安全なクラスター

Red Hat Advanced Cluster Management for Kubernetes 2.14

ロールベースのアクセスと証明書を使用してクラスターを保護します。

概要

ユーザーによる、特定のロールを実行するために必要なリソースへのアクセスを可能にします。

第1章クラスターの保護
リンクのコピー

クラスター上のアクセス制御を手動で作成および管理することが必要になる場合があります。これを行うには、ワークロードをアイデンティティーおよびアクセス管理 (IAM) にオンボードするために、Red Hat Advanced Cluster Management for Kubernetes の認証サービス要件を設定する必要があります。

ロールベースのアクセス制御と認証を使用して、ユーザーに関連付けられたロールとクラスターの認証情報を識別します。クラスターの認証情報を作成および管理するには、認証情報が保存されている Kubernetes シークレットに移動して、認証情報にアクセスします。アクセスおよび認証情報の詳細は、以下のドキュメントを参照してください。

必要なアクセス権: クラスター管理者

ロールベースのアクセス制御
ロールベースのアクセス制御の実装
ターミナルでのきめ細かなロールベースのアクセス制御の実装 (テクノロジープレビュー)
コンソールでのきめ細かなロールベースのアクセス制御の実装 (テクノロジープレビュー)
証明書
証明書の管理
独自の可観測性認証局 (CA) 証明書の導入

Red Hat Advanced Cluster Management for Kubernetes は、ロールベースのアクセス制御 (RBAC) に対応しています。ロールによって実行できるアクションが決まります。RBAC は、Red Hat OpenShift Container Platform と同様に Kubernetes の認可メカニズムに基づいています。RBAC の詳細は、OpenShift Container Platform ドキュメントの OpenShift RBAC の概要を参照してください。

注記: ユーザーロールのアクセスが許可されていない場合、コンソールのアクションボタンは無効になります。

1.1.1. ロールの概要
リンクのコピー

クラスター別の製品リソースと、スコープに namespace が指定されている製品リソースがあります。アクセス制御に一貫性を持たせるため、クラスターのロールバインディングと、namespace のロールバインディングをユーザーに適用する必要があります。Red Hat Advanced Cluster Management for Kubernetes でサポートされている以下のロール定義の表を参照してください。

Expand

表1.1 ロール定義の表
ロール	定義
`cluster-admin`	これは OpenShift Container Platform のデフォルトのロールです。`cluster-admin` ロールへのクラスターバインディングがあるユーザーは、すべてのアクセス権限を持つ OpenShift Container Platform のスーパーユーザーです。
`open-cluster-management:cluster-manager-admin`	`open-cluster-management:cluster-manager-admin` ロールへのクラスターバインディングがあるユーザーは、すべてのアクセス権限を持つ Red Hat Advanced Cluster Management for Kubernetes のスーパーユーザーです。このロールを指定すると、ユーザーは `ManagedCluster` リソースを作成できます。
`open-cluster-management:admin:<managed_cluster_name>`	`open-cluster-management:admin:<managed_cluster_name>` ロールへのクラスターバインディングがあるユーザーには、`<managed_cluster_name>` という名前の `ManagedCluster` リソースに管理者アクセス権が付与されます。ユーザーにマネージドクラスターがある場合は、このロールが自動的に作成されます。
`open-cluster-management:view:<managed_cluster_name>`	`open-cluster-management:view:<managed_cluster_name>` ロールへのクラスターバインディングがあるユーザーには、`<managed_cluster_name>` という名前の `ManagedCluster` リソースの表示権限が付与されます。
`open-cluster-management:managedclusterset:admin:<managed_clusterset_name>`	`open-cluster-management:managedclusterset:admin:<managed_clusterset_name>` ロールへのクラスターバインディングがあるユーザーには、`<managed_clusterset_name>` という名前の `ManagedCluster` リソースの管理者アクセス権が付与されます。また、ユーザーには `managedcluster.cluster.open-cluster-management.io`、`clusterclaim.hive.openshift.io`、`clusterdeployment.hive.openshift.io` および `clusterpool.hive.openshift.io` リソースへの管理者アクセス権があります。これには、`cluster.open-cluster-management.io/clusterset=<managed_clusterset_name>` のマネージドクラスターセットのラベルが付いています。ロールバインディングは、クラスターセットの使用時に自動的に生成されます。リソースの管理方法は、ManagedClusterSet の作成を参照してください。
`open-cluster-management:managedclusterset:view:<managed_clusterset_name>`	`open-cluster-management:managedclusterset:view:<managed_clusterset_name>` ロールへのクラスターバインディングがあるユーザーには、<managed_clusterset_name>` という名前の `ManagedCluster` リソースへの表示権限が付与されます。また、ユーザーには `managedcluster.cluster.open-cluster-management.io`、`clusterclaim.hive.openshift.io`、`clusterdeployment.hive.openshift.io` および `clusterpool.hive.openshift.io` リソースの表示権限があります。これには、`cluster.open-cluster-management.io`、`clusterset=<managed_clusterset_name>` のマネージドクラスターセットのラベルが付いています。マネージドクラスターセットのリソース管理方法の詳細は、ManagedClusterSet の作成を参照してください。
`open-cluster-management:subscription-admin`	`open-cluster-management:subscription-admin` ロールが割り当てられたユーザーは、Git サブスクリプションを作成して、リソースを複数の namespace にデプロイできます。リソースは、サブスクライブされた Git リポジトリーの Kubernetes リソース YAML ファイルで指定されます。注記: non-subscription-admin ユーザーがサブスクリプションを作成すると、リソースに指定された namespace に関係なく、すべてのリソースがサブスクリプションの namespace にデプロイされます。詳細は、アプリケーションライフサイクル RBAC セクションを参照してください。
admin、edit、view	admin、edit、および view は OpenShift Container Platform のデフォルトロールです。これらのロールに対して namespace に限定されたバインディングが指定されているユーザーは、特定の namespace 内の `open-cluster-management` リソースにアクセスでき、同じロールに対してクラスター全体のバインディングが指定されている場合は、クラスター全体の全 `open-cluster-management` リソースにアクセスできます。
`open-cluster-management:managedclusterset:bind:<managed_clusterset_name>`	`open-cluster-management:managedclusterset:bind:<managed_clusterset_name>` ロールが割り当てられたユーザーには、`<managed_clusterset_name>` というマネージドクラスターリソースの表示権限が付与されます。ユーザーは `<managed_clusterset_name>` を namespace にバインドできます。また、ユーザーには `managedcluster.cluster.open-cluster-management.io`、`clusterclaim.hive.openshift.io`、`clusterdeployment.hive.openshift.io` および `clusterpool.hive.openshift.io` リソースの表示権限があります。これは、`cluster.open-cluster-management.io/clusterset=<managed_clusterset_name>` のマネージドクラスターセットのラベルが付いています。リソースの管理方法は、ManagedClusterSet の作成を参照してください。

重要:

ユーザーは OpenShift Container Platform からプロジェクトを作成できます。これにより、namespace の管理者ロール権限が付与されます。
ユーザーがクラスターへのロールアクセスを持っていない場合、クラスター名は表示されません。クラスター名は、- の記号で表示される場合があります。

詳細は、ロールベースのアクセス制御の実装を参照してください。

1.2. ロールベースのアクセス制御の実装
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes RBAC は、コンソールレベルと API レベルで検証されます。コンソール内のアクションは、ユーザーのアクセスロールの権限に基づいて有効化/無効化できます。

