Red Hat SummitRed Hat build of Cryostat Operator を使用した Cryostat の設定
概要
はじめに
Red Hat build of Cryostat は、JDK Flight Recorder (JFR) のコンテナーネイティブ実装です。これを使用すると、OpenShift Container Platform クラスターで実行されるワークロードで Java 仮想マシン (JVM) のパフォーマンスを安全にモニターできます。Cryostat を使用すると、Web コンソールまたは HTTP API を使用して、コンテナー化されたアプリケーション内の JVM の JFR データを起動、停止、取得、アーカイブ、インポート、およびエクスポートできます。
ユースケースに応じて、Cryostat が提供するビルトインツールを使用して、Red Hat OpenShift クラスターに直接レコーディングを保存して分析したり、外部のモニタリングアプリケーションにレコーディングをエクスポートして、レコーディングしたデータをより詳細に分析したりできます。
多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。
第1章 Red Hat build of Cryostat Operator
Red Hat build of Cryostat Operator を使用して、Cryostat インスタンスを管理および設定できます。Red Hat build of Cryostat Operator は OpenShift Container Platform (OCP) で利用できます。
1.1. Red Hat build of Cryostat Operator の概要
OpenShift Container Platform で Cryostat アプリケーションを作成または更新した後、Red Hat build of Cryostat Operator は Cryostat アプリケーションを作成および管理します。
Operator レベルの 2 つのシームレスアップグレード
Cryostat Operator の Operator Capability Level は、Operator Lifecycle Manager フレームワークで Level 2 Seamless Upgrades に設定されています。Cryostat Operator をアップグレードすると、Operator は Cryostat とその関連コンポーネントを自動的にアップグレードします。自動アップグレード操作では、JFR 記録、テンプレート、ルール、およびその他の格納されたコンポーネントを Cryostat インスタンスから削除することはありません。
自動アップグレード操作は、Cryostat のマイナーリリースまたはパッチ更新リリースに対してのみ発生します。メジャーリリースの場合は、Cryostat Operator を再インストールする必要がある場合があります。
永続ボリューム要求
Cryostat アプリケーションがアーカイブされたレコーディングをクラウドストレージディスクに保存できるように、Cryostat Operator を使用して Red Hat OpenShift 上に永続ボリューム要求 (PVC) を作成できます。
Cryostat Operator を使用して Cryostat をインストールすると、Cryostat データベースとストレージコンテナーがそれぞれ個別の Pod に自動的にデプロイされます。Cryostat データベースとストレージコンポーネントはそれぞれ、情報を保存するために独自の PVC を使用します。
Operator 設定
さらに、Cryostat Operator のデフォルト設定に次の変更を加えることができます。
- Cryostat Operator によって作成された PVC を設定して、Cryostat アプリケーションがアーカイブされたレコーディングをクラウドストレージディスクに保存できるようにします。
- 特定のアプリケーションからの TLS 証明書を信頼するように Cryostat アプリケーションを設定します。
- cert-manager を無効にして、Operator が Cryostat コンポーネントの自己署名証明書を生成する必要がないようにします。
- ConfigMaps にあるカスタムイベントテンプレートファイルを Cryostat インスタンスにインストールして、Cryostat の起動時にテンプレートを使用してレコーディングを作成できるようにします。
Cryostat Operator には次の設定オプションが含まれています。
-
リソース要件。これを使用して、
core、datasource、grafana、storage、database、auth-proxy、または Nginx ベースのエージェントプロキシーコンテナーのリソース要求または制限を指定できます。 - Cryostat Operator が作成するサービスを制御できるように、サービスをカスタマイズします。
- Cryostat Operator が Cryostat アプリケーション用に 1 つ以上のレポートジェネレーターをプロビジョニングするために使用できるサイドカーレポートオプション。
シングル namespace またはマルチ namespace の Cryostat インスタンス
Cryostat Operator は、シングル namespace またはマルチ namespace で動作する Cryostat インスタンスを作成するために使用できる Cryostat API を提供します。これらの Cryostat インスタンスは、Red Hat OpenShift Web コンソールからアクセスできる GUI を使用して制御できます。
Cryostat 3.0 以降、Cryostat API はシングル namespace インスタンスとマルチ namespace インスタンスの両方の作成をサポートします。Cryostat 2.x リリースでマルチ namespace インスタンスを作成するために使用できる Cluster Cryostat API は非推奨となり、Cryostat 3.x では Cryostat API に置き換えられました。
マルチ namespace の Cryostat インスタンスにアクセスできるユーザーは、その Cryostat インスタンスに認識される namespace 内のすべてのターゲットアプリケーションにアクセスできます。したがって、マルチ namespace の Cryostat インスタンスをデプロイする場合は、監視対象にどの namespace を選択するか、Cryostat をどの namespace にインストールするか、およびどのユーザーにアクセスを許可するかを考慮する必要があります。
Cryostat Operator を設定するための前提条件
Cryostat Operator を設定する前に、以下の前提条件が満たされていることを確認してください。
- Cryostat Operator を Red Hat OpenShift のプロジェクトにインストールしている。
- Cryostat Operator を使用して Cryostat インスタンスを作成している。
1.2. cert-manager の無効化
Cryostat インスタンスのカスタムリソース (CR) で enableCertManager プロパティーを設定することにより、cert-manager 機能を無効化できます。
デフォルトでは、enableCertManager プロパティーは true に設定されています。これは、Cryostat Operator が cert-manager CA 発行者を使用して、Cryostat コンポーネントの自己署名証明書を生成することを意味します。Cryostat Operator は、これらの証明書を使用して、クラスターで動作する Cryostat コンポーネント間の HTTPS 通信を有効にします。
enableCertManager プロパティーを false に設定すると、Cryostat Operator が Cryostat コンポーネントの自己署名証明書を生成する必要がなくなります。
enableCertManager プロパティーを false に設定すると、暗号化されていない内部トラフィックから、実行中の Cryostat アプリケーションを含むクラスターに潜在的なセキュリティー上の影響が生じる可能性があります。
前提条件
