Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第1章 ガバナンス

企業が、プライベートクラウド、マルチクラウド、およびハイブリッドクラウドでホストされるワークロードについて、ソフトウェアエンジニアリング、セキュアなエンジニアリング、回復性、セキュリティー、規制準拠に関する内部標準を満たす必要があります。Red Hat Advanced Cluster Management for Kubernetes ガバナンスは、企業が独自のセキュリティーポリシーを導入するための拡張可能なポリシーフレームワークを提供します。

Red Hat Advanced Cluster Management ガバナンスフレームワークの関連トピックを参照してください。

1.1. ポリシーコントローラー
リンクのコピー

ポリシーコントローラーは、クラスターがポリシーに準拠しているかどうかを監視し、報告します。サポートされるポリシーテンプレートを使用して Red Hat Advanced Cluster Management for Kubernetes ポリシーフレームワークを使用し、これらのコントローラーが管理するポリシーを適用します。ポリシーコントローラーは Kubernetes のカスタムリソース定義インスタンスを管理します。

ポリシーコントローラーはポリシー違反をチェックし、コントローラーが強制機能をサポートしている場合は、クラスターのステータスを準拠させることができます。Red Hat Advanced Cluster Management for Kubernetes の以下のポリシーコントローラーは、次のトピックを参照してください。

重要: 設定ポリシーコントローラーポリシーのみが enforce 機能をサポートします。ポリシーコントローラーが enforce 機能をサポートしないポリシーを手動で修正する必要があります。

1.1.1. Kubernetes 設定ポリシーコントローラー
リンクのコピー

設定ポリシーコントローラーを使用して、任意の Kubernetes リソースを設定し、クラスター全体にセキュリティーポリシーを適用します。設定ポリシーコントローラーはローカル Kubernetes API サーバーと通信し、クラスター内にある設定のリストを取得できるようにします。

インストール中に、マネージドクラスター上に設定ポリシーコントローラーが作成されます。設定ポリシーは、ハブクラスター上のポリシーの policy-templates フィールドで提供され、ガバナンスフレームワークによって選択されたマネージドクラスターに伝播されます。

設定ポリシーコントローラーの remediationActionInformOnly に設定されている場合、親ポリシーの remediationActionenforce に設定されていても、親ポリシーは設定ポリシーを適用しません。

ポリシーに組み込む既存の Kubernetes マニフェストがある場合、ポリシージェネレーターはこれを実現するための便利なツールです。

1.1.1.1. 設定ポリシーの YAML の構造
リンクのコピー

oc explain --api-version=policy.open-cluster-management.io/v1 ConfigurationPolicy.<field-path> コマンドを実行すると、マネージドクラスターのフィールドの説明を確認できます。<field-path> は、必要なフィールドへのパスに置き換えます。 

apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
  name: policy-config
spec:
  namespaceSelector:
    include: ["default"]
    exclude: []
    matchExpressions: []
    matchLabels: {}
  remediationAction: inform
1 

  customMessage:
    compliant: {}
    noncompliant: {}
  severity: low
  evaluationInterval:
    compliant: ""
    noncompliant: ""
  object-templates-raw: ""
  object-templates:
2 

   - complianceType: musthave
     metadataComplianceType:
     recordDiff: ""
     recreateOption: ""
     objectSelector:
       matchLabels: {}
       matchExpressions: []
     objectDefinition:
       apiVersion: v1
       kind: Pod
       metadata:
         name: pod
       spec:
         containers:
          - image: pod-image
            name: pod-name
            ports:
             - containerPort: 80
   - complianceType: mustonlyhave
     objectDefinition:
       apiVersion: v1
       kind: ConfigMap
       metadata:
         name: myconfig
         namespace: default
         data:
           testData: hello
...
Copy to Clipboard Toggle word wrap
1
名前なしでオブジェクトを指定する設定ポリシーは、inform にのみ設定できます。設定ポリシーの remediationActionenforce に設定すると、指定した設定がコントローラーによってターゲットのマネージドクラスターに適用されます。
2
Kubernetes オブジェクトは、設定ポリシーの object-template 配列で定義され、設定ポリシーコントローラーのフィールドがマネージドクラスター上のオブジェクトと比較されます。設定ポリシー内でテンプレート化された値を使用することもできます。より高度なユースケースの場合は、object-templates-raw で文字列を指定して、必要な object-template を作成します。詳細は、テンプレート処理 を参照してください。

