検索

1.5. TLS 証明書の設定

download PDF

Red Hat build of Cryostat Operator を指定して、特定のアプリケーションからの TLS 証明書を信頼するように Cryostat を設定できます。

Cryostat は、TLS 証明書を使用するターゲット JVM への JMX 接続を開くことを試みます。成功した JMX 接続では、Cryostat は、ターゲット JVM 証明書に認証チェックをすべて渡す必要があります。

Red Hat build of Cryostat Operator YAML 設定ファイルの trustedCertSecrets 配列で複数の TLS シークレットを指定できます。配列の secretName プロパティーで、Cryostat アプリケーションと同じ名前空間にあるシークレットを指定する必要があります。certificateKey プロパティーのデフォルトは tls.crt ですが、値を X.509 証明書ファイル名に変更できます。

重要

TLS 証明書の設定は、com.sun.management.jmxremote.registry.ssl=true 属性を使用してリモート JMX 接続に対して TLS を有効にしているアプリケーションにのみ必要です。

前提条件

  • OpenShift Web コンソールを使用して OpenShift Container Platform にログインしている。
  • Cryostat Web コンソールにログインしている。

手順

  1. Red Hat OpenShift Web コンソールで、Operators > Installed Operators の順にクリックします。
  2. 使用可能な Operator のリストから、Red Hat build of Cryostat を選択します。
  3. Operator details ページで、Details タブをクリックします。
  4. Provided APIs セクションで、Cryostat および Cluster Cryostat カスタムリソース (CR) が利用可能です。以下のオプションのいずれかを選択します。

    1. 単一 namespace の Cryostat インスタンスを作成するには、Cryostat を選択してから Create instance をクリックします。
    2. 複数 namespace の Cryostat インスタンスを作成するには、Cluster Cryostat を選択してから Create instance をクリックします。
  5. TLS 証明書を設定するには、次のいずれかのオプションを選択します。

    1. Form view ラジオボタンをクリックします。

      1. Name フィールドに、作成する Cryostat のインスタンスの名前を指定します。
      2. Trusted TLS Certificates オプションをデプロイメントし、Add Trusted TLS Certificate をクリックします。オプションのリストが Red Hat OpenShift Web コンソールに表示されます。

        図1.6 信頼できる TLS 証明書オプション

        *Trusted TLS Certificates* オプション
      3. Secret Name リストから TLS シークレットを選択します。Certificate Key フィールドはオプションです。

        注記

        Remove Trusted TLS Certificate をクリックすると、TLS 証明書を削除できます。

      4. Create をクリックします。作成したインスタンスのタイプに応じて、インスタンスは以下のいずれかのタブで開きます。

        • 単一 namespace の Cryostat インスタンスを作成した場合、インスタンスは Operator details ページの Cryostat タブで利用できます。
        • Cluster Cryostat インスタンスを作成した場合、インスタンスは Operator details ページの Cluster Cryostat タブで利用できます。
    2. YAML view のラジオボタンをクリックします。

      1. TrustedCertSecrets 配列の secretName プロパティーで、Cryostat アプリケーションと同じ名前空間にあるシークレットを指定します。

        trustedCertSecrets 配列でシークレットを指定する例

        --
        apiVersion: operator.cryostat.io/v1beta1
        kind: Cryostat
        metadata:
          name: cryostat-sample
        spec:
          trustedCertSecrets:
          - secretName: my-tls-secret
        --

      2. オプション: certificateKey プロパティー値をアプリケーションの X.509 証明書ファイル名に変更します。値を変更しない場合、certificateKey プロパティーはデフォルトで tls.crt になります。

        certificateKey プロパティーの値を変更する例

        --
        apiVersion: operator.cryostat.io/v1beta1
        kind: Cryostat
        metadata:
          name: cryostat-sample
        spec:
          trustedCertSecrets:
          - secretName: my-tls-secret
            certificateKey: ca.crt
        --

      3. Save をクリックします。

        Red Hat build of Cryostat Operator は、設定されたセキュリティー設定を使用して Cryostat インスタンスを自動的に再起動します。

検証

  1. CLI で次のコマンドを実行して、すべてのアプリケーション Pod が Cryostat Pod と同じ OpenShift クラスター名前空間に存在することを確認します。

    $ oc get pods
  2. Cryostat インスタンスの Web コンソールにログインします。
  3. Cryostat インスタンスの Dashboard メニューで、Target リストから target JVM を選択します。
  4. Cryostat Web コンソールのナビゲーションメニューで、Recordings を選択します。Authentication Required dialog ウィンドウで、シークレットの認証情報を入力し、Save を選択して、ターゲット JVM に認証情報を提供します。

    注記

    選択したターゲットで JMX 接続のパスワード認証が有効になっている場合は、接続のプロンプトが表示されたら、ターゲット JVM の JMX クレデンシャルを指定する必要があります。

    Cryostat は、認証された JMX 接続を介してアプリケーションに接続します。これで、Recordings 機能および Events 機能を使用して、アプリケーションの JFR データを監視できます。

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.