- Red Hat OpenShift Web コンソールを使用して OpenShift Container Platform にログインしている。
手順
Cryostat インスタンスの作成を開始する場合は、次の手順を実行します。
- Red Hat OpenShift Web コンソールで、Operators > Installed Operators の順にクリックします。
- 使用可能な Operator のリストから、Red Hat build of Cryostat を選択します。
- Operator details ページで、Details タブをクリックします。
- Provided APIs セクションで Cryostat を選択し、Create instance をクリックします。
Create Cryostat パネルで、
enableCertManagerプロパティーを設定するには、次のいずれかのオプションを選択します。Form ビューを使用する場合は、以下を実行します。
- Form view ラジオボタンをクリックします。
Enable cert-manager Integration を有効にするスイッチを
falseに設定し、Name フィールドに値を入力します。図1.1 Enable cert-manager Integration スイッチを false に切り替える
YAML ビューを使用する場合は、以下を実行します。
- YAML view のラジオボタンをクリックします。
YAML ファイルの
spec:キーセットで、enableCertManagerプロパティーをfalseに変更します。YAML ファイルへの
spec:キーセット設定例-- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: enableCertManager: false --
-- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: enableCertManager: false --Copy to Clipboard Copied!
- この Cryostat インスタンスのカスタムリソース (CR) で他のプロパティーを設定する場合は、これらのプロパティーの詳細は、このドキュメントの他のセクションを参照してください。
- この Cryostat インスタンスの作成を終了する場合は、Create をクリックします。
Create をクリックすると、この Cryostat インスタンスは Operator details ページの Cryostat タブで利用できます。その後、Operator details ページでインスタンス名をクリックし、Actions ドロップダウンメニューから Edit Cryostat を選択すると、Cryostat インスタンスの CR プロパティーを編集できます。
Cryostat Operator は、Cryostat アプリケーションを自動的に再起動し、更新された enableCertManager プロパティー設定でアプリケーションを実行できるようにします。
検証
- Operator details ページの Cryostat タブから Cryostat インスタンスを選択します。
- Cryostat Conditions テーブルに移動します。
TLSSetupComplete条件がtrueに設定されていること、およびこの条件の Reason 列がCertManagerDisabledに設定されていることを確認します。これは、enableCertManagerプロパティーをfalseに設定したことを示します。図1.2 TLSSetupComplete 条件が true に設定されていることを示す例
1.3. イベントテンプレートのカスタマイズ
Cryostat インスタンスのカスタムリソース (CR) の eventTemplates プロパティーを設定して、複数のカスタムテンプレートを含めることができます。イベントテンプレートは、JDK Flight Recording (JFR) のイベントレコーディング基準の概要を示しています。関連するイベントテンプレートを使用して JFR を設定できます。
デフォルトでは、Cryostat Operator にはいくつかの事前設定されたイベントテンプレートが含まれています。これらの事前設定されたイベントテンプレートはニーズを満たさない可能性があるため、Cryostat Operator を使用して Cryostat インスタンスのカスタムイベントテンプレートを生成し、簡単に取得できるようにこれらのテンプレートを ConfigMaps に保存します。
次の方法でカスタムイベントテンプレートを生成できます。
- Red Hat OpenShift Web コンソールを使用して、イベントテンプレートをカスタムリソースにアップロードします。
- Red Hat OpenShift Web コンソールで Cryostat カスタムリソースの YAML ファイルを編集します。
カスタムイベントテンプレートを ConfigMap に保存した後、このカスタムイベントテンプレートを使用して新しい Cryostat インスタンスをデプロイできます。次に、JFR でカスタムイベントテンプレートを使用して、ニーズを満たすように Java アプリケーションを監視できます。
前提条件
- Red Hat OpenShift Web コンソールを使用して OpenShift Container Platform にログインしている。
- Cryostat Web コンソールにログインしている。
手順
デフォルトのイベントテンプレートをダウンロードするには、Cryostat Web コンソールに移動し、Events メニューから Downloads をクリックします。
注記イベントテンプレートは XML 形式で、ファイル名拡張子は
.jfcです。- オプション: カスタムイベントテンプレートが必要な場合は、テキストエディターまたは XML エディターを使用して、ダウンロードしたデフォルトのイベントテンプレートを編集し、ニーズに合わせてテンプレートを設定します。
-
CLI で
oc loginコマンドを入力して、Red Hat OpenShift Web コンソールにログインします。 CLI で次のコマンドを入力して、イベントテンプレートから
ConfigMapリソースを作成します。Cryostat アプリケーションをデプロイするパスでコマンドを実行する必要があります。このリソースを使用して、Cryostat インスタンスを実行するクラスター内にあるイベントテンプレートファイルを保存できます。CLI を使用して ConfigMap リソースを作成する例
oc create configmap <template_name> --from-file=<path_to_custom_event_template>
$ oc create configmap <template_name> --from-file=<path_to_custom_event_template>Copy to Clipboard Copied! Cryostat インスタンスの作成を開始する場合は、次の手順を実行します。
- Red Hat OpenShift Web コンソールで、Operators > Installed Operators の順にクリックします。
- 使用可能な Operator のリストから、Red Hat build of Cryostat を選択します。
- Operator details ページで、Details タブをクリックします。
- Provided APIs セクションで Cryostat を選択し、Create instance をクリックします。
Create Cryostat パネルで、XML 形式のイベントテンプレートをリソースにアップロードするには、次のいずれかのオプションを選択します。
Form ビューを使用する場合は、以下を実行します。
- Form view ラジオボタンをクリックします。
- Cryostat インスタンスの Event Templates セクションに移動します。
- Event Templates メニューから、Add Event Template をクリックします。Red Hat OpenShift コンソールで Event Templates セクションが開きます。
Config Map Name ドロップダウンリストから、イベントテンプレートを含む ConfigMap リソースを選択します。