1.1.1.2. 設定ポリシーの YAML の表
リンクのコピー

Expand
表1.1 パラメーターの表
フィールド任意または必須説明

apiVersion

必須

この値は policy.open-cluster-management.io/v1 に設定します。

kind

必須

ポリシーのタイプを指定するには、値を ConfigurationPolicy に設定します。

metadata.name

必須

ポリシーの名前。

spec.namespaceSelector

namespace に属するオブジェクトに namespace が指定されていない場合に必須

オブジェクトが適用されるマネージドクラスター内の namespace を決定します。include および exclude パラメーターは、名前で namespace を含めるまたは除外するためのファイルパス式を受け入れます。matchExpressions および matchLabels パラメーターは、対象とする namespace をラベルで指定します。Kubernetes のラベルとセレクター のドキュメントを参照してください。結果のリストは、すべてのパラメーターからの結果の共通部分を使用してコンパイルされます。

spec.remediationAction

必須

ポリシーに準拠していない場合に実行するアクションを指定します。次のパラメーター値を使用します。infoInformOnly、または enforce

spec.customMessage

任意

現在のコンプライアンスに基づいて設定ポリシーによって送信されるコンプライアンスメッセージを設定します。各メッセージの設定は文字列です。文字列には Go テンプレートを含めることができます。テンプレートでは、.DefaultMessage および .Policy コンテキスト変数を使用できます。.DefaultMessage パラメーターを使用すると、デフォルトのメッセージにアクセスできます。.Policy コンテキスト変数には、現在のポリシーオブジェクトとそのステータスが含まれます。たとえば、.Policy.status.relatedObjects[*].object フィールドを指定すると、各関連オブジェクトの状態にアクセスできます。evaluationInterval フィールドに watch 以外の値を設定すると、アクセス可能なものが関連オブジェクトの種類、名前、および namespace だけに限定されます。

[source,yaml] ---- .Policy.status.relatedObjects[*].object ---

evaluationInterval を設定すると、識別可能な情報のみが利用可能になります。

spec.customMessage.compliant

任意

準拠状態の設定ポリシー用のカスタムメッセージを設定します。Go テンプレートと、絵文字や他言語の文字を含む UTF-8 でエンコードされた文字を値として使用できます。

spec.customMessage.noncompliant

任意

非準拠状態の設定ポリシー用のカスタムメッセージを設定します。Go テンプレートと、絵文字や他言語の文字を含む UTF-8 でエンコードされた文字を値として使用できます。

spec.severity

必須

ポリシーに準拠していない場合の重大度を指定します。パラメーター値 lowmediumhigh、または critical を使用します。

spec.evaluationInterval

任意

特定のコンプライアンス状態にある場合にポリシーを評価する頻度を指定します。compliant および noncompliant パラメーターを使用します。compliant および noncompliant パラメーターのデフォルト値は watch です。これは、Kubernetes API サーバーをポーリングする代わりに Kubernetes API ウォッチを活用します。

マネージドクラスターのリソースが少ない場合は、評価間隔のポーリング間隔を長く設定して、Kubernetes API とポリシーコントローラーでの CPU とメモリーの使用量を削減できます。これらは期間を表す形式です。たとえば、1h25m3s は 1 時間 25 分 3 秒を表します。これらは、特定のコンプライアンス状態になった後にポリシーを評価しないように、never に設定することもできます。

spec.evaluationInterval.compliant

任意

準拠ポリシーの評価頻度を指定します。以前のポーリング動作を有効にするには、このパラメーターを 10s に設定します。

spec.evaluationInterval.noncompliant

任意

非準拠ポリシーの評価頻度を指定します。以前のポーリング動作を有効にするには、このパラメーターを 10s に設定します。

spec.object-templates

任意

コントローラーがマネージドクラスター上のオブジェクトと比較するための Kubernetes オブジェクトの配列 (完全に定義されているか、フィールドのサブセットを含む)。注: spec.object-templatesspec.object-templates-raw は、オプションとしてリストされていますが、2 つのパラメーターフィールドのうち 1 つだけを設定する必要があります。