マルチクラスターエンジン Operator は、Red Hat Advanced Cluster Management の前提条件であり、クラスターライフサイクル機能です。マルチクラスターエンジン Operator を使用してクラスターの RBAC を管理する場合は、Kubernetes オペレーターのクラスターライフサイクルマルチクラスターエンジンのロールベースのアクセス制御ドキュメントの RBAC ガイダンスを使用してください。

Red Hat Advanced Cluster Management の特定のライフサイクルにおける RBAC の詳細は、以下のセクションを参照してください。

アプリケーションライフサイクル RBAC
- アプリケーションライフサイクルのコンソールと API RBAC テーブル
ガバナンスライフサイクル RBAC
- ガバナンスライフサイクルのコンソールと API RBAC テーブル
可観測性の RBAC
- 可観測性ライフサイクルのコンソールと API RBAC テーブル

1.2.1. アプリケーションライフサイクル RBAC
リンクのコピー

アプリケーションの作成時に、subscription namespace が作成され、configuration map が subscription namespace に作成されます。channel namespace へのアクセス権も必要です。サブスクリプションを適用する場合は、サブスクリプションの管理者である必要があります。アプリケーションの管理の詳細は、サブスクリプション管理者としての許可および拒否リストの作成を参照してください。

以下のアプリケーションライフサイクル RBAC 操作を確認してください。

username という名前のユーザーを使用して、すべてのマネージドクラスターでアプリケーションを作成および管理します。クラスターロールバインディングを作成し、username にバインドする必要があります。以下のコマンドを実行します。
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin --user=<username>
```
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin --user=<username>
```
Copy to Clipboard Toggle word wrap
このロールはスーパーユーザーであるため、すべてのリソースとアクションにアクセスできます。このロールを使用して、アプリケーションの namespace および namespace 内のすべてのアプリケーションリソースを作成できます。
複数の namespace にリソースをデプロイするアプリケーションを作成します。open-cluster-management:subscription-admin クラスターロールにバインドするクラスターロールを作成し、username という名前のユーザーにバインドする必要があります。以下のコマンドを実行します。
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
```
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
```
Copy to Clipboard Toggle word wrap
username ユーザーを使用して、cluster-name マネージドクラスター内でアプリケーションを作成および管理します。以下のコマンドを入力して、open-cluster-management:admin:<cluster-name> クラスターロールへのバインドを作成し、username にバインドする必要があります。
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>
```
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>
```
Copy to Clipboard Toggle word wrap
このロールには、マネージドクラスター cluster-name のすべての application リソースに対する読み取りおよび書き込み権限があります。他のマネージドクラスターへのアクセスが必要な場合は、この操作を繰り返します。
以下のコマンドを入力し、admin ロールを使用して application namespace にバインドする namespace ロールを作成し、それを username にバインドします。
```
oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=admin --user=<username>
```
```
oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=admin --user=<username>
```
Copy to Clipboard Toggle word wrap
このロールには、application namespace のすべての application リソースに対する読み取りおよび書き込み権限があります。他のアプリケーションへのアクセスが必要な場合や、アプリケーションが複数の namespace にデプロイされる場合は、これを繰り返します。
リソースを複数の namespace にデプロイするアプリケーションを作成できます。以下のコマンドを入力して、open-cluster-management:subscription-admin クラスターロールへのバインドを作成し、username にバインドします。
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
```
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
```
Copy to Clipboard Toggle word wrap
username という名前のユーザーで cluster-name という名前のマネージドクラスター上のアプリケーションを表示するには、open-cluster-management:view: クラスターロールにバインドするクラスターロールを作成し、username にバインドします。以下のコマンドを実行します。
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
```
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
```
Copy to Clipboard Toggle word wrap
このロールは、マネージドクラスター cluster-name のすべての application リソースに対する読み取り権限があります。他のマネージドクラスターへのアクセスが必要な場合は、この操作を繰り返します。
view ロールを使用して application namespace にバインドする namespace ロールを作成し、それを username にバインドします。以下のコマンドを実行します。
```
oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=view --user=<username>
```
```
oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=view --user=<username>
```
Copy to Clipboard Toggle word wrap
このロールには、application の namespace にあるすべての application リソースに対する読み取り権限があります。他のアプリケーションへのアクセスが必要な場合は、この操作を繰り返します。

1.2.1.1. アプリケーションライフサイクルのコンソールと API RBAC テーブル
リンクのコピー

アプリケーションライフサイクルの以下のコンソールおよび API RBAC の表を表示します。

Expand

表1.2 アプリケーションライフサイクルのコンソール RBAC の表
リソース	管理	編集	表示
アプリケーション	create, read, update, delete	create, read, update, delete	read
チャネル	create, read, update, delete	create, read, update, delete	read
サブスクリプション	create, read, update, delete	create, read, update, delete	read

Expand

表1.3 アプリケーションライフサイクルの API RBAC の表
API	管理	編集	表示
`applications.app.k8s.io`	create, read, update, delete	create, read, update, delete	read
`channels.apps.open-cluster-management.io`	create, read, update, delete	create, read, update, delete	read
`deployables.apps.open-cluster-management.io`	create, read, update, delete	create, read, update, delete	read
`helmreleases.apps.open-cluster-management.io`	create, read, update, delete	create, read, update, delete	read
`placements.apps.open-cluster-management.io`	create, read, update, delete	create, read, update, delete	read
`placementrules.apps.open-cluster-management.io` (非推奨)	create, read, update, delete	create, read, update, delete	read
`subscriptions.apps.open-cluster-management.io`	create, read, update, delete	create, read, update, delete	read
`configmaps`	create, read, update, delete	create, read, update, delete	read
`secrets`	create, read, update, delete	create, read, update, delete	read
`namespace`	create, read, update, delete	create, read, update, delete	read

1.2.2. ガバナンスライフサイクル RBAC
リンクのコピー

ガバナンスライフサイクル操作を実行するには、ポリシーが作成される namespace、およびポリシーが適用されるマネージドクラスターへのアクセス権が必要です。マネージドクラスターは、namespace にバインドされる ManagedClusterSet の一部でもある必要があります。ManagedClusterSet の詳細は、ManagedClusterSets の概要を参照してください。

1 つ以上の ManagedClusterSets がバインドされた rhacm-policies などの namespace を選択し、namespace 内に Placement オブジェクトを作成するためのアクセス権を取得したら、次の操作を表示します。

Policy、PlacementBinding、および PolicyAutomation の編集アクセス権を指定して rhacm-edit-policy という名前の ClusterRole を作成するには、次のコマンドを実行します。

oc create clusterrole rhacm-edit-policy --resource=policies.policy.open-cluster-management.io,placementbindings.policy.open-cluster-management.io,policyautomations.policy.open-cluster-management.io,policysets.policy.open-cluster-management.io --verb=create,delete,get,list,patch,update,watch

oc create clusterrole rhacm-edit-policy --resource=policies.policy.open-cluster-management.io,placementbindings.policy.open-cluster-management.io,policyautomations.policy.open-cluster-management.io,policysets.policy.open-cluster-management.io --verb=create,delete,get,list,patch,update,watch