図1.3 Cryostat インスタンスのイベントテンプレートオプション
-
Filename フィールドに、ConfigMap に含まれている
.jfcファイルの名前を入力します。
YAML ビューを使用する場合は、以下を実行します。
- YAML view のラジオボタンをクリックします。
eventTemplatesプロパティーにカスタムイベントテンプレートを指定します。このプロパティーは、Cryostat Operator が ConfigMap を指すようにして、Cryostat Operator がイベントテンプレートを読み取れるようにします。eventTemplatesプロパティーにカスタムイベントテンプレートを指定する例-- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: eventTemplates: - configMapName: custom-template1 filename: my-template1.jfc - configMapName: custom-template2 filename: my-template2.jfc ---- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: eventTemplates: - configMapName: custom-template1 filename: my-template1.jfc - configMapName: custom-template2 filename: my-template2.jfc --Copy to Clipboard Copied! 重要configMapNameドロップダウンリストから、Cryostat または Cluster Cryostat インスタンスに関連付けられている ConfigMap の名前を選択する必要があります。さらに、filenameフィールドに ConfigMap に関連付けられたキーを指定する必要があります。
- この Cryostat インスタンスのカスタムリソース (CR) で他のプロパティーを設定する場合は、これらのプロパティーの詳細は、このドキュメントの他のセクションを参照してください。
- この Cryostat インスタンスの作成を終了する場合は、Create をクリックします。
Create をクリックすると、この Cryostat インスタンスは Operator details ページの Cryostat タブで利用できます。その後、Operator details ページでインスタンス名をクリックし、Actions ドロップダウンメニューから Edit Cryostat を選択すると、Cryostat インスタンスの CR プロパティーを編集できます。
Cryostat Operator は、カスタムイベントテンプレートを XML ファイルとして Cryostat アプリケーションに提供できるようになりました。Cryostat Web コンソールで、カスタムイベントテンプレートがデフォルトイベントテンプレートと一緒に開きます。
検証
- Cryostat Web コンソールで、メニューから Events をクリックします。Web コンソールで Authentication Required ウィンドウが開いた場合は、認証情報を入力して Save をクリックします。
Event Templates タブで、使用可能なイベントテンプレートのリストにカスタムイベントテンプレートが表示されるかどうかを確認します。
図1.4 Event Templates タブにリストされているカスタムイベントテンプレートの例
1.4. TLS 証明書の設定
Cryostat Operator を使用して、特定のアプリケーションからの TLS 証明書を信頼するように Cryostat を設定できます。
Cryostat は、TLS 証明書を使用するターゲット JVM への JMX 接続を開くことを試みます。JMX 接続を成功させるには、Cryostat がターゲット JVM 証明書のすべての認証チェックに合格する必要があります。
Cryostat インスタンスのカスタムリソース (CR) の trustedCertSecrets 配列に複数の TLS シークレットを指定できます。配列の secretName プロパティーで、Cryostat アプリケーションと同じ namespace にあるシークレットを指定する必要があります。certificateKey プロパティーのデフォルトは tls.crt ですが、値を X.509 証明書ファイル名に変更できます。
TLS 証明書の設定は、com.sun.management.jmxremote.registry.ssl=true 属性を使用してリモート JMX 接続の TLS を有効にしたアプリケーションにのみ必要です。
前提条件
- OpenShift Web コンソールを使用して OpenShift Container Platform にログインしている。
- Cryostat Web コンソールにログインしている。
手順
Cryostat インスタンスの作成を開始する場合は、次の手順を実行します。
- Red Hat OpenShift Web コンソールで、Operators > Installed Operators の順にクリックします。
- 使用可能な Operator のリストから、Red Hat build of Cryostat を選択します。
- Operator details ページで、Details タブをクリックします。
- Provided APIs セクションで Cryostat を選択し、Create instance をクリックします。
Create Cryostat パネルで、TLS 証明書を設定するには、次のいずれかのオプションを選択します。
Form ビューを使用する場合は、以下を実行します。
- Form view ラジオボタンをクリックします。
- Name フィールドに、作成する Cryostat のインスタンスの名前を指定します。
Trusted TLS Certificates オプションをデプロイメントし、Add Trusted TLS Certificate をクリックします。オプションのリストが Red Hat OpenShift Web コンソールに表示されます。
図1.5 信頼できる TLS 証明書オプション
Secret Name リストから TLS シークレットを選択します。Certificate Key フィールドはオプションです。
注記Remove Trusted TLS Certificate をクリックすると、TLS 証明書を削除できます。
YAML ビューを使用する場合は、以下を実行します。
- YAML view のラジオボタンをクリックします。
trustedCertSecrets配列のsecretNameプロパティーで、Cryostat アプリケーションと同じ namespace にあるシークレットを指定します。trustedCertSecrets配列でシークレットを指定する例-- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: trustedCertSecrets: - secretName: my-tls-secret --
-- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: trustedCertSecrets: - secretName: my-tls-secret --Copy to Clipboard Copied! オプション:
certificateKeyプロパティー値をアプリケーションの X.509 証明書ファイル名に変更します。値を変更しない場合、certificateKeyプロパティーはデフォルトでtls.crtになります。certificateKeyプロパティーの値を変更する例-- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: trustedCertSecrets: - secretName: my-tls-secret certificateKey: ca.crt ---- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: trustedCertSecrets: - secretName: my-tls-secret certificateKey: ca.crt --Copy to Clipboard Copied!