spec.object-templates-raw

任意

生の YAML 文字列を使用してオブジェクトテンプレートを設定するために使用されます。オブジェクトテンプレートの条件を指定します。ここでは、if-else ステートメントや range 関数などの高度な関数がサポートされる値です。たとえば、object-template 定義での重複を回避するために次の値を追加します。 

{{- if eq .metadata.name "policy-grc-your-meta-data-name" }}
                  replicas: 2
 {{- else }}
                  replicas: 1
 {{- end }}
Copy to Clipboard Toggle word wrap

注: spec.object-templatesspec.object-templates-raw は、オプションとしてリストされていますが、2 つのパラメーターフィールドのうち 1 つだけを設定する必要があります。

spec.object-templates[].complianceType

必須

このパラメーターを使用して、マネージドクラスター上の Kubernetes オブジェクトの望ましい状態を定義します。次のいずれかの動詞をパラメーター値として使用します。

  • mustonlyhave: objectDefinition で定義されている正確なフィールドと値を持つオブジェクトが存在する必要があることを示します。
  • musthave: objectDefinition で指定されたものと同じフィールドを持つオブジェクトが存在する必要があることを示します。object-template で指定されていないオブジェクト上の既存のフィールドは無視されます。通常、配列値は追加されます。パッチが適用される配列の例外は、既存のアイテムと一致する値を持つ name キーがアイテムに含まれている場合です。配列を置き換える場合は、mustonlyhave コンプライアンスタイプを使用して、完全に定義された objectDefinition を使用します。
  • mustnothave: objectDefinition で指定されたものと同じフィールドを持つオブジェクトが存在できないことを示します。

spec.object-templates[].metadataComplianceType

任意

マニフェストのメタデータセクションをクラスター上のオブジェクトと比較するときに、spec.object-templates[].complianceType をオーバーライドします ("musthave"、"mustonlyhave")。デフォルトは、メタデータの complianceType をオーバーライドしないように設定されていません。

spec.object-templates[].recordDiff

任意

このパラメーターを使用して、クラスター上のオブジェクトとポリシー内の objectDefinition の違いを表示するかどうか、またどこに表示するかを指定します。以下のオプションがサポートされます。

  • ConfigurationPolicy ステータスの差異を保存するには、InStatus に設定します。
  • コントローラーログに差異を記録するには、Log に設定します。
  • 差異を記録しない場合は None に設定します。

デフォルトでは、コントローラーが差異内に機密データを検出しないと、このパラメーターは InStatus に設定されます。それ以外の場合、デフォルトは None です。機密データが検出されると、ConfigurationPolicy ステータスに、差異を表示するために recordDiff を設定するようにというメッセージが表示されます。

spec.object-templates[].recreateOption

任意

更新が必要な場合にオブジェクトを削除して再作成するタイミングを説明します。オブジェクトを IfRequired に設定すると、ポリシーは不変フィールドを更新するときにオブジェクトを再作成します。パラメーターを Always に設定すると、ポリシーは更新時にオブジェクトを再作成します。remediationActioninform に設定すると、パラメーター値 recreateOption はオブジェクトに影響しません。IfRequired 値は、ドライラン更新をサポートしていないクラスターには影響しません。デフォルト値は None です。

spec.object-templates[].objectDefinition

必須

コントローラーがマネージドクラスター上のオブジェクトと比較するための Kubernetes オブジェクト (完全に定義されているか、フィールドのサブセットを含む)。

spec.pruneObjectBehavior

任意

マネージドクラスターからポリシーが削除されたときに、ポリシーに関連するリソースを消去するかどうかを決定します。

1.1.1.3. 関連情報
リンクのコピー

詳細は、以下のトピックを参照してください。

1.1.2. 証明書ポリシーコントローラー
リンクのコピー

証明書ポリシーコントローラーは、有効期限が近い証明書、期間 (時間) が長すぎる証明書や、指定のパターンに一致しない DNS 名が含まれる証明書の検出に使用できます。ハブクラスターのポリシーの policy-templates フィールドに証明書ポリシーを追加できます。証明書ポリシーは、ガバナンスフレームワークを使用して、選択したマネージドクラスターに伝播されます。ハブクラスターポリシーの詳細は、ハブクラスターポリシーフレームワーク ドキュメントを参照してください。