Copy to Clipboard

Toggle word wrap

rhacm-policies namespace にポリシーを作成するには、以前に作成した ClusterRole を使用して、rhacm-policies namespace に rhacm-edit-policy などの namespace RoleBinding を作成します。以下のコマンドを実行します。
```
oc create rolebinding rhacm-edit-policy -n rhacm-policies --clusterrole=rhacm-edit-policy --user=<username>
```
```
oc create rolebinding rhacm-edit-policy -n rhacm-policies --clusterrole=rhacm-edit-policy --user=<username>
```
Copy to Clipboard Toggle word wrap
マネージドクラスターのポリシーステータスを表示するには、ハブクラスターのマネージドクラスターの namespace でポリシーを表示するパーミッションが必要です。OpenShift view ClusterRole などの view アクセス権がない場合は、次のコマンドを使用して、ポリシーへの表示アクセス権を持つ ClusterRole (rhacm-view-policy など) を作成します。
```
oc create clusterrole rhacm-view-policy --resource=policies.policy.open-cluster-management.io --verb=get,list,watch
```
```
oc create clusterrole rhacm-view-policy --resource=policies.policy.open-cluster-management.io --verb=get,list,watch
```
Copy to Clipboard Toggle word wrap
新しい ClusterRole をマネージドクラスターの namespace にバインドするには、次のコマンドを実行して namespace RoleBinding を作成します。
```
oc create rolebinding rhacm-view-policy -n <cluster name> --clusterrole=rhacm-view-policy --user=<username>
```
```
oc create rolebinding rhacm-view-policy -n <cluster name> --clusterrole=rhacm-view-policy --user=<username>
```
Copy to Clipboard Toggle word wrap

1.2.2.1. ガバナンスライフサイクルのコンソールと API RBAC テーブル
リンクのコピー

以下は、ガバナンスライフサイクルのコンソールおよび API RBAC の表です。

Expand

表1.4 ガバナンスライフサイクルのコンソール RBAC の表
リソース	管理	編集	表示
ポリシー	create, read, update, delete	read, update	read
PlacementBindings	create, read, update, delete	read, update	read
Placements	create, read, update, delete	read, update	read
PlacementRules (非推奨)	create, read, update, delete	read, update	read
PolicyAutomations	create, read, update, delete	read, update	read

Expand

表1.5 ガバナンスライフサイクルの API RBAC の表
API	管理	編集	表示
`policies.policy.open-cluster-management.io`	create, read, update, delete	read, update	read
`placementbindings.policy.open-cluster-management.io`	create, read, update, delete	read, update	read
`policyautomations.policy.open-cluster-management.io`	create, read, update, delete	read, update	read

1.2.3. 可観測性の RBAC
リンクのコピー

マネージドクラスターの可観測性メトリクスを表示するには、ハブクラスター上のそのマネージドクラスターに対する view 権限が必要です。以下の可観測性機能のリストを参照してください。

マネージドクラスターのメトリクスへのアクセス
ユーザーがハブクラスター上のマネージドクラスターの view ロールに割り当てられていない場合、ユーザーによるマネージドクラスターメトリクスへのアクセスは拒否されます。次のコマンドを実行して、マネージドクラスターの namespace で managedClusterView ロールの作成権限がユーザーにあるかを確認します。
```
oc auth can-i create ManagedClusterView -n <managedClusterName> --as=<user>
```
```
oc auth can-i create ManagedClusterView -n <managedClusterName> --as=<user>
```
Copy to Clipboard Toggle word wrap
クラスター管理者として、マネージドクラスターの namespace に managedClusterView ロールを作成します。以下のコマンドを実行します。
```
oc create role create-managedclusterview --verb=create --resource=managedclusterviews -n <managedClusterName>
```
```
oc create role create-managedclusterview --verb=create --resource=managedclusterviews -n <managedClusterName>
```
Copy to Clipboard Toggle word wrap
次に、ロールバインドを作成してロールをユーザーに適用し、バインドします。以下のコマンドを実行します。
```
oc create rolebinding user-create-managedclusterview-binding --role=create-managedclusterview --user=<user>  -n <managedClusterName>
```
```
oc create rolebinding user-create-managedclusterview-binding --role=create-managedclusterview --user=<user>  -n <managedClusterName>
```
Copy to Clipboard Toggle word wrap
リソースの検索
ユーザーがリソースタイプにアクセスできるか確認するには、次のコマンドを使用します。
```
oc auth can-i list <resource-type> -n <namespace> --as=<rbac-user>
```
```
oc auth can-i list <resource-type> -n <namespace> --as=<rbac-user>
```
Copy to Clipboard Toggle word wrap
注記: <resource-type> は複数形にする必要があります。

Grafana で可観測性データを表示するには、マネージドクラスターの同じ namespace に RoleBinding リソースが必要です。

以下は RoleBinding の例です。

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: <replace-with-name-of-rolebinding>
 namespace: <replace-with-name-of-managedcluster-namespace>
subjects:
 - kind: <replace with User|Group|ServiceAccount>
   apiGroup: rbac.authorization.k8s.io
   name: <replace with name of User|Group|ServiceAccount>
roleRef:
 apiGroup: rbac.authorization.k8s.io
 kind: ClusterRole
 name: view

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: <replace-with-name-of-rolebinding>
 namespace: <replace-with-name-of-managedcluster-namespace>
subjects:
 - kind: <replace with User|Group|ServiceAccount>
   apiGroup: rbac.authorization.k8s.io
   name: <replace with name of User|Group|ServiceAccount>
roleRef:
 apiGroup: rbac.authorization.k8s.io
 kind: ClusterRole
 name: view

Copy to Clipboard

Toggle word wrap

詳細は、ロールバインディングポリシーを参照してください。可観測性を設定するには、可観測性の詳細設定を参照してください。

1.2.3.1. 可観測性ライフサイクルのコンソールと API RBAC テーブル
リンクのコピー

可観測性のコンポーネントを管理する場合は、以下の API RBAC の表を確認してください。

Expand

表1.6 可観測性の API RBAC の表
API	管理	編集	表示
`multiclusterobservabilities.observability.open-cluster-management.io`	create, read, update, delete	read, update	read
`searchcustomizations.search.open-cluster-management.io`	create, get, list, watch, update, delete, patch	-	-
`policyreports.wgpolicyk8s.io`	get, list, watch	get, list, watch	get, list, watch

1.3. コンソールを使用したきめ細かなロールベースのアクセス制御の実装 (テクノロジープレビュー)
リンクのコピー

テクノロジープレビュー: Red Hat Advanced Cluster Management for Kubernetes は、きめ細かなロールベースアクセス制御 (RBAC) をサポートします。クラスター管理者は、ClusterPermission リソースを使用して権限を管理および制御できます。このリソースは、マネージドクラスターの namespace レベルとクラスターレベルの権限を制御します。マネージドクラスター全体に権限を付与せずに、クラスター内の仮想マシン namespace に権限を付与します。

コンソールからきめ細かなロールベースのアクセス制御 (RBAC) と ClusterPermission リソースを設定する方法を学習します。

必要なアクセス権: クラスター管理者

OpenShift Container Platform のデフォルトおよび仮想化のロールと権限の詳細は、OpenShift Container Platform ドキュメントの認可を参照してください。

Red Hat Advanced Cluster Management のロールベースアクセスの詳細は、ロールベースアクセス制御の実装を参照してください。

前提条件

きめ細かなロールベースのアクセス制御の使用を開始するには、次の要件を参照してください。

アクセス制御に使用される仮想マシンを表すことができるマネージドクラスター namespace のリストを取得するには、検索 用の MultiClusterHub カスタムリソース spec.overrides.components を enabled にする必要があります。
仮想マシンが必要です。

1.3.1. コンソールでのきめ細かなロールベースのアクセス制御の割り当て
リンクのコピー

きめ細かなロールベースのアクセス制御を使用して、仮想マシンを管理するユーザーを割り当てることができます。ユーザーロールのアクセスが許可されていない場合、コンソールでのアクションは無効になります。YAML オプションをオンにすると、入力したデータが YAML エディターに表示されるようになります。

デフォルトのロールの拡張である、OpenShift Virtualization の次のロールへのアクセスを許可できます。

kubevirt.io:view: リソースのみを表示する
kubevirt.io:edit: リソースを変更する
kubevirt.io:admin: リソースを表示、変更、削除する、およびリソースの権限を付与する