- この Cryostat インスタンスのカスタムリソース (CR) で他のプロパティーを設定する場合は、これらのプロパティーの詳細は、このドキュメントの他のセクションを参照してください。
- この Cryostat インスタンスの作成を終了する場合は、Create をクリックします。
Create をクリックすると、この Cryostat インスタンスは Operator details ページの Cryostat タブで利用できます。その後、Operator details ページでインスタンス名をクリックし、Actions ドロップダウンメニューから Edit Cryostat を選択すると、Cryostat インスタンスの CR プロパティーを編集できます。
Cryostat Operator は、設定されたセキュリティー設定を使用して Cryostat インスタンスを自動的に再起動します。
検証
CLI で次のコマンドを実行して、すべてのアプリケーション Pod が Cryostat Pod と同じ OpenShift クラスター namespace に存在することを確認します。
oc get pods
$ oc get podsCopy to Clipboard Copied! - Cryostat インスタンスの Web コンソールにログインします。
- Cryostat インスタンスの Dashboard メニューで、Target リストから target JVM を選択します。
Cryostat Web コンソールのナビゲーションメニューで、Recordings を選択します。Authentication Required dialog ウィンドウで、シークレットの認証情報を入力し、Save を選択して、ターゲット JVM に認証情報を提供します。
注記選択したターゲットで JMX 接続のパスワード認証が有効になっている場合は、接続のプロンプトが表示されたら、ターゲット JVM の JMX クレデンシャルを指定する必要があります。
Cryostat は、認証された JMX 接続を介してアプリケーションに接続します。これで、Recordings 機能および Events 機能を使用して、アプリケーションの JFR データを監視できます。
1.5. ストレージボリュームオプションの変更
Cryostat インスタンスのカスタムリソース (CR) でストレージボリュームを設定できます。Cryostat は、永続ボリュームクレーム (PVC) および emptyDir ストレージボリュームタイプをサポートします。
デフォルトでは、Cryostat Operator は、500 メビバイト (MiB) のストレージが割り当てられたデフォルトの StorageClass リソースを使用する Cryostat インスタンス用の PVC を作成します。
以下のオプションのいずれかを選択することにより、OpenShift Container Platform で Cryostat アプリケーション用のカスタム PVC を作成できます。
- Form view ウィンドウで Storage Options > PVC > Spec に移動し、関連するフィールドに入力して PVC をカスタマイズします。
-
YAML view ウィンドウに移動し、必要に応じて
spec: keyセットのstorageOptions配列を編集します。
以下のオプションのいずれかを選択することにより、OpenShift Container Platform で Cryostat アプリケーションの emptyDir ストレージボリュームを設定できます。
- Form view ウィンドウの Storage Options で Empty Dir 設定を有効にします。
-
YAML view ウィンドウで
spec.storageOptions.emptyDir.enabledをtrueに設定します。
前提条件
- Red Hat OpenShift Web コンソールを使用して OpenShift Container Platform にログインしている。
手順
Cryostat インスタンスの作成を開始する場合は、次の手順を実行します。
- Red Hat OpenShift Web コンソールで、Operators > Installed Operators の順にクリックします。
- 使用可能な Operator のリストから、Red Hat build of Cryostat を選択します。
- Operator details ページで、Details タブをクリックします。
- Provided APIs セクションで Cryostat を選択し、Create instance をクリックします。
Create Cryostat パネルで、Cryostat アプリケーションのストレージ設定を変更するには、次のいずれかのオプションを選択します。
Form ビューを使用する場合は、以下を実行します。
- Form view ラジオボタンをクリックします。
- Storage Options セクションに移動し、Name フィールドに値を入力します。
- Storage Options をデプロイメントし、Empty Dir をクリックします。オプションの拡張された選択肢が Red Hat OpenShift Web コンソールで開きます。
Enabled スイッチを
trueに設定します。図1.6 Empty Dir スイッチを
trueに設定した例
YAML ビューを使用する場合は、以下を実行します。
- YAML view のラジオボタンをクリックします。
YAML ファイルの
spec:キーセットで、storageOptions定義を追加し、emptyDirプロパティーをtrueに設定します。emptyDirプロパティーがtrueとして設定されていることを示す例-- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: storageOptions: emptyDir: enabled: true medium: "Memory" sizeLimit: 1Gi ---- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: storageOptions: emptyDir: enabled: true medium: "Memory" sizeLimit: 1Gi --Copy to Clipboard Copied! -
オプション:
mediumプロパティーとsizeLimitプロパティーの値を設定します。
- この Cryostat インスタンスのカスタムリソース (CR) で他のプロパティーを設定する場合は、これらのプロパティーの詳細は、このドキュメントの他のセクションを参照してください。
- この Cryostat インスタンスの作成を終了する場合は、Create をクリックします。
Create をクリックすると、この Cryostat インスタンスは Operator details ページの Cryostat タブで利用できます。その後、Operator details ページでインスタンス名をクリックし、Actions ドロップダウンメニューから Edit Cryostat を選択すると、Cryostat インスタンスの CR プロパティーを編集できます。
Cryostat Operator は、Cryostat インスタンス用の PVC を作成する代わりに、ストレージ用の EmptyDir ボリュームを作成します。
1.6. Cryostat のスケジューリングオプション
Cryostat インスタンスのカスタムリソース (CR) で Node Selector、Affinities、および Tolerations 設定を行うことで、Cryostat アプリケーションと生成されたレポートをノードにスケジュールするためのポリシーを定義できます。これらの設定は、Cryostat アプリケーションの spec.SchedulingOptions プロパティーとレポートジェネレーターサイドカーの spec.ReportOptions.SchedulingOptions プロパティーで設定する必要があります。SchedulingOptions プロパティーを指定すると、Cryostat アプリケーションとそのレポートジェネレーターサイドカー Pod が、スケジュール基準を満たすノード上でスケジュールされます。
ターゲットノードアプリケーションは、Cryostat インスタンスからサイドカーレポートの更新を受け取ることができます。
スケジュールオプションを定義する Cryostat CR の YAML 設定を示す例
kind: Cryostat
apiVersion: operator.cryostat.io/v1beta2
metadata:
name: cryostat
spec:
schedulingOptions:
nodeSelector:
node: good
affinity:
nodeAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
nodeSelectorTerms:
- matchExpressions:
- key: node
operator: In
values:
- good
- better
podAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
pod: good
topologyKey: topology.kubernetes.io/zone
podAntiAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
pod: bad
topologyKey: topology.kubernetes.io/zone
tolerations:
- key: node
operator: Equal
value: ok
effect: NoExecute
reportOptions:
replicas: 1
schedulingOptions:
nodeSelector:
node: good
affinity:
nodeAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
nodeSelectorTerms:
- matchExpressions:
- key: node
operator: In
values:
- good
- better
podAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
pod: good
topologyKey: topology.kubernetes.io/zone
podAntiAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
pod: bad
topologyKey: topology.kubernetes.io/zone
tolerations:
- key: node
operator: Equal
value: ok
effect: NoExecute
kind: Cryostat
apiVersion: operator.cryostat.io/v1beta2
metadata:
name: cryostat
spec:
schedulingOptions:
nodeSelector:
node: good
affinity:
nodeAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
nodeSelectorTerms:
- matchExpressions:
- key: node
operator: In
values:
- good
- better
podAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
pod: good
topologyKey: topology.kubernetes.io/zone
podAntiAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
pod: bad
topologyKey: topology.kubernetes.io/zone
tolerations:
- key: node
operator: Equal
value: ok
effect: NoExecute
reportOptions:
replicas: 1
schedulingOptions:
nodeSelector:
node: good
affinity:
nodeAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
nodeSelectorTerms:
- matchExpressions:
- key: node
operator: In
values:
- good
- better
podAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
pod: good
topologyKey: topology.kubernetes.io/zone
podAntiAffinity:
requiredDuringSchedulingIgnoredDuringExecution:
- labelSelector:
matchLabels:
pod: bad
topologyKey: topology.kubernetes.io/zone
tolerations:
- key: node
operator: Equal
value: ok
effect: NoExecute
または、Red Hat OpenShift Web コンソールを開いて Cryostat インスタンスを作成した後、その Cryostat インスタンスの SchedulingOptions と reportOptions.SchedulingOptions オプションで Affinities と Tolerations を定義することも可能です。
図1.7 OpenShift Web コンソールの Report Options および Scheduling Options パネル
1.7. ネットワーク Ingress ポリシーの無効化
Cryostat 4.0 以降では、Cryostat インスタンスのカスタムリソース (CR) で networkPolicies.coreConfig.disableNetworkPolicyCreation プロパティーを設定することで、オプションでネットワーク Ingress ポリシーを無効化できます。
デフォルトでは、disableNetworkPolicyCreation プロパティーは false に設定されています。つまり、ネットワークポリシーはデフォルトで有効になっています。
予期しない問題が発生しない限り (たとえば、クラスターがサービス、ルート、または Ingress に対して異なるネットワークスタックを使用している場合など)、これらのポリシーを有効のままにしておくことを検討してください。
前提条件
- Red Hat OpenShift Web コンソールを使用して OpenShift Container Platform にログインしている。
手順
Cryostat インスタンスの作成を開始する場合は、次の手順を実行します。
- Red Hat OpenShift Web コンソールで、Operators > Installed Operators の順にクリックします。
- 使用可能な Operator のリストから、Red Hat build of Cryostat を選択します。
- Operator details ページで、Details タブをクリックします。
- Provided APIs セクションで Cryostat を選択し、Create instance をクリックします。
Create Cryostat パネルで、
disableNetworkPolicyCreationプロパティーを設定するには、次のいずれかのオプションを選択します。Form ビューを使用する場合は、以下を実行します。
- Form view ラジオボタンをクリックします。
- Network Policies セクションを展開し、coreConfig を展開します。
Disable Network Policy creation スイッチを
trueに設定します。図1.8 Disable Network Policy creation スイッチを true に切り替える
YAML ビューを使用する場合は、以下を実行します。
- YAML view のラジオボタンをクリックします。
YAML ファイルの
spec:キーセットのnetworkPolicies:coreConfigの下で、disableNetworkPolicyCreationプロパティーをtrueに変更します。YAML ファイルへの
spec:キーセット設定例-- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: networkPolicies: coreConfig: disableNetworkPolicyCreation: true ---- apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: networkPolicies: coreConfig: disableNetworkPolicyCreation: true --Copy to Clipboard Copied!