証明書ポリシーコントローラーを設定してカスタマイズするには、コントローラーポリシーの以下のパラメーターを更新します。

  • minimumDuration
  • minimumCADuration
  • maximumDuration
  • maximumCADuration
  • allowedSANPattern
  • disallowedSANPattern

以下のシナリオのいずれかの場合は、ポリシーがコンプライアンス違反になる可能性があります。

  • 証明書が、最小期間で指定されている期間以内、または最大期間で指定されている期間を超えて失効する場合
  • DNS 名が指定のパターンと一致しない場合

証明書ポリシーコントローラーは、マネージドクラスターに作成されます。このコントローラーは、ローカルの Kubernetes API サーバーと通信して、証明書が含まれるシークレット一覧を取得して、コンプライアンス違反の証明書をすべて判別します。

証明書ポリシーコントローラーには、enforce 機能のサポートがありません。

注記: 証明書ポリシーコントローラーは、tls.crt キーのシークレットでのみ自動的に証明書を検索します。シークレットが別のキーの下に保存されている場合は、証明書ポリシーコントローラーに別のキーを検索するよう知らせるために、certificate_key_name という名前のラベルを、キーに設定された値とともに追加します。たとえば、sensor-cert.pem という名前のキーに保存されている証明書がシークレットに含まれている場合は、ラベル certificate_key_name: sensor-cert.pem をシークレットに追加します。

1.1.2.1. 証明書ポリシーコントローラーの YAML 設定
リンクのコピー

以下の証明書ポリシーの例を見て、YAML 表の要素を確認します。 

apiVersion: policy.open-cluster-management.io/v1
kind: CertificatePolicy
metadata:
  name: certificate-policy-example
spec:
  namespaceSelector:
    include: ["default"]
    exclude: []
    matchExpressions: []
    matchLabels: {}
  labelSelector:
    myLabelKey: myLabelValue
  remediationAction:
  severity:
  minimumDuration:
  minimumCADuration:
  maximumDuration:
  maximumCADuration:
  allowedSANPattern:
  disallowedSANPattern:
Copy to Clipboard Toggle word wrap
1.1.2.1.1. 証明書ポリシーコントローラーの YAML の表
リンクのコピー
Expand
表1.2 パラメーターの表
フィールド任意または必須説明

apiVersion

必須

この値は policy.open-cluster-management.io/v1 に設定します。

kind

必須

この値を CertificatePolicy に設定してポリシーの種類を指定します。

metadata.name

必須

ポリシーを識別するための名前。

metadata.labels

任意

証明書ポリシーでは、category=system-and-information-integrity ラベルでポリシーを分類して、証明書ポリシーをスムーズにクエリーできるようにします。証明書ポリシーの category キーに別の値が指定されていると、この値は証明書コントローラーにより上書きされます。

spec.namespaceSelector

必須

シークレットがモニターされるマネージドクラスター内の namespace を決定します。include および exclude パラメーターは、名前で namespace を含めるまたは除外するためのファイルパス式を受け入れます。matchExpressions および matchLabels パラメーターは、対象とする namespace をラベルで指定します。Kubernetes のラベルとセレクター のドキュメントを参照してください。結果のリストは、すべてのパラメーターからの結果の共通部分を使用してコンパイルされます。

