーが妨げられ、HAProxy の Cookie の所有権が制限される可能性があります。	はい: `haproxy.router.openshift.io/disable_cookie` ルートアノテーション `haproxy.router.openshift.io/cookie_name` ルートアノテーション

1.1.7. ルート内の HTTP リクエストおよびレスポンスヘッダーの設定または削除
リンクのコピー

コンプライアンス目的またはその他の理由で、特定の HTTP 要求および応答ヘッダーを設定または削除できます。これらのヘッダーは、Ingress Controller によって提供されるすべてのルート、または特定のルートに対して設定または削除できます。

たとえば、ルートを提供する Ingress Controller によってデフォルトのグローバルな場所が指定されている場合でも、コンテンツが複数の言語で記述されていると、Web アプリケーションが特定のルートの別の場所でコンテンツを提供するように指定できます。

以下の手順では Content-Location HTTP リクエストヘッダーを設定するルートを作成し、アプリケーション (https://app.example.com) に URL が関連付けられ、https://app.example.com/lang/en-us のロケーションにダイレクトされるようにします。アプリケーショントラフィックをこの場所にダイレクトすると、特定のルートを使用する場合はすべて、アメリカ英語で記載された Web コンテンツにアクセスすることになります。

前提条件

OpenShift CLI (oc) がインストールされている。
プロジェクト管理者として OpenShift Dedicated クラスターにログインしている。
ポートを公開する Web アプリケーションと、そのポート上のトラフィックをリッスンする HTTP または TLS エンドポイントがある。

手順

ルート定義を作成し、app-example-route.yaml というファイルに保存します。
HTTP ヘッダーディレクティブを使用して作成されたルートの YAML 定義
```
apiVersion: route.openshift.io/v1
kind: Route
# ...
spec:
  host: app.example.com
  tls:
    termination: edge
  to:
    kind: Service
    name: app-example
  httpHeaders:
    actions: 
      response: 
      - name: Content-Location 
        action:
          type: Set 
          set:
            value: /lang/en-us 
```
```
apiVersion: route.openshift.io/v1
kind: Route
# ...
spec:
  host: app.example.com
  tls:
    termination: edge
  to:
    kind: Service
    name: app-example
  httpHeaders:
    actions: 
```
1
```
      response: 
```
2
```
      - name: Content-Location 
```
3
```
        action:
          type: Set 
```
4
```
          set:
            value: /lang/en-us 
```
5
Copy to Clipboard Toggle word wrap
1
HTTP ヘッダーに対して実行するアクションのリスト。
2
変更するヘッダーのタイプ。この場合は、応答ヘッダーです。
3
変更するヘッダーの名前。設定または削除できる使用可能なヘッダーのリストは、HTTP ヘッダーの設定 を参照してください。
4
ヘッダーに対して実行されるアクションのタイプ。このフィールドには、Set または Delete の値を指定できます。
5
HTTP ヘッダーの設定時は、値 を指定する必要があります。値は、そのヘッダーで使用可能なディレクティブのリストからの文字列 (例: DENY) にすることも、HAProxy の動的値構文を使用して解釈される動的値にすることもできます。この場合、値はコンテンツの相対位置に設定されます。
新しく作成したルート定義を使用して、既存の Web アプリケーションへのルートを作成します。
```
oc -n app-example create -f app-example-route.yaml
```
```
$ oc -n app-example create -f app-example-route.yaml
```
Copy to Clipboard Toggle word wrap

HTTP リクエストヘッダーの場合、ルート定義で指定されたアクションは、Ingress Controller の HTTP リクエストヘッダーに対して実行されたアクションの後に実行されます。これは、ルート内のこれらのリクエストヘッダーに設定された値が、Ingress Controller に設定された値よりも優先されることを意味します。HTTP ヘッダーの処理順序の詳細は、HTTP ヘッダーの設定 を参照してください。

1.1.8. ルート固有のアノテーション
リンクのコピー

Ingress Controller は、公開するすべてのルートのデフォルトオプションを設定できます。個別のルートは、アノテーションに個別の設定を指定して、デフォルトの一部をオーバーライドできます。Red Hat では、ルートアノテーションの Operator 管理ルートへの追加はサポートしません。

重要

複数の送信元 IP またはサブネットを含む許可リストを作成するには、スペースで区切られたリストを使用します。他の区切りタイプを使用すると、リストが警告やエラーメッセージなしに無視されます。

Expand

表1.3 ルートアノテーション
変数	説明	デフォルトで使用される環境変数
`haproxy.router.openshift.io/balance`	ロードバランシングアルゴリズムを設定します。使用できるオプションは、`random`、`source`、`roundrobin`[¹]、`leastconn` です。デフォルト値は、TLS passthrough ルートの場合、`source` です。他のすべてのルートの場合、デフォルトは `random` です。	passthrough ルートの `ROUTER_TCP_BALANCE_SCHEME` です。それ以外の場合は `ROUTER_LOAD_BALANCE_ALGORITHM` を使用します。
`haproxy.router.openshift.io/disable_cookies`	関連の接続を追跡する Cookie の使用を無効にします。`'true'` または `'TRUE'` に設定する場合は、分散アルゴリズムを使用して、受信する HTTP 要求ごとに、どのバックエンドが接続を提供するかを選択します。
`router.openshift.io/cookie_name`	このルートに使用するオプションの cookie を指定します。名前は、大文字、小文字、数字、"_" または "-" を任意に組み合わせて指定する必要があります。デフォルトは、ルートのハッシュ化された内部キー名です。
`haproxy.router.openshift.io/pod-concurrent-connections`	ルーターからバッキングされる Pod に対して許容される接続最大数を設定します。注意: Pod が複数ある場合には、それぞれに対応する接続数を設定できます。複数のルーターがある場合は、それらのルーター間で調整は行われず、それぞれがこれに複数回接続する可能性があります。設定されていない場合または 0 に設定されている場合には制限はありません。
`haproxy.router.openshift.io/rate-limit-connections`	`'true'` または `'TRUE'` を設定すると、ルートごとに特定のバックエンドの stick-tables で実装されるレート制限機能が有効になります。注記: このアノテーションを使用すると、サービス拒否攻撃に対する基本的な保護が提供されます。
`haproxy.router.openshift.io/rate-limit-connections.concurrent-tcp`	同じ送信元 IP アドレスで行われる同時 TCP 接続の数を制限します。数値を受け入れます。注記: このアノテーションを使用すると、サービス拒否攻撃に対する基本的な保護が提供されます。
`haproxy.router.openshift.io/rate-limit-connections.rate-http`	同じ送信元 IP アドレスを持つクライアントが HTTP 要求を実行できるレートを制限します。数値を受け入れます。注記: このアノテーションを使用すると、サービス拒否攻撃に対する基本的な保護が提供されます。
`haproxy.router.openshift.io/rate-limit-connections.rate-tcp`	同じ送信元 IP アドレスを持つクライアントが TCP 接続を確立するレートを制限します。数値を受け入れます。注記: このアノテーションを使用すると、サービス拒否攻撃に対する基本的な保護が提供されます。
`haproxy.router.openshift.io/timeout`	ルートのサーバー側のタイムアウトを設定します。(TimeUnits)	`ROUTER_DEFAULT_SERVER_TIMEOUT`
`haproxy.router.openshift.io/timeout-tunnel`	このタイムアウトは、cleartext、edge、reencrypt、または passthrough のルートを介した WebSocket などトンネル接続に適用されます。cleartext、edge、または reencrypt のルートタイプでは、このアノテーションは、タイムアウト値がすでに存在するタイムアウトトンネルとして適用されます。passthrough のルートタイプでは、アノテーションは既存のタイムアウト値の設定よりも優先されます。	`ROUTER_DEFAULT_TUNNEL_TIMEOUT`
`ingresses.config/cluster ingress.operator.openshift.io/hard-stop-after`	設定できるのは、IngressController または Ingress config です。このアノテーションでは、ルーターを再デプロイし、HA プロキシーが haproxy `hard-stop-after` グローバルオプションを実行するように設定します。このオプションは、クリーンなソフトストップ実行で最大許容される時間を定義します。	`ROUTER_HARD_STOP_AFTER`
`router.openshift.io/haproxy.health.check.interval`	バックエンドのヘルスチェックの間隔を設定します。(TimeUnits)	`ROUTER_BACKEND_CHECK_INTERVAL`
`haproxy.router.openshift.io/ip_allowlist`	ルートの許可リストを設定します。許可リストは、承認したソースアドレスの IP アドレスおよび CIDR 範囲のリストをスペース区切りにしたリストです。許可リストに含まれていない IP アドレスからの要求は破棄されます。 `haproxy.config` ファイルで直接表示される IP アドレスと CIDR 範囲の最大数は 61 です [²]。
`haproxy.router.openshift.io/hsts_header`	edge terminated または re-encrypt ルートの Strict-Transport-Security ヘッダーを設定します。
`haproxy.router.openshift.io/rewrite-target`	バックエンドの要求の書き換えパスを設定します。
`router.openshift.io/cookie-same-site`	Cookie を制限するために値を設定します。値は以下のようになります。 `Lax`: ブラウザーは、クロスサイト要求では Cookie を送信しませんが、ユーザーが外部サイトから元のサイトに移動するときに Cookie を送信します。これは、`SameSite` 値が指定されていない場合のブラウザーのデフォルトの動作です。 `Strict`: ブラウザーは、同じサイトのリクエストに対してのみ Cookie を送信します。 `None`: ブラウザーは、クロスサイト要求と同一サイト要求の両方に対して Cookie を送信します。この値は、re-encrypt および edge ルートにのみ適用されます。詳細は、SameSite cookie のドキュメントを参照してください。
`haproxy.router.openshift.io/set-forwarded-headers`	ルートごとに `Forwarded` および `X-Forwarded-For` HTTP ヘッダーを処理するポリシーを設定します。値は以下のようになります。 `append`: ヘッダーを追加し、既存のヘッダーを保持します。これはデフォルト値です。 `replace`: ヘッダーを設定し、既存のヘッダーを削除します。 `never`: ヘッダーを設定しませんが、既存のヘッダーを保持します。 `if-none`: ヘッダーがまだ設定されていない場合にこれを設定します。	`ROUTER_SET_FORWARDED_HEADERS`