重要: 管理者は、有効な ClusterPermission リソースに対して RoleBinding または ClusterRoleBinding リソースのいずれかを追加する必要があります。両方のリソースを追加することもできます。

MultiClusterHub カスタムリソースに移動してリソースを編集し、機能を有効にします。
1. local-cluster ビューから、Operators > Installed Operators > Advanced Cluster Management for Kubernetes をクリックします。
2. リソースを編集するには、MultiClusterHub タブをクリックします。
3. YAML オプションをオンにすると、YAML エディターでデータが表示されます。
4. MultiClusterHub カスタムリソースの spec.overrides.components フィールドで、fine-grained-rbac-preview を true に設定して機能を有効にします。YAML エディターで configOverrides 仕様を enabled: true に変更し、変更を保存します。fine-grained-rbac-preview を有効にした次の例を参照してください。

    - configOverrides: {}
      enabled: true
      name: fine-grained-rbac-preview

    - configOverrides: {}
      enabled: true
      name: fine-grained-rbac-preview

Copy to Clipboard

Toggle word wrap

local-cluster に environment=virtualization ラベルを付けます。
1. From the All Clusters ビューから Infrastructure > Clusters > をクリックします。
2. local-cluster を見つけて、Actions をクリックして編集します。
3. environment=virtualization ラベルを追加し、変更を保存します。以下の例を参照してください。
```
environment=virtualization
```
```
environment=virtualization
```
Copy to Clipboard Toggle word wrap
remediationAction の policy-virt-clusterroles 値を enforce に変更します。これにより、kubevirt clusterroles がハブクラスターに追加されます。
1. Governance > Policies をクリックします。
2. policy-virt-clusterroles ポリシーを見つけて、Actions をクリックし、remediationAction の値を enforce に変更します。重要: ポリシーには 2 つの remediationAction 指定がありますが、変更する必要があるのは後の remediationAction のみです。これは、YAML ファイルの最初のテンプレートには適用されません。以下のサンプルを参照してください。
  remediationAction: enforce
  Copy to Clipboard Toggle word wrap
3. YAML オプションをオンにして、YAML エディターでデータを表示し、変更を保存します。以下の YAML 例を参照してください。

ClusterRole リソースを作成し、ファイルに名前を付けます。

local-cluster ビューから、User Management > Roles > Create Role をクリックします。
次の ClusterRole リソース情報を YAML エディターに追加します。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: <cluster-role-name> 
rules:
  - apiGroups: ["clusterview.open-cluster-management.io"]
    resources: ["kubevirtprojects"]
    verbs: ["list"]
  - apiGroups: ["clusterview.open-cluster-management.io"]
    resources: ["managedclusters"]
    verbs: ["list","get","watch"]
  - apiGroups: ["cluster.open-cluster-management.io"]
    resources: ["managedclusters"]
    verbs: ["get"]
    resourceNames: ["<cluster-name-01>", "<cluster-name-02>", "<cluster-name-03>"]

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: <cluster-role-name>


rules:
  - apiGroups: ["clusterview.open-cluster-management.io"]
    resources: ["kubevirtprojects"]
    verbs: ["list"]
  - apiGroups: ["clusterview.open-cluster-management.io"]
    resources: ["managedclusters"]
    verbs: ["list","get","watch"]
  - apiGroups: ["cluster.open-cluster-management.io"]
    resources: ["managedclusters"]
    verbs: ["get"]
    resourceNames: ["<cluster-name-01>", "<cluster-name-02>", "<cluster-name-03>"]

Copy to Clipboard

Toggle word wrap

1: 別の名前を使用することもできますが、ClusterRoleBinding リソースを作成するときはその名前を引き続き使用する必要があります。
2: ユーザーまたはグループがアクセスできるようにするマネージドクラスターの名前を追加します。それぞれの名前は一意である必要があります。

ClusterRoleBinding リソースを作成します。
1. local-cluster ビューから、User Management > RoleBindings > Create bindings をクリックします。
2. Binding type として Cluster-wide role binding を選択します。
3. 前に選択した <cluster-role-name> である ClusterRole の名前と一致する RoleBinding 名を追加します。
4. 一致するロール名を追加します。
5. Subject で User または Group を選択し、User または Group の名前を入力して、変更を保存します。
namespace レベルで権限を付与するための ClusterPermission リソースを作成します。
1. Access control > Create permission をクリックします。
2. Basic information ウィンドウで、クラスター名と権限が付与されるユーザーまたはグループを追加します。
3. その権限のクラスターを選択します。
namespace レベルで権限を設定する Role bindings 情報を追加します。
1. クラスターに仮想マシンの namespace を追加します。
2. ユーザーまたはグループを追加します。
3. ロールベースで詳細にわたりアクセスを制御できるように、kubevirt.io:view などのロールを追加します。RoleBindings の組み合わせを選択できます。
同じ情報を持つ ClusterRoleBinding リソースを追加して、クラスターレベルで権限を設定します。

次の例に示すように、確認して Create permission をクリックし、ClusterPermission リソースを作成します。

apiVersion: rbac.open-cluster-management.io/v1alpha1
kind: ClusterPermission
metadata:
  name: <cluster-premission-name> 
  namespace: <cluster-name-01> 
spec:
  roleBindings:
    - name: <role-binding-name> 
      namespace: <your-namespace> 
      roleRef:
        name: kubevirt.io:admin
        apiGroup: rbac.authorization.k8s.io
        kind: ClusterRole
      subjects:
        - kind: User 
          apiGroup: rbac.authorization.k8s.io
          name: <user-name>

apiVersion: rbac.open-cluster-management.io/v1alpha1
kind: ClusterPermission
metadata:
  name: <cluster-premission-name>


  namespace: <cluster-name-01>


spec:
  roleBindings:
    - name: <role-binding-name>


      namespace: <your-namespace>


      roleRef:
        name: kubevirt.io:admin
        apiGroup: rbac.authorization.k8s.io
        kind: ClusterRole
      subjects:
        - kind: User


          apiGroup: rbac.authorization.k8s.io
          name: <user-name>

Copy to Clipboard

Toggle word wrap

1: 権限の名前を指定します。
2: 権限の namespace でもある クラスター 名を追加します。
3: ユーザーまたはグループにロールを割り当てる <role-binding-name> の名前を指定します。
4: ユーザーまたはグループにアクセスを許可するマネージドクラスター内の namespace を指定します。
5: User を選択するか、Group を選択します。
6: ユーザー名またはグループ 名 を指定します。

コンソールで Ready ステータスを確認します。
Edit permission をクリックすると、Role bindings と Cluster role binding を編集できます。
オプション: GitOps またはターミナルのリソースを使用するには、Export YAML をクリックします。
準備ができたら、ClusterPermissions リソースを削除できます。
オプション:可観測性 サービスが有効になっている場合は、ユーザーが Grafana で仮想マシンの詳細を表示できるように、ハブクラスターに追加の RoleBinding リソースを作成します。
1. local-cluster ビューから、User Management > RoleBindings > RoleBindings をクリックします。
2. Binding type として Namespace role binding を選択します。
3. ユーザーまたはグループにロールを割り当てる RoleBindings の名前を指定します。
4. ハブクラスター上の namespace でもある クラスター 名を追加します。
5. Role name の view を選択します。
6. Subject で User または Group を選択し、ユーザー名またはグループ名を入力して、変更を保存します。