注記: 証明書ポリシーコントローラーの namespaceSelector がどの namespace にも一致しない場合は、ポリシーが準拠しているとみなされます。

spec.labelSelector

任意

オブジェクトの識別属性を指定します。Kubernetes のラベルとセレクター のドキュメントを参照してください。

spec.remediationAction

必須

ポリシーの修正を指定します。このパラメーター値に inform を設定します。証明書ポリシーコントローラーがサポートするのは inform 機能のみです。

spec.severity

任意

ポリシーに準拠していない場合の重大度をユーザーに通知します。パラメーター値 lowmediumhigh、または critical を使用します。

spec.minimumDuration

必須

値の指定がない場合、デフォルト値は 100h になります。このパラメーターで、証明書が非準拠であるとみなされるまでの最小期間 (時間単位) を指定します。パラメーター値は Golang の期間形式を使用します。詳細は、Golang Parse Duration を参照してください。

spec.minimumCADuration

任意

値を設定して、他の証明書とは異なる値で、まもなく有効期限が切れる可能性がある署名証明書を特定します。パラメーターの値が指定されていないと、CA 証明書の有効期限は minimumDuration で使用した値になります。詳細は、Golang Parse Duration を参照してください。

spec.maximumDuration

任意

値を設定して、任意の制限期間を超えて作成された証明書を特定します。パラメーターは Golang の期間形式を使用します。詳細は、Golang Parse Duration を参照してください。

spec.maximumCADuration

任意

値を設定して、定義した制限期間を超えて作成された署名証明書を特定します。パラメーターは Golang の期間形式を使用します。詳細は、Golang Parse Duration を参照してください。

spec.allowedSANPattern

任意

証明書に定義した全 SAN エントリーと一致する必要がある正規表現。このパラメーターを使用して、パターンと DNS 名を照合します。詳細は、Golang Regular Expression syntax を参照してください。

spec.disallowedSANPattern

任意

証明書で定義した SAN エントリーと一致してはいけない正規表現。このパラメーターを使用して、パターンと DNS 名を照合します。

注記: ワイルドカードの証明書を検出するには、disallowedSANPattern: " [\\*]" の SAN パターンを使用します。

詳細は、Golang Regular Expression syntax を参照してください。

1.1.2.2. 証明書ポリシーの例
リンクのコピー

証明書ポリシーコントローラーがハブクラスターに作成されると、複製ポリシーがマネージドクラスターに作成されます。証明書ポリシーのサンプルを確認するには、policy-certificate.yaml を参照してください。

1.1.2.3. 関連情報
リンクのコピー

1.1.3. ポリシーセットコントローラー
リンクのコピー

ポリシーセットコントローラーは、同じ namespace で定義されるポリシーにスコープ指定されたポリシーのステータスを集約します。ポリシーセット (PolicySet) を作成して、同じ namespace にあるポリシーをグループ化します。PolicySet のすべてのポリシーは、PolicySet および Placement をバインドする PlacementBinding を作成して、選択したクラスターに配置されます。ポリシーセットがハブクラスターにデプロイされています。

また、ポリシーが複数のポリシーセットの一部であると、既存および新規 Placement リソースはポリシーに残ります。ユーザーがポリシーセットからポリシーを削除すると、ポリシーはポリシーセットで選択したクラスターには適用されませんが、配置は残ります。ポリシーセットコントローラーは、ポリシーセット配置を含むクラスターの違反のみを確認します。

注記:

  • Red Hat Advanced Cluster Management サンプルポリシーセットは、クラスター配置を使用します。クラスター配置を使用する場合は、ポリシーを含む namespace をマネージドクラスターセットにバインドします。クラスター配置の使用の詳細は、クラスターへのポリシーのデプロイ を参照してください。
  • Placement リソースを使用するには、ManagedClusterSetBinding リソースを使用して、ManagedClusterSet リソースを Placement リソースの namespace にバインドする必要があります。詳細は、ManagedClusterSetBinding リソースの作成 を参照してください。

以下のセクションでは、ポリシーセットの設定を説明します。

1.1.3.1. ポリシーセット YAML の設定
リンクのコピー

ポリシーセットは、以下の YAML ファイルのようになります。 

apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicySet
metadata:
  name: demo-policyset
spec:
  policies:
  - policy-demo