デフォルトでは、ルーターは 5 秒ごとにリロードされ、最初から Pod 間の接続のバランスがリセットされます。その結果、roundrobin 状態はリロード間で保持されません。このアルゴリズムは、Pod のコンピューティング能力とストレージ容量がほぼ同じである場合に最適に機能します。たとえば、CI/CD パイプラインの使用により、アプリケーションまたはサービスのエンドポイントが継続的に変更される場合、結果的にバランスが不均一になる可能性があります。その場合は別のアルゴリズムを使用します。
許可リストの IP アドレスと CIDR 範囲の数が 61 を超えると、それらは別のファイルに書き込まれます。これは haproxy.config ファイルから参照されます。このファイルは、/var/lib/haproxy/router/allowlists フォルダーに保存されます。
注記
アドレスが許可リストに書き込まれることを確認するには、CIDR 範囲の完全なリストが Ingress Controller 設定ファイルに記載されていることを確認します。etcd オブジェクトサイズ制限は、ルートアノテーションのサイズを制限します。このため、許可リストに追加できる IP アドレスと CIDR 範囲の最大数のしきい値が作成されます。

注記

環境変数を編集することはできません。

ルータータイムアウト変数

TimeUnits は数字、その後に単位を指定して表現します。us *(マイクロ秒)、ms (ミリ秒、デフォルト)、s (秒)、m (分)、h *(時間)、d (日)

正規表現: [1-9][0-9]*(us\|ms\|s\|m\|h\|d)

Expand

変数	デフォルト	説明
`ROUTER_BACKEND_CHECK_INTERVAL`	`5000ms`	バックエンドでの後続の liveness チェックの時間の長さ。
`ROUTER_CLIENT_FIN_TIMEOUT`	`1s`	クライアントがルートに接続する場合の TCP FIN タイムアウトの期間を制御します。接続切断のために送信された FIN が指定の時間内に応答されない場合は、HAProxy が接続を切断します。小さい値を設定し、ルーターでリソースをあまり使用していない場合には、リスクはありません。
`ROUTER_DEFAULT_CLIENT_TIMEOUT`	`30s`	クライアントがデータを確認するか、送信するための時間の長さ。
`ROUTER_DEFAULT_CONNECT_TIMEOUT`	`5s`	最大接続時間。
`ROUTER_DEFAULT_SERVER_FIN_TIMEOUT`	`1s`	ルーターからルートをバッキングする Pod の TCP FIN タイムアウトを制御します。
`ROUTER_DEFAULT_SERVER_TIMEOUT`	`30s`	サーバーがデータを確認するか、送信するための時間の長さ。
`ROUTER_DEFAULT_TUNNEL_TIMEOUT`	`1h`	TCP または WebSocket 接続が開放された状態で保つ時間数。このタイムアウト期間は、HAProxy が再読み込みされるたびにリセットされます。
`ROUTER_SLOWLORIS_HTTP_KEEPALIVE`	`300s`	新しい HTTP 要求が表示されるまで待機する最大時間を設定します。この値が低すぎる場合には、ブラウザーおよびアプリケーションの `keepalive` 値が低くなりすぎて、問題が発生する可能性があります。有効なタイムアウト値には、想定した個別のタイムアウトではなく、特定の変数を合計した値に指定することができます。たとえば、`ROUTER_SLOWLORIS_HTTP_KEEPALIVE` は、`timeout http-keep-alive` を調整します。HAProxy はデフォルトで `300s` に設定されていますが、HAProxy は `tcp-request inspect-delay` も待機します。これは `5s` に設定されています。この場合、全体的なタイムアウトは `300s` に `5s` を加えたことになります。
`ROUTER_SLOWLORIS_TIMEOUT`	`10s`	HTTP 要求の伝送にかかる時間。
`RELOAD_INTERVAL`	`5s`	ルーターがリロードし、新規の変更を受け入れる最小の頻度を許可します。
`ROUTER_METRICS_HAPROXY_TIMEOUT`	`5s`	HAProxy メトリクスの収集タイムアウト。

ルート設定のカスタムタイムアウト

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/timeout: 5500ms 
...

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/timeout: 5500ms

...