1.4. ターミナルでのきめ細かなロールベースのアクセス制御の実装 (テクノロジープレビュー)
リンクのコピー

ターミナルからきめ細かなロールベースのアクセス制御 (RBAC) と ClusterPermission リソースを設定する方法を学習します。

必要なアクセス権: クラスター管理者

OpenShift Container Platform のデフォルトおよび仮想化のロールと権限の詳細は、OpenShift Container Platform ドキュメントの認可を参照してください。

Red Hat Advanced Cluster Management のロールベースアクセスの詳細は、ロールベースアクセス制御の実装を参照してください。

前提条件

きめ細かなロールベースのアクセス制御の使用を開始するには、次の要件を参照してください。

アクセス制御に使用される仮想マシンを表すことができるマネージドクラスター namespace のリストを取得するには、検索 用の MultiClusterHub カスタムリソース spec.overrides.components を enabled にする必要があります。
仮想マシンが必要です。

1.4.1. ターミナルでのきめ細かなロールベースのアクセス制御の割り当て
リンクのコピー

デフォルトのロールの拡張である、OpenShift Virtualization の次のロールへのアクセスを許可できます。

kubevirt.io:view: リソースのみを表示する
kubevirt.io:edit: リソースを変更する
kubevirt.io:admin: リソースを表示、変更、削除する、およびリソースの権限を付与する

以下の手順を実行します。

MultiClusterHub リソースで fine-grained-rbac-preview を有効にします。
1. 以下のコマンドを実行します。
  oc edit mch -n open-cluster-management multiclusterhub
  Copy to Clipboard Toggle word wrap
2. configOverrides の仕様を enabled: false から enabled: true に変更します。この機能を有効にした次の例を参照してください。
  - configOverrides: {} enabled: true name: fine-grained-rbac-preview
  Copy to Clipboard Toggle word wrap
注記: open-cluster-management namespace を使用しない場合は oc get mch -A を実行して、MultiClusterHub リソースの名前と namespace を取得します。
local-cluster に environment=virtualization ラベルを付けます。以下のコマンドを実行します。
```
oc label managedclusters local-cluster environment=virtualization
```
```
oc label managedclusters local-cluster environment=virtualization
```
Copy to Clipboard Toggle word wrap
policy-virt-clusterroles を enforce に変更します。これにより、kubevirt clusterroles がハブクラスターに追加されます。
1. ポリシーを編集するには、次のコマンドを実行します。
  oc edit policy -n open-cluster-management-global-set policy-virt-clusterroles
  Copy to Clipboard Toggle word wrap
2. remediationAction の値を inform から enforce に編集します。重要: ポリシーには 2 つの remediationAction 指定がありますが、変更する必要があるのは後の remediationAction のみです。これは、YAML ファイルの最初のテンプレートには適用されません。以下のサンプルを参照してください。
```
  remediationAction: enforce
```
```
  remediationAction: enforce
```
Copy to Clipboard Toggle word wrap

次の YAML ファイルを作成し、ファイルに名前を付けます。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: <cluster-role-name> 
rules:
  - apiGroups: ["clusterview.open-cluster-management.io"]
    resources: ["kubevirtprojects"]
    verbs: ["list"]
  - apiGroups: ["clusterview.open-cluster-management.io"]
    resources: ["managedclusters"]
    verbs: ["list","get","watch"]
  - apiGroups: ["cluster.open-cluster-management.io"]
    resources: ["managedclusters"]
    verbs: ["get"]
    resourceNames: ["<cluster-name-01>", "<cluster-name-02>", "<cluster-name-03>"] 
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: <role-binding-name> 
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: <cluster-role-name> 
subjects:
  - kind: User 
    apiGroup: rbac.authorization.k8s.io
    name: <user-name>

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: <cluster-role-name>


rules:
  - apiGroups: ["clusterview.open-cluster-management.io"]
    resources: ["kubevirtprojects"]
    verbs: ["list"]
  - apiGroups: ["clusterview.open-cluster-management.io"]
    resources: ["managedclusters"]
    verbs: ["list","get","watch"]
  - apiGroups: ["cluster.open-cluster-management.io"]
    resources: ["managedclusters"]
    verbs: ["get"]
    resourceNames: ["<cluster-name-01>", "<cluster-name-02>", "<cluster-name-03>"]


---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: <role-binding-name>


roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: <cluster-role-name>


subjects:
  - kind: User


    apiGroup: rbac.authorization.k8s.io
    name: <user-name>

Copy to Clipboard

Toggle word wrap

1: 任意の名前を使用できますが、その名前を引き続き使用する必要があります。
2: ユーザーまたはグループがアクセスできるようにするマネージドクラスターの名前を追加します。それぞれの名前は一意である必要があります。
3: ユーザーまたはグループにロールを割り当てる RoleBindings の名前を指定します。
4: 名前が ClusterRole 名と一致していることを確認します。
5: ユーザーまたはグループを選択します。
6: ユーザー名またはグループ名を指定します。

ClusterRole リソースを適用します。次のコマンドを実行し、プロセスの前の段階でファイル名を変更した場合にのみファイル名を変更します。
```
oc apply -f <filename>.yml
```
```
oc apply -f <filename>.yml
```
Copy to Clipboard Toggle word wrap
ClusterPermission リソースの YAML ファイルを作成し、ファイルに名前を付けます。

クラスター名、マネージドクラスター namespace、およびユーザーまたはグループ名を指定して、ClusterPermission リソースからきめ細かなロールベースのアクセスを割り当てます。

apiVersion: rbac.open-cluster-management.io/v1alpha1
kind: ClusterPermission
metadata:
  name: <cluster-premission-name> 
  namespace: <cluster-name-01> 
spec:
  roleBindings:
    - name: <role-binding-name> 
      namespace: <your-namespace> 
      roleRef:
        name: kubevirt.io:admin
        apiGroup: rbac.authorization.k8s.io
        kind: ClusterRole
      subjects:
        - kind: User 
          apiGroup: rbac.authorization.k8s.io
          name: <user-name>

apiVersion: rbac.open-cluster-management.io/v1alpha1
kind: ClusterPermission
metadata:
  name: <cluster-premission-name>


  namespace: <cluster-name-01>


spec:
  roleBindings:
    - name: <role-binding-name>


      namespace: <your-namespace>


      roleRef:
        name: kubevirt.io:admin
        apiGroup: rbac.authorization.k8s.io
        kind: ClusterRole
      subjects:
        - kind: User


          apiGroup: rbac.authorization.k8s.io
          name: <user-name>

Copy to Clipboard

Toggle word wrap

1: 権限の名前を指定します。
2: 権限の namespace でもある クラスター 名を追加します。
3: ユーザーまたはグループにロールを割り当てる RoleBindings の名前を指定します。
4: ユーザーまたはグループにアクセスを許可するマネージドクラスター内の namespace を指定します。
5: User を選択するか、Group を選択します。
6: ユーザー名またはグループ 名 を指定します。

次のコマンドを実行してファイルを適用し、以前に名前を変更した場合はファイルの名前を変更します。
```
oc apply -f <filename>.yml
```
```
oc apply -f <filename>.yml
```
Copy to Clipboard Toggle word wrap
オプション: observability が有効になっている場合は、ユーザーが Grafana で仮想マシンの詳細を表示できるように、ハブクラスターに追加の RoleBinding を作成します。
1. Grafana アクセス用の RoleBinding リソースを作成します。次のサンプル YAML ファイルを参照してください。
  kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: <role-binding-name>
  1
  namespace: <cluster-name-01>
  2
  subjects: - kind: User
  3
  apiGroup: rbac.authorization.k8s.io name: <user-name>
  4
  roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: view
  Copy to Clipboard Toggle word wrap
  1
  ユーザーまたはグループにロールを割り当てる <role-binding-name> の名前を指定します。
  2
  ハブクラスター上の namespace でもある クラスター 名を追加します。
  3
  User を選択するか、Group を選択します。
  4
  ユーザー名またはグループ 名 を選択します。
2. 次のコマンドで ClusterRoleBinding リソースを適用します。
```
oc apply -f <filename>.yml
```
```
oc apply -f <filename>.yml
```
Copy to Clipboard Toggle word wrap