---
apiVersion: policy.open-cluster-management.io/v1
kind: PlacementBinding
metadata:
  name: demo-policyset-pb
placementRef:
  apiGroup: cluster.open-cluster-management.io
  kind: Placement
  name: demo-policyset-pr
subjects:
- apiGroup: policy.open-cluster-management.io
  kind: PolicySet
  name: demo-policyset
---
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
  name: demo-policyset-pr
spec:
  predicates:
  - requiredClusterSelector:
      labelSelector:
        matchExpressions:
          - key: name
            operator: In
            values:
              - local-cluster
    tolerations:
        - key: cluster.open-cluster-management.io/unavailable
          operator: Exists
        - key: cluster.open-cluster-management.io/unreachable
          operator: Exists
Copy to Clipboard Toggle word wrap

1.1.3.2. ポリシーセットの表
リンクのコピー

以下のパラメーター表で説明を確認してください。

Expand
表1.3 パラメーターの表
フィールド任意または必須説明

apiVersion

必須

この値は policy.open-cluster-management.io/v1beta1 に設定します。

kind

必須

ポリシーのタイプを指定するには、値を PolicySet に設定します。

metadata.name

必須

ポリシーリソースを識別する名前。

spec

必須

ポリシーの設定詳細を追加します。

spec.policies

任意

ポリシーセットでグループ化するポリシーの一覧。

1.1.3.3. ポリシーセットの例
リンクのコピー

apiVersion: policy.open-cluster-management.io/v1beta1
kind: PolicySet
metadata:
  name: pci
  namespace: default
spec:
  description: Policies for PCI compliance
  policies:
  - policy-pod
  - policy-namespace
status:
  compliant: NonCompliant
  placement:
  - placementBinding: binding1
    placement: placement1
    policySet: policyset-ps
Copy to Clipboard Toggle word wrap

1.1.3.4. 関連情報
リンクのコピー

1.1.4. Operator ポリシーコントローラー
リンクのコピー

Operator ポリシーコントローラーを使用すると、クラスター全体の Operator Lifecycle Manager Operator を監視し、インストールできます。Operator ポリシーコントローラーは、Operator のさまざまな部分の健全性を監視し、Operator への更新を自動的に処理する方法を指定するために使用します。

ガバナンスフレームワークを使用して、ハブクラスター上のポリシーの policy-template フィールドにポリシーを追加することで、Operator ポリシーをマネージドクラスターに配布することもできます。

Operator ポリシーの operatorGroup フィールドと subscription フィールド内でテンプレート値を使用することもできます。詳細は、テンプレート処理 を参照してください。

1.1.4.1. 前提条件
リンクのコピー

  • Operator Lifecycle Manager がマネージドクラスターで利用可能である。これは、Red Hat OpenShift Container Platform ではデフォルトで有効になっています。
  • 必要なアクセス権: クラスター管理者

1.1.4.2. Operator ポリシー YAML の表
リンクのコピー

Expand
フィールド任意または必須説明

apiVersion

必須

この値は policy.open-cluster-management.io/v1beta1 に設定します。

kind

必須

ポリシーのタイプを指定するには、値を OperatorPolicy に設定します。

metadata.name

必須

ポリシーリソースを識別する名前。

spec.remediationAction

必須

Operator ポリシーの remediationActionenforce に設定されていると、コントローラーはターゲットのマネージドクラスターにリソースを作成し、OLM と通信して Operator をインストールし、ポリシーで指定されたバージョンに基づいて更新を承認します。+ remediationActioninform に設定されていると、コントローラーはアップグレードが利用可能かどうかなど、Operator のステータスのみを報告します。

spec.operatorGroup

任意

デフォルトでは、operatorGroup フィールドが指定されていないと、コントローラーは、サブスクリプションと同じ namespace に AllNamespaces タイプの OperatorGroup リソースを生成します (サポートされている場合)。Operator ポリシーコントローラーはこのリソースを生成します。次のパラメーターの説明を確認してください。