Copy to Clipboard

Toggle word wrap

1: HAProxy 対応の単位 (us、ms、s、m、h、d) で新規のタイムアウトを指定します。単位が指定されていない場合は、ms がデフォルトになります。

注記

passthrough ルートのサーバー側のタイムアウト値を低く設定し過ぎると、WebSocket 接続がそのルートで頻繁にタイムアウトする可能性があります。

特定の IP アドレスを 1 つだけ許可するルート

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.10

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.10

Copy to Clipboard

Toggle word wrap

複数の IP アドレスを許可するルート

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.10 192.168.1.11 192.168.1.12

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.10 192.168.1.11 192.168.1.12

Copy to Clipboard

Toggle word wrap

IP アドレスの CIDR ネットワークを許可するルート

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.0/24

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.0/24

Copy to Clipboard

Toggle word wrap

IP アドレスと IP アドレスの CIDR ネットワークの両方を許可するルート

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 180.5.61.153 192.168.1.0/24 10.0.0.0/8

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 180.5.61.153 192.168.1.0/24 10.0.0.0/8

Copy to Clipboard

Toggle word wrap

書き換えターゲットを指定するルート

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/rewrite-target: / 
...

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/rewrite-target: /

...

Copy to Clipboard

Toggle word wrap

1: バックエンドの要求の書き換えパスとして / を設定します。

ルートに haproxy.router.openshift.io/rewrite-target アノテーションを設定すると、要求をバックエンドアプリケーションに転送する前に Ingress Controller がこのルートを使用して HTTP 要求のパスを書き換える必要があることを指定します。spec.path で指定されたパスに一致する要求パスの一部は、アノテーションで指定された書き換えターゲットに置き換えられます。

以下の表は、spec.path、要求パス、および書き換えターゲットの各種の組み合わせに関するパスの書き換え動作の例を示しています。

Expand

表1.4 rewrite-target の例
Route.spec.path	要求パス	書き換えターゲット	転送された要求パス
/foo	/foo	/	/
/foo	/foo/	/	/
/foo	/foo/bar	/	/bar
/foo	/foo/bar/	/	/bar/
/foo	/foo	/bar	/bar
/foo	/foo/	/bar	/bar/
/foo	/foo/bar	/baz	/baz/bar
/foo	/foo/bar/	/baz	/baz/bar/
/foo/	/foo	/	該当なし (要求パスがルートパスに一致しない)
/foo/	/foo/	/	/
/foo/	/foo/bar	/	/bar

haproxy.router.openshift.io/rewrite-target 内の特定の特殊文字は、適切にエスケープする必要があるため、特別な処理が必要です。これらの文字がどのように処理されるかは、次の表を参照してください。

Expand

表1.5 特殊文字の取り扱い
以下の文字の場合	以下の文字を使用	注記
#	\#	# は書き換え式を終了させるので使用しないでください。
%	% または %%	%%% のような変則的なシーケンスは避けてください。
‘	\’	‘ は無視されるので避けてください。

その他の有効な URL 文字はすべてエスケープせずに使用できます。

1.1.9. Ingress オブジェクトを介してデフォルトの証明書を使用してルートを作成する
リンクのコピー

TLS 設定を指定せずに Ingress オブジェクトを作成すると、OpenShift Dedicated はセキュアでないルートを生成します。デフォルトの Ingress 証明書を使用してセキュアなエッジ終端ルートを生成する Ingress オブジェクトを作成するには、次のように空の TLS 設定を指定できます。

前提条件

公開したいサービスがあります。
OpenShift CLI (oc) にアクセスできる。

手順

Ingress オブジェクトの YAML ファイルを作成します。この例では、ファイルの名前は example-ingress.yaml です。
Ingress オブジェクトの YAML 定義
```
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontend
  ...
spec:
  rules:
    ...
  tls:
  - {} 
```
```
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontend
  ...
spec:
  rules:
    ...
  tls:
  - {} 
```
1
Copy to Clipboard Toggle word wrap
1
この正確な構文を使用して、カスタム証明書を指定せずに TLS を指定します。
次のコマンドを実行して、Ingress オブジェクトを作成します。
```
oc create -f example-ingress.yaml
```
```
$ oc create -f example-ingress.yaml
```
Copy to Clipboard Toggle word wrap

検証

以下のコマンドを実行して、OpenShift Dedicated が Ingress オブジェクトの予期されるルートを作成したことを確認します。
```
oc get routes -o yaml
```
```
$ oc get routes -o yaml
```
Copy to Clipboard Toggle word wrap
出力例
```
apiVersion: v1
items:
- apiVersion: route.openshift.io/v1
  kind: Route
  metadata:
    name: frontend-j9sdd 
    ...
  spec:
  ...
    tls: 
      insecureEdgeTerminationPolicy: Redirect
      termination: edge 
  ...
```
```
apiVersion: v1
items:
- apiVersion: route.openshift.io/v1
  kind: Route
  metadata:
    name: frontend-j9sdd 
```
1
```
    ...
  spec:
  ...
    tls: 
```
2
```
      insecureEdgeTerminationPolicy: Redirect
      termination: edge 
```
3
```
  ...
```
Copy to Clipboard Toggle word wrap
1
ルートの名前には、Ingress オブジェクトの名前とそれに続くランダムな接尾辞が含まれます。
2
デフォルトの証明書を使用するには、ルートで spec.certificate を指定しないでください。
3
ルートは、edge の終了ポリシーを指定する必要があります。

1.1.10. Ingress アノテーションでの宛先 CA 証明書を使用したルート作成
リンクのコピー

route.openshift.io/destination-ca-certificate-secret アノテーションを Ingress オブジェクトで使用して、カスタム宛先 CA 証明書でルートを定義できます。

前提条件

PEM エンコードされたファイルで証明書/キーのペアを持つことができます。ここで、証明書はルートホストに対して有効となっています。
証明書チェーンを完了する PEM エンコードされたファイルの別の CA 証明書が必要です。
PEM エンコードされたファイルの別の宛先 CA 証明書が必要です。
公開する必要のあるサービスが必要です。

手順

次のコマンドを入力して、宛先 CA 証明書のシークレットを作成します。

oc create secret generic dest-ca-cert --from-file=tls.crt=<file_path>

$ oc create secret generic dest-ca-cert --from-file=tls.crt=<file_path>

Copy to Clipboard

Toggle word wrap

以下に例を示します。

oc -n test-ns create secret generic dest-ca-cert --from-file=tls.crt=tls.crt

$ oc -n test-ns create secret generic dest-ca-cert --from-file=tls.crt=tls.crt

Copy to Clipboard

Toggle word wrap

出力例

secret/dest-ca-cert created

secret/dest-ca-cert created

Copy to Clipboard

Toggle word wrap

route.openshift.io/destination-ca-certificate-secret を Ingress アノテーションに追加します。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontend
  annotations:
    route.openshift.io/termination: "reencrypt"
    route.openshift.io/destination-ca-certificate-secret: secret-ca-cert 
...

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontend
  annotations:
    route.openshift.io/termination: "reencrypt"
    route.openshift.io/destination-ca-certificate-secret: secret-ca-cert

...

Copy to Clipboard

Toggle word wrap

1: アノテーションは kubernetes シークレットを参照します。

このアノテーションで参照されているシークレットは、生成されたルートに挿入されます。

出力例

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
  annotations:
    route.openshift.io/termination: reencrypt
    route.openshift.io/destination-ca-certificate-secret: secret-ca-cert
spec:
...
  tls:
    insecureEdgeTerminationPolicy: Redirect
    termination: reencrypt
    destinationCACertificate: |
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
...

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
  annotations:
    route.openshift.io/termination: reencrypt
    route.openshift.io/destination-ca-certificate-secret: secret-ca-cert
spec:
...
  tls:
    insecureEdgeTerminationPolicy: Redirect
    termination: reencrypt
    destinationCACertificate: |
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
...

Copy to Clipboard

Toggle word wrap

1.2. セキュリティー保護されたルート
リンクのコピー

セキュアなルートは、複数の TLS 終端タイプを使用してクライアントに証明書を提供できます。以下のセクションでは、カスタム証明書を使用して re-encrypt、edge、および passthrough ルートを作成する方法を説明します。

重要

パブリックエンドポイントを使用して Microsoft Azure にルートを作成する場合、リソース名は制限されます。特定の用語を使用するリソースを作成することはできません。Azure が制限する語のリストは、Azure ドキュメントの Resolve reserved resource name errors を参照してください。

1.2.1. カスタム証明書を使用した re-encrypt ルートの作成
リンクのコピー

oc create route コマンドを使用し、カスタム証明書と共に re-encrypt TLS termination を使用してセキュアなルートを設定できます。

この手順では、カスタム証明書および reencrypt TLS termination を使用して Route リソースを作成します。以下では、証明書/キーのペアが現在の作業ディレクトリーの tls.crt および tls.key ファイルにあることを前提としています。また、Ingress Controller がサービスの証明書を信頼できるように宛先 CA 証明書を指定する必要もあります。必要な場合には、証明書チェーンを完了するために CA 証明書を指定することもできます。tls.crt、tls.key、cacert.crt、および (オプションで) ca.crt を実際のパス名に置き換えます。frontend を、公開する必要のある Service リソースに置き換えます。www.example.com を適切な名前に置き換えます。

前提条件

PEM エンコードされたファイルに証明書/キーのペアが必要です。ここで、証明書はルートホストに対して有効となっています。
証明書チェーンを完了する PEM エンコードされたファイルの別の CA 証明書が必要です。
PEM エンコードされたファイルの別の宛先 CA 証明書が必要です。
公開する必要のあるサービスが必要です。

注記

パスワードで保護されるキーファイルはサポートされません。キーファイルからパスフレーズを削除するには、以下のコマンドを使用します。

openssl rsa -in password_protected_tls.key -out tls.key

$ openssl rsa -in password_protected_tls.key -out tls.key

Copy to Clipboard

Toggle word wrap

手順

reencrypt TLS 終端およびカスタム証明書を使用してセキュアな Route リソースを作成します。

oc create route reencrypt --service=frontend --cert=tls.crt --key=tls.key --dest-ca-cert=destca.crt --ca-cert=ca.crt --hostname=www.example.com

$ oc create route reencrypt --service=frontend --cert=tls.crt --key=tls.key --dest-ca-cert=destca.crt --ca-cert=ca.crt --hostname=www.example.com

Copy to Clipboard

Toggle word wrap

結果として生成される Route リソースを検査すると、以下のようになります。

セキュアなルートの YAML 定義

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
spec:
  host: www.example.com
  to:
    kind: Service
    name: frontend
  tls:
    termination: reencrypt
    key: |-
      -----BEGIN PRIVATE KEY-----
      [...]
      -----END PRIVATE KEY-----
    certificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    caCertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    destinationCACertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
spec:
  host: www.example.com
  to:
    kind: Service
    name: frontend
  tls:
    termination: reencrypt
    key: |-
      -----BEGIN PRIVATE KEY-----
      [...]
      -----END PRIVATE KEY-----
    certificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    caCertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    destinationCACertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

他のオプションは、oc create route reencrypt --help を参照してください。

1.2.2. カスタム証明書を使用した edge ルートの作成
リンクのコピー

oc create route コマンドを使用し、edge TLS termination とカスタム証明書を使用してセキュアなルートを設定できます。edge ルートの場合、Ingress Controller は、トラフィックを宛先 Pod に転送する前に TLS 暗号を終了します。ルートは、Ingress Controller がルートに使用する TLS 証明書およびキーを指定します。

この手順では、カスタム証明書および edge TLS termination を使用して Route リソースを作成します。以下では、証明書/キーのペアが現在の作業ディレクトリーの tls.crt および tls.key ファイルにあることを前提としています。必要な場合には、証明書チェーンを完了するために CA 証明書を指定することもできます。tls.crt、tls.key、および (オプションで) ca.crt を実際のパス名に置き換えます。frontend を、公開する必要のあるサービスの名前に置き換えます。www.example.com を適切な名前に置き換えます。

前提条件

PEM エンコードされたファイルに証明書/キーのペアが必要です。ここで、証明書はルートホストに対して有効となっています。
証明書チェーンを完了する PEM エンコードされたファイルの別の CA 証明書が必要です。
公開する必要のあるサービスが必要です。

注記

パスワードで保護されるキーファイルはサポートされません。キーファイルからパスフレーズを削除するには、以下のコマンドを使用します。

openssl rsa -in password_protected_tls.key -out tls.key

$ openssl rsa -in password_protected_tls.key -out tls.key

Copy to Clipboard

Toggle word wrap

手順

edge TLS termination およびカスタム証明書を使用して、セキュアな Route リソースを作成します。

oc create route edge --service=frontend --cert=tls.crt --key=tls.key --ca-cert=ca.crt --hostname=www.example.com

$ oc create route edge --service=frontend --cert=tls.crt --key=tls.key --ca-cert=ca.crt --hostname=www.example.com

Copy to Clipboard

Toggle word wrap

結果として生成される Route リソースを検査すると、以下のようになります。

セキュアなルートの YAML 定義

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
spec:
  host: www.example.com
  to:
    kind: Service
    name: frontend
  tls:
    termination: edge
    key: |-
      -----BEGIN PRIVATE KEY-----
      [...]
      -----END PRIVATE KEY-----
    certificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    caCertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: frontend
spec:
  host: www.example.com
  to:
    kind: Service
    name: frontend
  tls:
    termination: edge
    key: |-
      -----BEGIN PRIVATE KEY-----
      [...]
      -----END PRIVATE KEY-----
    certificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
    caCertificate: |-
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

他のオプションは、oc create route edge --help を参照してください。

1.2.3. passthrough ルートの作成
リンクのコピー

oc create route コマンドを使用して、passthrough 終端を使用したセキュアなルートを設定できます。passthrough 終端では、ルーターが TLS 終端を提供せずに、暗号化されたトラフィックが宛先に直接送信されます。したがって、ルート上に鍵や証明書は必要ありません。

前提条件

公開する必要のあるサービスが必要です。

手順

Route リソースを作成します。
```
oc create route passthrough route-passthrough-secured --service=frontend --port=8080
```
```
$ oc create route passthrough route-passthrough-secured --service=frontend --port=8080
```
Copy to Clipboard Toggle word wrap
結果として生成される Route リソースを検査すると、以下のようになります。
passthrough 終端を使用したセキュアなルート
```
apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: route-passthrough-secured 
spec:
  host: www.example.com
  port:
    targetPort: 8080
  tls:
    termination: passthrough 
    insecureEdgeTerminationPolicy: None 
  to:
    kind: Service
    name: frontend
```
```
apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: route-passthrough-secured 
```
1
```
spec:
  host: www.example.com
  port:
    targetPort: 8080
  tls:
    termination: passthrough 
```
2
```
    insecureEdgeTerminationPolicy: None 
```
3
```
  to:
    kind: Service
    name: frontend
```
Copy to Clipboard Toggle word wrap
1
オブジェクトの名前で、63 文字に制限されます。
2
termination フィールドを passthrough に設定します。これは、必要な唯一の tls フィールドです。
3
オプションの insecureEdgeTerminationPolicy。唯一有効な値は None、Redirect、または空の値です (無効にする場合)。
宛先 Pod は、エンドポイントでトラフィックに証明書を提供します。これは、必須となるクライアント証明書をサポートするための唯一の方法です (相互認証とも呼ばれる)。

1.2.4. 外部管理証明書を使用したルートの作成
リンクのコピー

ルート API の .spec.tls.externalCertificate フィールドを使用して、サードパーティーの証明書管理ソリューションで OpenShift Dedicated ルートを設定できます。シークレットを介して外部で管理されている TLS 証明書を参照できるため、手動での証明書管理が不要になります。外部で管理される証明書を使用するとエラーが減り、証明書の更新がよりスムーズに展開されるため、OpenShift ルーターは更新された証明書を迅速に提供できるようになります。

外部で管理された証明書は、edge ルートと re-encrypt ルートの両方で使用できます。

前提条件

RouteExternalCertificate フィーチャーゲートを有効にする必要があります。
ルートの作成と更新の両方に使用される routes/custom-host サブリソースに対する create 権限がある。
tls.key キーと tls.crt キーの両方を含む、kubernetes.io/tls タイプの PEM エンコード形式の有効な証明書/キーペアを含むシークレットが必要です。
参照されるシークレットは、保護するルートと同じ namespace に配置する必要があります。

手順

次のコマンドを実行して、シークレットと同じ namespace に role を作成し、ルーターサービスアカウントに読み取りアクセスを許可します。
```
oc create role secret-reader --verb=get,list,watch --resource=secrets --resource-name=<secret-name> \
--namespace=<current-namespace>
```
```
$ oc create role secret-reader --verb=get,list,watch --resource=secrets --resource-name=<secret-name> \ 
```
1
```
--namespace=<current-namespace> 
```
2
Copy to Clipboard Toggle word wrap
1
シークレットの実際の名前を指定します。
2
シークレットとルートの両方が存在する namespace を指定します。
次のコマンドを実行して、シークレットと同じ namespace に rolebinding を作成し、ルーターサービスアカウントを新しく作成されたロールにバインドします。
```
oc create rolebinding secret-reader-binding --role=secret-reader --serviceaccount=openshift-ingress:router --namespace=<current-namespace>
```
```
$ oc create rolebinding secret-reader-binding --role=secret-reader --serviceaccount=openshift-ingress:router --namespace=<current-namespace> 
```
1
Copy to Clipboard Toggle word wrap
1
シークレットとルートの両方が存在する namespace を指定します。

次の例を使用して、route を定義し、証明書を含むシークレットを指定する YAML ファイルを作成します。

セキュアなルートの YAML 定義

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: myedge
  namespace: test
spec:
  host: myedge-test.apps.example.com
  tls:
    externalCertificate:
      name: <secret-name> 
    termination: edge
    [...]
[...]

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  name: myedge
  namespace: test
spec:
  host: myedge-test.apps.example.com
  tls:
    externalCertificate:
      name: <secret-name>


    termination: edge
    [...]
[...]

Copy to Clipboard

Toggle word wrap

1: シークレットの実際の名前を指定します。

次のコマンドを実行して route リソースを作成します。
```
oc apply -f <route.yaml>
```
```
$ oc apply -f <route.yaml> 
```
1
Copy to Clipboard Toggle word wrap
1
生成された YAML ファイル名を指定します。
シークレットが存在し、証明書/キーペアがある場合、すべての前提条件が満たされていれば、ルーターは生成された証明書を提供します。
注記
.spec.tls.externalCertificate が指定されていないと、ルーターはデフォルトで生成された証明書を使用します。
.spec.tls.externalCertificate フィールドを使用する場合は、.spec.tls.certificate フィールドまたは .spec.tls.key フィールドを指定することはできません。