1.5. 証明書
リンクのコピー

Red Hat Advanced Cluster Management 上で実行されるサービスに必要な証明書は、すべて Red Hat Advanced Cluster Management をインストールするときに作成されます。以下の証明書のリストを確認してください。これらの証明書は、Red Hat OpenShift Container Platform の以下のコンポーネントによって作成および管理されます。

OpenShift Service Serving Certificates
Red Hat Advanced Cluster Management Webhook コントローラー
Kubernetes Certificates API
OpenShift デフォルト Ingress

必要なアクセス権限: クラスターの管理者

証明書の管理に関する詳細は、以下を参照してください。

Red Hat Advanced Cluster Management ハブクラスター証明書
Red Hat Advanced Cluster Management マネージド証明書

注記: ユーザーは証明書のローテーションおよび更新を行います。

1.5.1. Red Hat Advanced Cluster Management ハブクラスター証明書
リンクのコピー

OpenShift Container Platform のデフォルトの Ingress 証明書は、ハブクラスター証明書の一種です。Red Hat Advanced Cluster Management のインストール後、可観測性証明書が作成されます。この証明書は、ハブクラスターとマネージドクラスターの間のトラフィックに相互 TLS を提供するために、可観測性コンポーネントによって使用されます。可観測性関連の namespace にアクセスして、ニーズに応じてそれぞれの可観測性証明書を取得および実装してください。

open-cluster-management-observability namespace には次の証明書があります。
- observability-server-ca-certs: サーバー側の証明書に署名する CA 証明書が含まれます。
- observability-client-ca-certs: クライアント側の証明書に署名する CA 証明書が含まれます。
- observability-server-certs: observability-observatorium-api デプロイメントで使用されるサーバー証明書が含まれます。
- observability-grafana-certs: observability-rbac-query-proxy デプロイメントで使用されるクライアント証明書が含まれます。
マネージドクラスター上の open-cluster-management-addon-observability namespace には、次の証明書があります。
- observability-managed-cluster-certs: ハブサーバーの observability-server-ca-certs と同じサーバー CA 証明書が含まれます。
- observability-controller-open-cluster-management.io-observability-signer-client-cert: metrics-collector-deployment が使用するクライアント証明書が含まれます。

CA 証明書は 5 年間、他の証明書は 1 年間有効です。可観測性の証明書はすべて、期限が切れると自動的に更新されます。以下のリストを表示し、証明書が自動更新される場合の影響を確認します。

CA 以外の証明書は、有効期間の残りが 73 日以下になると自動的に更新されます。証明書が更新されると、更新された証明書を使用するように関連するデプロイメントの Pod は自動的に再起動されます。
CA 証明書は、有効期間の残りが 1 年間未満になると自動的に更新されます。証明書を更新したら、古い CA は削除されませんが、更新された CA と共存します。以前の証明書と更新された証明書はいずれも関連するデプロイメントで使用され、引き続き機能します。以前 CA 証明書は有効期限が切れると削除されます。
証明書の更新時には、ハブクラスターとマネージドクラスターの間のトラフィックは中断されません。

次の Red Hat Advanced Cluster Management ハブクラスター証明書テーブルを表示します。

Expand

表1.7 Red Hat Advanced Cluster Management ハブクラスター証明書
namespace	シークレット名	Pod ラベル
open-cluster-management	channels-apps-open-cluster-management-webhook-svc-ca	app=multicluster-operators-channel	open-cluster-management
channels-apps-open-cluster-management-webhook-svc-signed-ca	app=multicluster-operators-channel	open-cluster-management	multicluster-operators-application-svc-ca
app=multicluster-operators-application	open-cluster-management	multicluster-operators-application-svc-signed-ca	app=multicluster-operators-application
open-cluster-management-hub	registration-webhook-serving-cert signer-secret	不要	open-cluster-management-hub

1.5.2. Red Hat Advanced Cluster Management マネージド証明書
リンクのコピー

Red Hat Advanced Cluster Management で管理される証明書と関連するシークレットを含むコンポーネント Pod の要約リストは、次の表を参照してください。

Expand

表1.8 Red Hat Advanced Cluster Management で管理される証明書を含む Pod
namespace	シークレット名 (該当する場合)
open-cluster-management-agent-addon	cluster-proxy-open-cluster-management.io-proxy-agent-signer-client-cert
open-cluster-management-agent-addon	cluster-proxy-service-proxy-server-certificates

これらの Red Hat Advanced Cluster Management マネージド証明書を使用して、ハブクラスター内のマネージドクラスターを認証します。これらのマネージドクラスター証明書は自動的に管理および更新されます。ハブクラスター API サーバー証明書をカスタマイズすると、マネージドクラスターは証明書を自動的に更新します。

1.5.3. 関連情報
リンクのコピー

自動的に再接続されないマネージドハブクラスターを再接続する場合は、証明書の変更後にインポートされたクラスターがオフラインになる場合のトラブルシューティングを参照してください。
証明書ポリシーコントローラーを使用して、マネージドクラスターで証明書ポリシーを作成して管理します。詳細は、証明書ポリシーコントローラーを参照してください。
SSL/TLS 証明書を使用してプライベートでホストされている Git サーバーにセキュアに接続する方法の詳細は、セキュアな HTTPS 接続でのカスタム CA 証明書の使用を参照してください。
詳細は、OpenShift のサービス提供証明書を参照してください。
OpenShift Container Platform のデフォルトの Ingress はハブクラスター証明書です。詳細は、デフォルトの Ingress 証明書の置き換えを参照してください。

1.6. 証明書の管理
リンクのコピー

証明書を更新、置換、ローテーション、およびリストする方法は、以下を参照してください。

Red Hat Advanced Cluster Management Webhook 証明書の更新
Alertmanager ルートの証明書の置き換え
Gatekeeper Webhook 証明書のローテーション
証明書のローテーションの確認
ハブクラスターで管理される証明書のリスト表示

1.6.1. Red Hat Advanced Cluster Management Webhook 証明書の更新
リンクのコピー

Red Hat Advanced Cluster Management で管理される証明書を更新できます。これは、Red Hat Advanced Cluster Management サービスが作成および管理する証明書です。

Red Hat Advanced Cluster Management 管理する証明書を更新するには、以下の手順を実行します。

が次のコマンドを実行して、Red Hat Advanced Cluster Management が管理する証明書に関連付けられたシークレットを削除します。
```
oc delete secret -n <namespace> <secret> 
```
```
oc delete secret -n <namespace> <secret> 
```
1
Copy to Clipboard Toggle word wrap
1
<namespace> と <secret> を使用する値に置き換えます。
次のコマンドを実行して、Red Hat Advanced Cluster Management のマネージド証明書に関連付けられたサービスを再起動します。
```
oc delete pod -n <namespace> -l <pod-label> 
```
```
oc delete pod -n <namespace> -l <pod-label> 
```
1
Copy to Clipboard Toggle word wrap
1
<namespace> と <pod-label> を Red Hat Advanced Cluster Management のマネージドクラスター証明書 テーブルの値に置き換えます。
注: pod-label が指定されていないと、再起動が必要なサービスはありません。シークレットは自動的に再作成され、使用されます。

