Red Hat Summit第12章 エンドポイントの設定
YAML 設定ファイルを使用して、Red Hat Advanced Cluster Security for Kubernetes (RHACS) のエンドポイントを設定する方法を学習します。
YAML 設定ファイルを使用して、公開されたエンドポイントを設定できます。この設定ファイルを使用して、Red Hat Advanced Cluster Security for Kubernetes の 1 つ以上のエンドポイントを定義し、各エンドポイントの TLS 設定をカスタマイズしたり、特定のエンドポイントの TLS を無効にしたりできます。また、クライアント認証が必要かどうか、およびどのクライアント証明書を受け入れるかを定義することもできます。
12.1. カスタム YAML 設定
Red Hat Advanced Cluster Security for Kubernetes は、YAML 設定を ConfigMap として使用し、設定の変更と管理を容易にします。
カスタム YAML 設定ファイルを使用する場合、エンドポイントごとに以下を設定できます。
-
HTTP、gRPCなど、またはその両方を使用するプロトコル。 - TLS を有効または無効にします。
- サーバー証明書を指定します。
- クライアント認証を信頼するクライアント認証局 (CA)。
-
クライアント認証局 (
mTLS) が必要かどうかを指定します。
設定ファイルを使用して、インストール中または Red Hat Advanced Cluster Security for Kubernetes の既存のインスタンスでエンドポイントを指定できます。ただし、デフォルトのポート 8443 以外の追加のポートを公開する場合は、それらの追加のポートでのトラフィックを許可するネットワークポリシーを作成する必要があります。
以下は、Red Hat Advanced Cluster Security for Kubernetes のサンプル endpoints.yaml 設定ファイルです。
Sample endpoints.yaml configuration for Central. # CAREFUL: If the following line is uncommented, do not expose the default endpoint on port 8443 by default. # This will break normal operation. disableDefault: true # if true, do not serve on :8443
# Sample endpoints.yaml configuration for Central.
#
# # CAREFUL: If the following line is uncommented, do not expose the default endpoint on port 8443 by default.
# # This will break normal operation.
# disableDefault: true # if true, do not serve on :8443
endpoints:
# Serve plaintext HTTP only on port 8080
- listen: ":8080"
# Backend protocols, possible values are 'http' and 'grpc'. If unset or empty, assume both.
protocols:
- http
tls:
# Disable TLS. If this is not specified, assume TLS is enabled.
disable: true
# Serve HTTP and gRPC for sensors only on port 8444
- listen: ":8444"
tls:
# Which TLS certificates to serve, possible values are 'service' (For service certificates that Red Hat Advanced Cluster Security for Kubernetes generates)
# and 'default' (user-configured default TLS certificate). If unset or empty, assume both.
serverCerts:
- default
- service
# Client authentication settings.
clientAuth:
# Enforce TLS client authentication. If unset, do not enforce, only request certificates
# opportunistically.
required: true
# Which TLS client CAs to serve, possible values are 'service' (CA for service
# certificates that Red Hat Advanced Cluster Security for Kubernetes generates) and 'user' (CAs for PKI auth providers). If unset or empty, assume both.
certAuthorities:
# if not set, assume ["user", "service"]
- service- 1
trueを使用して、デフォルトのポート番号8443での公開を無効にします。デフォルト値はfalseです。trueに変更すると、既存の機能が破損する可能性があります。- 2
- Central を公開するための追加のエンドポイントのリスト。
- 3 7
- リッスンするアドレスとポート番号。
endpointsを使用している場合は、この値を指定する必要があります。形式port、:port、またはaddress:portを使用して、値を指定できます。以下に例を示します。-
8080または:8080- すべてのインターフェイスのポート8080でリッスンします。 -
0.0.0.0:8080- すべての IPv4 (IPv6 ではない) インターフェイスのポート8080でリッスンします。 -
127.0.0.1:8080- ローカルループバックデバイスのポート8080でのみリッスンします。
-
- 4
- 指定されたエンドポイントに使用するプロトコル。使用できる値は
httpとgrpcです。値を指定しない場合、Central は指定されたポートで HTTP トラフィックと gRPC トラフィックの両方をリッスンします。RHACS ポータル専用のエンドポイントを公開する場合は、httpを使用します。ただし、これらのクライアントは gRPC と HTTP の両方を必要とするため、サービス間通信またはroxctlCLI にエンドポイントを使用することはできません。Red Hat は、エンドポイントで HTTP プロトコルと gRPC プロトコルの両方を有効にするために、このキーの値を指定しないことを推奨します。エンドポイントを Red Hat Advanced Cluster Security for Kubernetes サービスのみに制限する場合は、clientAuth オプションを使用します。 - 5 8
- これを使用して、エンドポイントの TLS 設定を指定します。値を指定しない場合、Red Hat Advanced Cluster Security for Kubernetes は、以下のすべてのネストされたキーのデフォルト設定で TLS を有効にします。
- 6
- 指定したエンドポイントで TLS を無効にするには、
trueを使用します。デフォルト値はfalseです。trueに設定すると、serverCertsとclientAuthの値を指定できなくなります。 - 9
- サーバー TLS 証明書を設定するソースのリストを指定します。
serverCertsリストは順序に依存します。つまり、一致する SNI (Server Name Indication) がない場合、リストの最初の項目が Central がデフォルトで使用する証明書を決定します。これを使用して複数の証明書を指定でき、Central は SNI に基づいて適切な証明書を自動的に選択します。設定可能な値は以下のとおりです。-
default: 設定済みのカスタム TLS 証明書が存在する場合はそれを使用します。 -
service: Red Hat Advanced Cluster Security for Kubernetes が生成する内部サービス証明書を使用します。
-
- 10
- これを使用して、TLS が有効なエンドポイントのクライアント証明書認証の動作を設定します。
- 11
trueを使用して、有効なクライアント証明書を持つクライアントのみを許可します。デフォルト値はfalseです。trueをserviceのcertAuthorities設定と組み合わせて使用すると、Red Hat Advanced Cluster Security for Kubernetes サービスのみがこのエンドポイントに接続できるようになります。- 12
- クライアント証明書を検証するための CA のリスト。デフォルト値は
["service", "user"]です。certAuthoritiesリストは順序に依存しません。つまり、このリスト内のアイテムの位置は重要ではありません。また、空のリスト[]として設定すると、エンドポイントのクライアント証明書認証が無効になります。これは、この値を未設定のままにするのとは異なります。設定可能な値は以下のとおりです。-
service: Red Hat Advanced Cluster Security for Kubernetes が生成するサービス証明書の CA。 -
user: PKI 認証プロバイダーによって設定された CA。
-
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}