ホーム
製品
Red Hat Advanced Cluster Management for Kubernetes
2.0
セキュリティー
2.3.2. 証明書ポリシーコントローラー

2.3.2. 証明書ポリシーコントローラー

証明書ポリシーコントローラーは、有効期限に近い証明書の検出に使用できます。証明書ポリシーコントローラーを設定してカスタマイズするには、コントローラーポリシーの最小期間パラメーターを更新します。最小期間で指定されている期間以内に、証明書が失効する場合には、この証明書はコンプライアンス違反になります。証明書ポリシーコントローラーは、ハブクラスターに作成されます。

証明書ポリシーコントローラーは、ローカルの Kubernetes API サーバーと通信して、証明書が含まれるシークレット一覧を取得して、コンプライアンス違反の証明書をすべて判別します。CRD の詳細は、「Extend the Kubernetes API with CustomResourceDefinitions」を参照してください。

証明書ポリシーコントローラーには、enforce 機能のサポートがありません。

2.3.2.1. 証明書ポリシーコントローラーの YAML 構成
リンクのコピー

以下の証明書ポリシーの例を見て、YAML 表の要素を確認します。

apiVersion: policy.open-cluster-management.io/v1
kind: CertificatePolicy
metadata:
  name: certificate-policy-example
  namespace:
  labels: category=system-and-information-integrity
spec:
  namespaceSelector:
    include: ["default"]
    exclude: ["kube-*"]
  remediationAction:
  severity:
  minimumDuration:

apiVersion: policy.open-cluster-management.io/v1
kind: CertificatePolicy
metadata:
  name: certificate-policy-example
  namespace:
  labels: category=system-and-information-integrity
spec:
  namespaceSelector:
    include: ["default"]
    exclude: ["kube-*"]
  remediationAction:
  severity:
  minimumDuration:

Copy to Clipboard

Toggle word wrap

2.3.2.1.1. 証明書ポリシーコントローラーの YAML の表
リンクのコピー

Expand

フィールド	説明
apiVersion	必須。この値は `policy.open-cluster-management.io/v1` に設定します。
kind	必須。この値を `CertificatePolicy` に設定してポリシーの種類を指定します。
metadata.name	必須。ポリシーを識別するための名前。
metadata.namespace	必須。ポリシーが作成されるマネージドクラスター内の namespace。
metadata.labels	任意。証明書ポリシーでは、`category=system-and-information-integrity` ラベルでポリシーを分類して、証明書ポリシーをスムーズにクエリーできるようにします。証明書ポリシーの `category` キーに別の値が指定されていると、この値は証明書コントローラーにより上書きされます。
spec	必須。監視および更新する証明書の仕様。
spec.namespaceSelector	必須。ポリシーを適用するマネージドクラスターの namespace。`Include` および `Exclude` のパラメーター値を入力します。注記: 複数の証明書ポリシーを作成してそのポリシーを同じマネージドクラスターに適用する場合、各ポリシーの `namespaceSelector` には別の値を割り当てる必要があります。 • 証明書ポリシーコントローラーの `namespaceSelector` がどの namespace にも一致しない場合は、ポリシーが準拠しているとみなされます。
spec.remediationAction	必須。ポリシーの修正を指定します。このパラメーター値に `inform` を設定します。証明書ポリシーコントローラーがサポートするのは `inform` 機能のみです。
spec.severity	任意。ポリシーがコンプライアンス違反の場合に重大度を指定します。パラメーター値 `low`、`medium`、または `high` を使用します。
spec.minimumDuration	必須。パラメーターで、証明書がコンプライアンス違反とみなされるまでの最小期間 (時間) を指定します。証明書の有効期限が `minimumDuration` よりも長い場合には、証明書は準拠しているとみなされます。デフォルト値は `100h` です。パラメーター値は Golang の期間形式を使用します。詳細は Golang Parse Duration を参照してください。

トップに戻る

2.3.2. 証明書ポリシーコントローラー

2.3.2.1. 証明書ポリシーコントローラーの YAML 構成
リンクのコピー

2.3.2.1.1. 証明書ポリシーコントローラーの YAML の表
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.3.2. 証明書ポリシーコントローラー

2.3.2.1. 証明書ポリシーコントローラーの YAML 構成リンクのコピーリンクがクリップボードにコピーされました!

2.3.2.1.1. 証明書ポリシーコントローラーの YAML の表リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.3.2.1. 証明書ポリシーコントローラーの YAML 構成
リンクのコピー

2.3.2.1.1. 証明書ポリシーコントローラーの YAML の表
リンクのコピー