1.6.2. alertmanager ルートの証明書の置き換え
リンクのコピー

OpenShift Container Platform のデフォルトの Ingress 証明書を使用しない場合は、Alertmanager ルートを更新して、alertmanager の可観測性証明書を置き換えます。以下の手順を実行します。

以下のコマンドで可観測性証明書を検査します。
```
openssl x509  -noout -text -in ./observability.crt
```
```
openssl x509  -noout -text -in ./observability.crt
```
Copy to Clipboard Toggle word wrap
証明書のコモンネーム (CN) を alertmanager に変更します。
csr.cnf 設定ファイル内の SAN を、alertmanager ルートのホスト名に変更します。

次に open-cluster-management-observability namespace で以下の 2 つのシークレットを作成します。以下のコマンドを実行します。

oc -n open-cluster-management-observability create secret tls alertmanager-byo-ca --cert ./ca.crt --key ./ca.key

oc -n open-cluster-management-observability create secret tls alertmanager-byo-cert --cert ./ingress.crt --key ./ingress.key

oc -n open-cluster-management-observability create secret tls alertmanager-byo-ca --cert ./ca.crt --key ./ca.key

oc -n open-cluster-management-observability create secret tls alertmanager-byo-cert --cert ./ingress.crt --key ./ingress.key

Copy to Clipboard

Toggle word wrap

1.6.3. gatekeeper Webhook 証明書のローテーション
リンクのコピー

gatekeeper Webhook 証明書をローテーションするには、次の手順を実行します。

次のコマンドを使用して、証明書が含まれるシークレットを編集します。

oc edit secret -n openshift-gatekeeper-system gatekeeper-webhook-server-cert

oc edit secret -n openshift-gatekeeper-system gatekeeper-webhook-server-cert

Copy to Clipboard

Toggle word wrap

data セクションの ca.crt、ca.key、tls.crt、および tls.key の内容を削除します。
次のコマンドで gatekeeper-controller-manager Pod を削除して、gatekeeper Webhook サービスを再起動します。
```
oc delete pod -n openshift-gatekeeper-system -l control-plane=controller-manager
```
```
oc delete pod -n openshift-gatekeeper-system -l control-plane=controller-manager
```
Copy to Clipboard Toggle word wrap

gatekeeper Webhook 証明書がローテーションされます。

1.6.4. 証明書のローテーションの確認
リンクのコピー

次の手順を使用して、証明書がローテーションされていることを確認します。

確認したいシークレットを特定します。
tls.crt キーをチェックして、証明書が使用可能であることを確認します。
次のコマンドを使用して証明書情報を表示します。
```
oc get secret <your-secret-name> -n open-cluster-management -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -text -noout
```
```
oc get secret <your-secret-name> -n open-cluster-management -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -text -noout
```
Copy to Clipboard Toggle word wrap
<your-secret-name> は、検証するシークレットの名前に置き換えます。必要に応じて、namespace と JSON パスも更新します。
出力で Validity の詳細を確認します。次の Validity の例を参照してください。
```
Validity
            Not Before: Jul 13 15:17:50 2023 GMT 
            Not After : Jul 12 15:17:50 2024 GMT 
```
```
Validity
            Not Before: Jul 13 15:17:50 2023 GMT 
```
1
```
            Not After : Jul 12 15:17:50 2024 GMT 
```
2
Copy to Clipboard Toggle word wrap
1
Not Before の値は、証明書をローテーションした日時です。
2
Not After 値は、証明書の有効期限を表します。

1.6.5. ハブクラスターで管理される証明書のリスト表示
リンクのコピー

OpenShift Service Serving Certificates サービスを内部で使用するハブクラスターの管理対象証明書の一覧を表示できます。以下のコマンドを実行して証明書一覧を表示します。

for ns in multicluster-engine open-cluster-management ; do echo "$ns:" ; oc get secret -n $ns -o custom-columns=Name:.metadata.name,Expiration:.metadata.annotations.service\\.beta\\.openshift\\.io/expiry | grep -v '<none>' ; echo ""; done

for ns in multicluster-engine open-cluster-management ; do echo "$ns:" ; oc get secret -n $ns -o custom-columns=Name:.metadata.name,Expiration:.metadata.annotations.service\\.beta\\.openshift\\.io/expiry | grep -v '<none>' ; echo ""; done

Copy to Clipboard

Toggle word wrap

詳細は、Additional resources セクションの OpenShift Service Serving Certificates を参照してください。

注記: 可観測性が有効な場合は、証明書が作成される追加の namespace があります。

1.6.6. 関連情報
リンクのコピー

サービス提供証明書のシークレットによるサービストラフィックのセキュリティー保護を参照してください。

1.7. 独自の可観測性認証局 (CA) 証明書の導入
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes をインストールすると、可観測性のための認証局 (CA) 証明書のみがデフォルトで提供されます。Red Hat Advanced Cluster Management によって生成されたデフォルトの可観測性 CA 証明書を使用しない場合は、可観測性を有効にする前に独自の可観測性 CA 証明書を使用することを選択できます。

1.7.1. OpenSSL コマンドを使用した CA 証明書の生成
リンクのコピー

可観測性には、サーバー側、クライアント側の 2 つの CA 証明書が必要です。

以下のコマンドを使用して、CA RSA 秘密鍵を生成します。

openssl genrsa -out serverCAKey.pem 2048
openssl genrsa -out clientCAKey.pem 2048

openssl genrsa -out serverCAKey.pem 2048
openssl genrsa -out clientCAKey.pem 2048

Copy to Clipboard

Toggle word wrap

秘密鍵を使用して自己署名 CA 証明書を生成します。以下のコマンドを実行します。

openssl req -x509 -sha256 -new -nodes -key serverCAKey.pem -days 1825 -out serverCACert.pem
openssl req -x509 -sha256 -new -nodes -key clientCAKey.pem -days 1825 -out clientCACert.pem

openssl req -x509 -sha256 -new -nodes -key serverCAKey.pem -days 1825 -out serverCACert.pem
openssl req -x509 -sha256 -new -nodes -key clientCAKey.pem -days 1825 -out clientCACert.pem

Copy to Clipboard

Toggle word wrap

1.7.2. 独自の可観測性 CA 証明書に関連付けられたシークレットの作成
リンクのコピー

シークレットを作成するには、以下の手順を実行します。

証明書および秘密鍵を使用して observability-server-ca-certs シークレットを作成します。以下のコマンドを実行します。

oc -n open-cluster-management-observability create secret tls observability-server-ca-certs --cert ./serverCACert.pem --key ./serverCAKey.pem

oc -n open-cluster-management-observability create secret tls observability-server-ca-certs --cert ./serverCACert.pem --key ./serverCAKey.pem

Copy to Clipboard

Toggle word wrap

証明書および秘密鍵を使用して observability-client-ca-certs シークレットを作成します。以下のコマンドを実行します。

oc -n open-cluster-management-observability create secret tls observability-client-ca-certs --cert ./clientCACert.pem --key ./clientCAKey.pem

oc -n open-cluster-management-observability create secret tls observability-client-ca-certs --cert ./clientCACert.pem --key ./clientCAKey.pem

Copy to Clipboard

Toggle word wrap

1.7.3. rbac-query-proxy ルートの証明書の置き換え
リンクのコピー

rbac-query-proxy ルートの証明書を置き換えることができます。証明書を作成するには、OpenSSL コマンドを使用した CA 証明書の生成を参照してください。

csr.cnf ファイルを使用して Certificate Signing Request (CSR) を作成する場合は、subjectAltName セクションの DNS.1 フィールドを rbac-query-proxy ルートのホスト名と一致するように更新します。

以下の手順を実行します。

次のコマンドを実行してホスト名を取得します。

oc get route rbac-query-proxy -n open-cluster-management-observability -o jsonpath="
{.spec.host}"

oc get route rbac-query-proxy -n open-cluster-management-observability -o jsonpath="
{.spec.host}"

Copy to Clipboard

Toggle word wrap

生成された証明書を使用して proxy-byo-ca シークレットを作成します。以下のコマンドを実行します。

oc -n open-cluster-management-observability create secret tls proxy-byo-ca --cert ./ca.crt --key ./ca.key

oc -n open-cluster-management-observability create secret tls proxy-byo-ca --cert ./ca.crt --key ./ca.key

Copy to Clipboard

Toggle word wrap

生成された証明書を使用して proxy-byo-cert シークレットを作成するには、次のコマンドを実行します。

oc -n open-cluster-management-observability create secret tls proxy-byo-cert --cert ./ingress.crt --key ./ingress.key

oc -n open-cluster-management-observability create secret tls proxy-byo-cert --cert ./ingress.crt --key ./ingress.key

Copy to Clipboard

Toggle word wrap

1.7.4. 関連情報
リンクのコピー

ルート認証のカスタマイズを参照してください。
オブジェクトストアにアクセスするための証明書のカスタマイズを参照してください。

法律上の通知
リンクのコピー

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

安全なクラスター

ロールベースのアクセスと証明書を使用してクラスターを保護します。

第1章 クラスターの保護リンクのコピーリンクがクリップボードにコピーされました!

1.1. ロールベースのアクセス制御リンクのコピーリンクがクリップボードにコピーされました!

1.1.1. ロールの概要リンクのコピーリンクがクリップボードにコピーされました!

1.2. ロールベースのアクセス制御の実装リンクのコピーリンクがクリップボードにコピーされました!

1.2.1. アプリケーションライフサイクル RBACリンクのコピーリンクがクリップボードにコピーされました!

1.2.1.1. アプリケーションライフサイクルのコンソールと API RBAC テーブルリンクのコピーリンクがクリップボードにコピーされました!

1.2.2. ガバナンスライフサイクル RBACリンクのコピーリンクがクリップボードにコピーされました!

1.2.2.1. ガバナンスライフサイクルのコンソールと API RBAC テーブルリンクのコピーリンクがクリップボードにコピーされました!

1.2.3. 可観測性の RBACリンクのコピーリンクがクリップボードにコピーされました!

1.2.3.1. 可観測性ライフサイクルのコンソールと API RBAC テーブルリンクのコピーリンクがクリップボードにコピーされました!

1.3. コンソールを使用したきめ細かなロールベースのアクセス制御の実装 (テクノロジープレビュー)リンクのコピーリンクがクリップボードにコピーされました!

1.3.1. コンソールでのきめ細かなロールベースのアクセス制御の割り当てリンクのコピーリンクがクリップボードにコピーされました!

1.4. ターミナルでのきめ細かなロールベースのアクセス制御の実装 (テクノロジープレビュー)リンクのコピーリンクがクリップボードにコピーされました!

1.4.1. ターミナルでのきめ細かなロールベースのアクセス制御の割り当てリンクのコピーリンクがクリップボードにコピーされました!

1.5. 証明書リンクのコピーリンクがクリップボードにコピーされました!

1.5.1. Red Hat Advanced Cluster Management ハブクラスター証明書リンクのコピーリンクがクリップボードにコピーされました!

1.5.2. Red Hat Advanced Cluster Management マネージド証明書リンクのコピーリンクがクリップボードにコピーされました!

1.5.3. 関連情報リンクのコピーリンクがクリップボードにコピーされました!

1.6. 証明書の管理リンクのコピーリンクがクリップボードにコピーされました!

1.6.1. Red Hat Advanced Cluster Management Webhook 証明書の更新リンクのコピーリンクがクリップボードにコピーされました!

1.6.2. alertmanager ルートの証明書の置き換えリンクのコピーリンクがクリップボードにコピーされました!

1.6.3. gatekeeper Webhook 証明書のローテーションリンクのコピーリンクがクリップボードにコピーされました!

1.6.4. 証明書のローテーションの確認リンクのコピーリンクがクリップボードにコピーされました!

1.6.5. ハブクラスターで管理される証明書のリスト表示リンクのコピーリンクがクリップボードにコピーされました!

1.6.6. 関連情報リンクのコピーリンクがクリップボードにコピーされました!

1.7. 独自の可観測性認証局 (CA) 証明書の導入リンクのコピーリンクがクリップボードにコピーされました!

1.7.1. OpenSSL コマンドを使用した CA 証明書の生成リンクのコピーリンクがクリップボードにコピーされました!

1.7.2. 独自の可観測性 CA 証明書に関連付けられたシークレットの作成リンクのコピーリンクがクリップボードにコピーされました!

1.7.3. rbac-query-proxy ルートの証明書の置き換えリンクのコピーリンクがクリップボードにコピーされました!

1.7.4. 関連情報リンクのコピーリンクがクリップボードにコピーされました!

法律上の通知リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章クラスターの保護
リンクのコピー

1.1. ロールベースのアクセス制御
リンクのコピー

1.1.1. ロールの概要
リンクのコピー

1.2. ロールベースのアクセス制御の実装
リンクのコピー

1.2.1. アプリケーションライフサイクル RBAC
リンクのコピー

1.2.1.1. アプリケーションライフサイクルのコンソールと API RBAC テーブル
リンクのコピー

1.2.2. ガバナンスライフサイクル RBAC
リンクのコピー

1.2.2.1. ガバナンスライフサイクルのコンソールと API RBAC テーブル
リンクのコピー

1.2.3. 可観測性の RBAC
リンクのコピー

1.2.3.1. 可観測性ライフサイクルのコンソールと API RBAC テーブル
リンクのコピー

1.3. コンソールを使用したきめ細かなロールベースのアクセス制御の実装 (テクノロジープレビュー)
リンクのコピー

1.3.1. コンソールでのきめ細かなロールベースのアクセス制御の割り当て
リンクのコピー

1.4. ターミナルでのきめ細かなロールベースのアクセス制御の実装 (テクノロジープレビュー)
リンクのコピー

1.4.1. ターミナルでのきめ細かなロールベースのアクセス制御の割り当て
リンクのコピー

1.5. 証明書
リンクのコピー

1.5.1. Red Hat Advanced Cluster Management ハブクラスター証明書
リンクのコピー

1.5.2. Red Hat Advanced Cluster Management マネージド証明書
リンクのコピー

1.5.3. 関連情報
リンクのコピー

1.6. 証明書の管理
リンクのコピー

1.6.1. Red Hat Advanced Cluster Management Webhook 証明書の更新
リンクのコピー

1.6.2. alertmanager ルートの証明書の置き換え
リンクのコピー

1.6.3. gatekeeper Webhook 証明書のローテーション
リンクのコピー

1.6.4. 証明書のローテーションの確認
リンクのコピー

1.6.5. ハブクラスターで管理される証明書のリスト表示
リンクのコピー

1.6.6. 関連情報
リンクのコピー

1.7. 独自の可観測性認証局 (CA) 証明書の導入
リンクのコピー

1.7.1. OpenSSL コマンドを使用した CA 証明書の生成
リンクのコピー

1.7.2. 独自の可観測性 CA 証明書に関連付けられたシークレットの作成
リンクのコピー

1.7.3. rbac-query-proxy ルートの証明書の置き換え
リンクのコピー

1.7.4. 関連情報
リンクのコピー

法律上の通知
リンクのコピー