Red Hat Summit5.3. 他のプラットフォームで RHACS 用のクラスター登録シークレットまたは init バンドルを生成および適用する
Red Hat Advanced Cluster Security for Kubernetes (RHACS) は、インストール時に特別なアーティファクトを使用し、Central が追加するセキュアクラスターとセキュアに通信できるようにします。このファイルは、クラスター登録シークレット (CRS) または init バンドルと呼ばれます。init バンドルは引き続きサポートされていますが、セキュアクラスターをセットアップするには CRS を使用するのが推奨される方法です。
クラスター登録シークレット (CRS) は、認証シークレットの一種であり、init バンドルよりもセキュリティーが高く、使い方も簡単です。CRS には、Operator および Helm インストール方法を使用して RHACS をインストールする際に使用できるトークンが 1 つ含まれています。
CRS は新しいセキュアクラスターの登録にのみ使用されるため、より強力なセキュリティーを提供します。漏洩した場合、init バンドル内の証明書とキーは、セキュアクラスターで実行されているサービスになりすますために使用される可能性があります。対照的に、CRS 内の証明書とキーは、新しいクラスターを 登録 するためにのみ使用できます。
CRS を使用してクラスターがセットアップされると、Central によってサービス固有の証明書が発行され、新しいセキュアクラスターに送信されます。これらのサービス証明書は、Central とセキュアクラスター間の通信に使用されます。したがって、クラスターの登録後、セキュアクラスターを切断せずに CRS を取り消すことができます。
init バンドルであれば、セキュアクラスター上のシークレットの手動更新が必要になった際に、既存のセキュアクラスターに再適用することができます。それとは異なり、新しい CRS をクラスターに適用して Central とセキュアクラスター間の通信を再確立することはできません。セキュアクラスターの CRS に問題が発生した場合、たとえば証明書と鍵が削除された場合は、Central で元の CRS を失効させ、セキュアクラスターから削除する必要があります。その後、Central で新しい CRS を作成し、その新しい CRS をセキュアクラスターに適用します。
5.3.1. init バンドルとクラスター登録シークレット
RHACS Central とセキュアクラスターの間でセキュアな通信チャネルを確立するには、認証用アーティファクトを生成して適用する必要があります。RHACS ポータルまたは CLI を使用して、クラスター登録シークレット (CRS) または init バンドルを生成できます。
init バンドルも引き続きサポートされていますが、CRS を使用して Central とセキュアクラスター間の接続を確立する方法が推奨されます。CRS は、複数のクラスターの登録に使用できる再利用可能で有効期限付きのトークンを提供するためです。
CRS または init バンドルを作成したら、helm install コマンドを実行する際に、その CRS または init バンドルを指定します。
CRS または init バンドルを生成するには、Admin ユーザーロールが必要です。
クラスター登録シークレット (CRS) は、認証シークレットの一種であり、init バンドルよりもセキュリティーが高く、使い方も簡単です。CRS には、Operator および Helm インストール方法を使用して RHACS をインストールする際に使用できるトークンが 1 つ含まれています。
CRS は新しいセキュアクラスターの登録にのみ使用されるため、より強力なセキュリティーを提供します。漏洩した場合、init バンドル内の証明書とキーは、セキュアクラスターで実行されているサービスになりすますために使用される可能性があります。対照的に、CRS 内の証明書とキーは、新しいクラスターを 登録 するためにのみ使用できます。
CRS を使用してクラスターがセットアップされると、Central によってサービス固有の証明書が発行され、新しいセキュアクラスターに送信されます。これらのサービス証明書は、Central とセキュアクラスター間の通信に使用されます。したがって、クラスターの登録後、セキュアクラスターを切断せずに CRS を取り消すことができます。
init バンドルであれば、セキュアクラスター上のシークレットの手動更新が必要になった際に、既存のセキュアクラスターに再適用することができます。それとは異なり、新しい CRS をクラスターに適用して Central とセキュアクラスター間の通信を再確立することはできません。セキュアクラスターの CRS に問題が発生した場合、たとえば証明書と鍵が削除された場合は、Central で元の CRS を失効させ、セキュアクラスターから削除する必要があります。その後、Central で新しい CRS を作成し、その新しい CRS をセキュアクラスターに適用します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}