Legal Notice
リンクのコピー

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

トップに戻る

Ingress と負荷分散

OpenShift Dedicated でのサービスの公開と外部トラフィックの管理

第1章ルートの作成
リンクのコピー

1.1. ルート設定
リンクのコピー

1.1.1. HTTP ベースのルートの作成
リンクのコピー

1.1.2. ルートのタイムアウトの設定
リンクのコピー

1.1.3. HTTP Strict Transport Security
リンクのコピー

1.1.3.1. ルートごとの HTTP Strict Transport Security の有効化
リンクのコピー

1.1.3.2. ルートごとの HTTP Strict Transport Security の無効化
リンクのコピー

1.1.4. Cookie の使用によるルートのステートフル性の維持
リンクのコピー

1.1.5. パスベースのルート
リンクのコピー

1.1.6. HTTP ヘッダーの設定
リンクのコピー

1.1.6.1. 優先順位
リンクのコピー

1.1.6.2. 特殊なケースのヘッダー
リンクのコピー

1.1.7. ルート内の HTTP リクエストおよびレスポンスヘッダーの設定または削除
リンクのコピー

1.1.8. ルート固有のアノテーション
リンクのコピー

1.1.9. Ingress オブジェクトを介してデフォルトの証明書を使用してルートを作成する
リンクのコピー

1.1.10. Ingress アノテーションでの宛先 CA 証明書を使用したルート作成
リンクのコピー

1.2. セキュリティー保護されたルート
リンクのコピー

1.2.1. カスタム証明書を使用した re-encrypt ルートの作成
リンクのコピー

1.2.2. カスタム証明書を使用した edge ルートの作成
リンクのコピー

1.2.3. passthrough ルートの作成
リンクのコピー

1.2.4. 外部管理証明書を使用したルートの作成
リンクのコピー

Legal Notice
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

Ingress と負荷分散

OpenShift Dedicated でのサービスの公開と外部トラフィックの管理

第1章 ルートの作成リンクのコピーリンクがクリップボードにコピーされました!

1.1. ルート設定リンクのコピーリンクがクリップボードにコピーされました!

1.1.1. HTTP ベースのルートの作成リンクのコピーリンクがクリップボードにコピーされました!

1.1.2. ルートのタイムアウトの設定リンクのコピーリンクがクリップボードにコピーされました!

1.1.3. HTTP Strict Transport Securityリンクのコピーリンクがクリップボードにコピーされました!

1.1.3.1. ルートごとの HTTP Strict Transport Security の有効化リンクのコピーリンクがクリップボードにコピーされました!

1.1.3.2. ルートごとの HTTP Strict Transport Security の無効化リンクのコピーリンクがクリップボードにコピーされました!

1.1.4. Cookie の使用によるルートのステートフル性の維持リンクのコピーリンクがクリップボードにコピーされました!

1.1.4.1. Cookie を使用したルートのアノテーションリンクのコピーリンクがクリップボードにコピーされました!

1.1.5. パスベースのルートリンクのコピーリンクがクリップボードにコピーされました!

1.1.6. HTTP ヘッダーの設定リンクのコピーリンクがクリップボードにコピーされました!

1.1.6.1. 優先順位リンクのコピーリンクがクリップボードにコピーされました!

1.1.6.2. 特殊なケースのヘッダーリンクのコピーリンクがクリップボードにコピーされました!

1.1.7. ルート内の HTTP リクエストおよびレスポンスヘッダーの設定または削除リンクのコピーリンクがクリップボードにコピーされました!

1.1.8. ルート固有のアノテーションリンクのコピーリンクがクリップボードにコピーされました!

1.1.9. Ingress オブジェクトを介してデフォルトの証明書を使用してルートを作成するリンクのコピーリンクがクリップボードにコピーされました!

1.1.10. Ingress アノテーションでの宛先 CA 証明書を使用したルート作成リンクのコピーリンクがクリップボードにコピーされました!

1.2. セキュリティー保護されたルートリンクのコピーリンクがクリップボードにコピーされました!

1.2.1. カスタム証明書を使用した re-encrypt ルートの作成リンクのコピーリンクがクリップボードにコピーされました!

1.2.2. カスタム証明書を使用した edge ルートの作成リンクのコピーリンクがクリップボードにコピーされました!

1.2.3. passthrough ルートの作成リンクのコピーリンクがクリップボードにコピーされました!

1.2.4. 外部管理証明書を使用したルートの作成リンクのコピーリンクがクリップボードにコピーされました!

Legal Notice リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章ルートの作成
リンクのコピー

1.1. ルート設定
リンクのコピー

1.1.1. HTTP ベースのルートの作成
リンクのコピー

1.1.2. ルートのタイムアウトの設定
リンクのコピー

1.1.3. HTTP Strict Transport Security
リンクのコピー

1.1.3.1. ルートごとの HTTP Strict Transport Security の有効化
リンクのコピー

1.1.3.2. ルートごとの HTTP Strict Transport Security の無効化
リンクのコピー

1.1.4. Cookie の使用によるルートのステートフル性の維持
リンクのコピー

1.1.4.1. Cookie を使用したルートのアノテーション
リンクのコピー

1.1.5. パスベースのルート
リンクのコピー

1.1.6. HTTP ヘッダーの設定
リンクのコピー

1.1.6.1. 優先順位
リンクのコピー

1.1.6.2. 特殊なケースのヘッダー
リンクのコピー

1.1.7. ルート内の HTTP リクエストおよびレスポンスヘッダーの設定または削除
リンクのコピー

1.1.8. ルート固有のアノテーション
リンクのコピー

1.1.9. Ingress オブジェクトを介してデフォルトの証明書を使用してルートを作成する
リンクのコピー

1.1.10. Ingress アノテーションでの宛先 CA 証明書を使用したルート作成
リンクのコピー

1.2. セキュリティー保護されたルート
リンクのコピー

1.2.1. カスタム証明書を使用した re-encrypt ルートの作成
リンクのコピー

1.2.2. カスタム証明書を使用した edge ルートの作成
リンクのコピー

1.2.3. passthrough ルートの作成
リンクのコピー

1.2.4. 外部管理証明書を使用したルートの作成
リンクのコピー

Legal Notice
リンクのコピー