  • name: OperatorGroup リソースの名前。
  • namespace: OperatorGroup リソースの namespace。このパラメーターは、Operator をインストールする namespace と一致する必要があります。
  • targetNamespaces: Operator が監視および動作するように設定されている namespace の一覧。

spec.complianceType

必須

クラスター上の Operator の望ましい状態を指定します。musthave に設定すると、Operator が見つかった場合にポリシーが準拠します。mustnothave に設定すると、Operator が見つからない場合にポリシーが準拠します。

spec.removalBehavior

任意

complianceType: mustnothave が定義された OperatorPolicy リソースを適用するときに、保持または削除する必要があるリソースタイプを決定します。complianceTypemusthave に設定されている場合は効果がありません。次のパラメーターの説明を確認してください。

  • operatorGroupsKeep または DeleteIfUnused に設定できます。デフォルト値は DeleteIfUnusued で、他の Operator によって使用されていない場合にのみ OperatorGroup リソースを削除します。
  • SubscriptionsKeep または Delete に設定できます。デフォルト値は Delete です。
  • clusterServiceVersionsKeep または Delete に設定できます。デフォルト値は Delete です。
  • customResourceDefinitionsKeep または Delete に設定できます。デフォルト値は Keep です。これを Delete に設定すると、マネージドクラスター上の CustomResourceDefintion リソースが削除され、データが失われる可能性があります。

spec.subscription

必須

Operator のサブスクリプションを作成するための設定を定義します。Operator のサブスクリプションを作成するには、次のフィールドに情報を追加します。次のパラメーターの説明を確認してください。

  • channel: 指定されていない場合は、Operator カタログからデフォルトのチャネルが選択されます。デフォルトは、OpenShift Container Platform のバージョンによって異なる場合があります。
  • Name: Operator のパッケージ名を指定します。
  • namespace: 指定されていない場合、OpenShift Container Platform 管理クラスターに使用されるデフォルトの namespace は openshift-operators です。
  • source: 指定されていない場合は、Operator を含むカタログが選択されます。
  • sourceNamespace: 指定されていない場合は、Operator を含むカタログの namespace が選択されます。
  • config:任意。Operator サブスクリプションの追加設定の詳細を指定します。name フィールドは唯一の必須フィールドです。他のフィールドは、マネージドクラスター内のカタログ情報に基づいて入力されます。

注意: このパラメーターセクションの installPlanApproval フィールドに値を定義すると、ポリシーは非準拠になります。OperatorPolicy リソースで spec.upgradeApproval を使用します。

spec.complianceConfig

任意

このパラメーターを使用して、Operator に関連付けられている特定のシナリオのコンプライアンス動作を定義します。次の各オプションを個別に設定できます。サポートされる値は CompliantNonCompliant です。

  • catalogSourceUnhealthy: Operator のカタログソースが正常でない場合のコンプライアンスを定義します。デフォルト値は Compliant です。これは、可能なアップグレードにのみ影響するためです。
  • deploymentsUnavailable: Operator の少なくとも 1 つのデプロイメントが完全には利用できない場合のコンプライアンスを定義します。デフォルト値は NonCompliant です。これは、Operator が提供するサービスの可用性を反映しているためです。
  • upgradesAvailable: Operator に利用可能なアップグレードがある場合のコンプライアンスを定義します。既存の Operator のインストールが正しく実行している可能性があるため、デフォルト値は Compliant です。

spec.upgradeApproval

必須

upgradeApproval フィールドが Automatic に設定されている場合は、ポリシーが enforce に設定されていると、クラスター上のバージョンアップグレードはポリシーによって承認されます。フィールドを None に設定すると、ポリシーが enforce に設定されている場合に特定の Operator へのバージョンアップグレードは承認されません。

spec.versions

任意

Operator のどのバージョンがポリシーに準拠しているかを宣言します。フィールドが空の場合は、クラスター上で実行されているすべてのバージョンが準拠しているとみなされます。フィールドが空でない場合、ポリシーに準拠しているとみなされるには、マネージドクラスターのバージョンがリスト内のいずれかのバージョンと一致している必要があります。ポリシーが enforce に設定され、リストが空でないと、このフィールドにリストしたバージョンがクラスターのコントローラーによって承認されます。

1.1.4.3. 関連情報
リンクのコピー

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat