4.3. Red Hat OpenShift で RHACS 用のクラスター登録シークレットまたは init バンドルを生成および適用する

Red Hat Advanced Cluster Security for Kubernetes (RHACS) の Central でセキュアクラスターを認証するには、有効な認証情報を生成して適用する必要があります。対話的な管理を行う場合は、RHACS ポータルを使用してクラスター登録シークレット (CRS) または init バンドルを生成できます。また、自動化のためにこれらのファイルを生成する場合は、roxctl CLI を使用するか、Central のエンドポイントに対する curl を使用した API 呼び出しを使用することもできます。生成された YAML ファイルをクラスターに適用することで、サービス間のセキュアな通信が可能になります。

クラスター登録シークレット (CRS) は、認証シークレットの一種であり、init バンドルよりもセキュリティーが高く、使い方も簡単です。CRS には、Operator および Helm インストール方法を使用して RHACS をインストールする際に使用できるトークンが 1 つ含まれています。

CRS は新しいセキュアクラスターの登録にのみ使用されるため、より強力なセキュリティーを提供します。漏洩した場合、init バンドル内の証明書とキーは、セキュアクラスターで実行されているサービスになりすますために使用される可能性があります。対照的に、CRS 内の証明書とキーは、新しいクラスターを 登録 するためにのみ使用できます。

CRS を使用してクラスターがセットアップされると、Central によってサービス固有の証明書が発行され、新しいセキュアクラスターに送信されます。これらのサービス証明書は、Central とセキュアクラスター間の通信に使用されます。したがって、クラスターの登録後、セキュアクラスターを切断せずに CRS を取り消すことができます。

init バンドルであれば、セキュアクラスター上のシークレットの手動更新が必要になった際に、既存のセキュアクラスターに再適用することができます。それとは異なり、新しい CRS をクラスターに適用して Central とセキュアクラスター間の通信を再確立することはできません。セキュアクラスターの CRS に問題が発生した場合、たとえば証明書と鍵が削除された場合は、Central で元の CRS を失効させ、セキュアクラスターから削除する必要があります。その後、Central で新しい CRS を作成し、その新しい CRS をセキュアクラスターに適用します。