- この Cryostat インスタンスのカスタムリソース (CR) で他のプロパティーを設定する場合は、これらのプロパティーの詳細は、このドキュメントの他のセクションを参照してください。
- この Cryostat インスタンスの作成を終了する場合は、Create をクリックします。
Create をクリックすると、この Cryostat インスタンスは Operator details ページの Cryostat タブで利用できます。その後、Operator details ページでインスタンス名をクリックし、Actions ドロップダウンメニューから Edit Cryostat を選択すると、Cryostat インスタンスの CR プロパティーを編集できます。
Cryostat Operator は、ネットワーク Ingress ポリシーを無効にした状態で Cryostat アプリケーションを自動的に再起動します。
1.8. Cryostat エージェントの自動設定
Cryostat 4.0 以降では、Cryostat Operator を使用して Cryostat エージェントを自動的に設定できます。この自動設定機能を有効にするには、Pod がどの Cryostat インスタンスと連携するかを識別する cryostat.io/name および cryostat.io/namespace ラベルをアプリケーションデプロイメントに追加する必要があります。
以下に例を示します。
apiVersion: apps/v1
kind: Deployment
…
spec:
…
template:
metadata:
labels:
…
cryostat.io/namespace: <namespace>
cryosat.io/name: <name>
apiVersion: apps/v1
kind: Deployment
…
spec:
…
template:
metadata:
labels:
…
cryostat.io/namespace: <namespace>
cryosat.io/name: <name>
上記の例で、<namespace> は Cryostat インスタンスのインストール namespace に置き換え、<name> は Cryostat CR の名前に置き換えます。Operator は、アプリケーションデプロイメントにこれらのラベルがあることを検出すると、エージェント JAR ファイルを含むボリュームをこのアプリケーションにマウントします。
自動設定機能の一部として、Cryostat は、作成時に Pod を変更して Cryostat エージェントを注入する Mutating Admission Webhook を使用します。また、webhook は、選択された Cryostat インスタンスに自動的に接続するようにエージェントを設定します。この場合、必要な cryostat.io/name および cryostat.io/namespace ラベルを含む Pod のみが webhook を呼び出すため、任意の Pod での Cryostat エージェントのセットアップが簡素化されます。さらに、Operator は、Cryostat インスタンスのターゲット namespace リスト内にあるアプリケーションデプロイメントでこれらのラベルが指定されている場合にのみ動作します。それ以外の場合は、セキュリティー上の理由から、Operator はアプリケーションがこの Cryostat インスタンスと通信するように設定しません。
webhook は、Cryostat エージェントのコンテナーベースのディストリビューション (cryostat-agent-init) を使用して、選択した Pod へのエージェントの自動設定と注入を行います。webhook が cryostat-agent-init コンテナーイメージを使用するため、ユーザーは Red Hat Maven リポジトリーからエージェント JAR ファイルをダウンロードする必要がなくなります。
Cryostat エージェントの自動設定または手動設定の詳細は、Cryostat のスタートガイド ガイドの Cryostat エージェントの使用 を参照してください。
1.9. エージェントプロキシーの自動設定
Cryostat Operator を使用して Cryostat エージェントを自動的に設定すると、Operator は “エージェントプロキシー” コンテナーも自動的に設定します。このエージェントプロキシーは、認証に自己署名クライアント証明書を必要とし、選択した Cryostat HTTP API エンドポイントへのアクセスを許可する Nginx ベースのリバースプロキシーです。エージェントプロキシーを使用すると、Cryostat エージェントは Cryostat サーバーと通信し、クライアント証明書を使用してクラスター内部トラフィック用の Cryostat の API にアクセスできるため、APIServer トークンを使用する必要がなくなります。
1.10. Cryostat Web コンソールプラグインの自動インストール
Red Hat OpenShift Container Platform 4.15 以降に Cryostat Operator をインストールすると、Cryostat Operator によって Cryostat Web コンソールプラグインが自動的にインストールされます。この場合、Web コンソールの更新が利用可能であることを示すプロンプトがパネルの右上隅に表示されます。
図1.9 Web コンソール更新に関するプロンプト
プロンプトエリアで Refresh web console をクリックすると、Red Hat OpenShift Container Platform Web コンソールの左側のナビゲーションペインに Cryostat オプションが自動的に追加されます。Cryostat オプションをクリックすると、OpenShift Container Platform コンソールから直接 Cryostat Web コンソール機能にアクセスできるため、個々の Cryostat インスタンスの個別のユーザーインターフェイスにアクセスする必要はありません。
Cryostat Operator は、Red Hat OpenShift Container Platform 4.15 以降でのみ、Cryostat Web コンソールプラグインのインストールをサポートしています。Operator がクラスターのバージョンが 4.15 より前であることを検出すると、Operator は Web コンソールプラグインをインストールできませんが、その他の Cryostat 機能はすべて期待どおりに動作します。
Web コンソールプラグインが対話できる Cryostat インスタンスを少なくとも 1 つ作成する必要があります。
第2章 Pod Security Admission
Red Hat OpenShift は、Pod Security Admission (PSA) を使用して、同じ Red Hat OpenShift クラスター内にあるアプリケーション Pod に一連のセキュリティールールを適用します。Cryostat のコンテキストでは、これらのアプリケーション Pod には、Cryostat Pod、Cryostat データベース Pod、Cryostat ストレージ Pod、および Report サイドカー Pod が含まれます。Cryostat をインストールすると、Cryostat データベースとストレージ Pod が自動的にデプロイされます。オプションで、Cryostat カスタムリソース (CR) で Report サイドカー Pod を有効にすることができます。アプリケーションがポリシー基準を満たしていない場合、そのアプリケーションを Red Hat OpenShift クラスターで実行することはできません。
Red Hat OpenShift 4.8 以降では PodSecurityPolicy API はサポートされなくなり、代わりに PSA が使用されます。PSA には以下のメリットがあります。
- アプリケーション Pod に Pod セキュリティー標準を適用できる組み込みコントローラーが含まれています。
-
Privileged、Baseline、Restrictedの 3 つの異なるポリシーを定義する Pod セキュリティー標準のセットが含まれています。
Red Hat OpenShift では、Security Context Constraints (SCC) で PSA を使用して、Red Hat OpenShift クラスターのポリシーを定義できます。デフォルトでは、restricted-v2 SCC は Restricted Pod セキュリティー標準に準拠しています。
デフォルトでは、Cryostat Pod のセキュリティーコンテキストは restricted-v2 SCC に準拠します。つまり、Red Hat OpenShift は、Restricted Pod セキュリティー標準を強制する namespace で Pod を許可できます。
Restricted ポリシーでは、Cryostat Operator がコンテナーセキュリティーコンテキストを次のように設定する必要があります。
-
ALL機能を停止します。 -
allowPrivilegeEscaltionをfalseに設定します。
Restricted ポリシーでは、Cryostat Operator が Pod セキュリティーコンテキストを次のように設定する必要があります。
-
runAsNonRootをtrueに設定します。 -
seccompProfileをRuntimeDefaultに設定します。
さらに、Cryostat Operator は Cryostat アプリケーション Pod の Pod セキュリティーコンテキストで fsGroup を定義するため、Cryostat は Red Hat OpenShift 上の永続ストレージボリューム内のファイルを読み書きできます。
Restricted Pod セキュリティー標準への準拠以外に追加の要件がある場合は、Cryostat が使用するデフォルトのセキュリティーコンテキストをオーバーライドできます。
2.1. セキュリティーコンテキストの設定
Red Hat OpenShift の Cryostat カスタムリソース (CR) で、Pod とコンテナーのセキュリティーコンテキストを指定できます。セキュリティーコンテキストは、Cryostat Pod、Cryostat データベース Pod、Cryostat ストレージ Pod、Report サイドカー Pod (使用中の場合)、および各 Pod のコンテナーに権限を適用します。
CR の設定を変更すると、これらの設定はデフォルトのセキュリティーコンテキスト設定をオーバーライドします。
セキュリティーコンテキストは、Pod 内に存在するアプリケーションに特定のパーミッションを適用します。セキュリティーコンテキストは、SCC ポリシーの基準を変更できません。カスタム SCC を作成して、Pod が実行できるアクションや Pod がアクセスできるリソースなど、厳密なパーミッションを Pod に適用するように Red Hat OpenShift クラスターに指示できます。
カスタム SCC を作成するには、クラスター管理パーミッションが必要です。また、クラスターで動作するすべての Pod のセキュリティーコンテキストを作成して、これらの Pod がカスタム SCC 要件を満たすようにする必要があります。
SCC は Red Hat OpenShift のクラスターレベルと namespace レベルで変更を強制的に適用するため、このクラスター内部で動作するすべての Pod がポリシー基準を受け取ります。これに対して、セキュリティーコンテキストは Pod 固有のものになります。
デフォルトでは、Cryostat Operator は Cryostat Pod の restricted-v2 SCC ポリシーに準拠しています。
デフォルトでは、Cryostat Operator は Cryostat とそのコンポーネント (jfr-datasource、grafana、storage、database、auth-proxy など) のサービスアカウントを作成します。
このサービスアカウントでカスタム SCC を使用できるようにするには、以下のいずれかの手順を実行します。
-
カスタム SCC を
使用するロールに Cryostat サービスアカウントをバインドするRole Bindingを作成します。 -
Label Syncerコンポーネントを使用して、プロジェクトの namespace が PSA ポリシーに従うように指示します。
Label Syncer コンポーネントは、このドキュメントの範囲外になります。通常、openshift- タグの接頭辞が付けられた Red Hat OpenShift システムの namespace で Label Syncer コンポーネントは使用できません。
特定のパーミッションをアプリケーション Pod に適用するようにセキュリティーコンテキストを設定する前に、Red Hat OpenShift 上のクラスターにもたらされる可能性があるセキュリティーリスクを考慮してください。PSA では、通常、ほとんどの要件を満たす 3 つの段階的なポリシーレベルが用意されています。Red Hat は、Red Hat OpenShift Pod のセキュリティー標準に準拠しないセキュリティーコンテキストの変更について一切の責任を負いません。
前提条件
- Red Hat OpenShift Web コンソールを使用して OpenShift Container Platform にログインしている。
- Cryostat Operator を Red Hat OpenShift のプロジェクトにインストールしている。Red Hat build of Cryostat Operator を使用した Red Hat OpenShift への Cryostat のインストール (Cryostat のインストール) を参照してください。
- オプション: PSA と SCC の新しいポリシーを参照している。セキュリティーコンテキスト制約の管理 (OpenShift Container Platform) を参照してください。
オプション: PSA が提供する 3 つのポリシーのいずれかを使用するようにプロジェクトを設定している。
- カスタム SCC を使用して Pod に特定のポリシーを適用する場合は、Pod のサービスアカウントがそれにアクセスできるように SCC を設定する必要があります。
手順
Cryostat インスタンスの作成を開始する場合は、次の手順を実行します。
- Red Hat OpenShift Web コンソールで、Operators > Installed Operators の順にクリックします。
- 使用可能な Operator のリストから、Red Hat build of Cryostat を選択します。
- Operator details ページで、Details タブをクリックします。
Provided APIs セクションで Cryostat を選択し、Create instance をクリックします。
注記Cryostat Operator は、Report サイドカー Pod のサービスアカウントを作成しません。代わりに、これらの Pod は独自の namespace でデフォルトのサービスアカウントを使用します。
Create Cryostat パネルで、セキュリティーコンテキストを設定するには、次のいずれかのオプションを選択します。
YAML ビューを使用する場合は、以下を実行します。
- YAML view のラジオボタンをクリックします。
spec:要素から、セキュリティー要件に一致するようにsecurityOptionsプロパティーおよびreportOptionsプロパティーを編集します。セキュリティーコンテキストの設定例
apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: securityOptions: podSecurityContext: runAsNonRoot: true seccompProfile: type: RuntimeDefault coreSecurityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL runAsUser: 1001 dataSourceSecurityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL grafanaSecurityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL reportOptions: replicas: 1 podSecurityContext: runAsNonRoot: true seccompProfile: type: RuntimeDefault reportsSecurityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL runAsUser: 1001apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample spec: securityOptions: podSecurityContext: runAsNonRoot: true seccompProfile: type: RuntimeDefault coreSecurityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL runAsUser: 1001 dataSourceSecurityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL grafanaSecurityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL reportOptions: replicas: 1 podSecurityContext: runAsNonRoot: true seccompProfile: type: RuntimeDefault reportsSecurityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL runAsUser: 1001Copy to Clipboard Copied!
Form ビューを使用する場合は、以下を実行します。
- *Form view" ラジオボタンをクリックします。
Advanced Configurations を展開して、Red Hat OpenShift Web コンソールで追加のオプションを開きます。
図2.1 詳細設定メニューオプション
- Core Security Context を展開します。使用可能なオプションのリストから、セキュリティーコンテキストの設定を定義します。
次の各セキュリティーコンテキストを順番に展開し、必要に応じて設定を定義します。
- Auth プロキシーセキュリティーコンテキスト
- データソースセキュリティーコンテキスト
- データベースセキュリティーコンテキスト
- Grafana セキュリティーコンテキスト
- Pod セキュリティーコンテキスト
- ストレージセキュリティーコンテキスト
オプション: Report Generator サービスを使用している場合は、このサービスのセキュリティーコンテキストを設定することもできます。この場合、Report Options > Advanced Configuration > Security Options を展開します。次に、必要に応じて Reports Security Context および Pod Security Context 設定を展開して定義します。
図2.2 レポートジェネレーターセキュリティーコンテキスト
- この Cryostat インスタンスのカスタムリソース (CR) で他のプロパティーを設定する場合は、これらのプロパティーの詳細は、このドキュメントの他のセクションを参照してください。
- この Cryostat インスタンスの作成を終了する場合は、Create をクリックします。
Create をクリックすると、この Cryostat インスタンスは Operator details ページの Cryostat タブで利用できます。その後、Operator details ページでインスタンス名をクリックし、Actions ドロップダウンメニューから Edit Cryostat を選択すると、Cryostat インスタンスの CR プロパティーを編集できます。
2.2. Pod セキュリティー標準ポリシー
Pod Security Admission (PSA) には、Pod セキュリティー標準に関連するセキュリティーレベルに対応する 3 つのポリシーが含まれています。各ポリシーについて、以下の表で説明します。
| Profile | 説明 |
|---|---|
|
| Cryostat Pod に幅広いレベルのパーミッションを提供する無制限のポリシー。Pod に既知の権限昇格を付与する必要がある場合は、このポリシーを設定することを検討してください。 |
|
|
既知の権限昇格を制限するデフォルトのポリシー。 |
|
|
Cryostat Pod に低レベルのパーミッションを付与する |
第3章 RBAC の設定
Cryostat Operator または Helm チャートを使用して Cryostat 4.0 をインストールすると、Cryostat には Pod にリバースプロキシー (openshift-oauth-proxy または oauth2_proxy) が含まれます。Cryostat へのすべての API リクエストと、Cryostat Web コンソールまたは Grafana ダッシュボードのすべてのユーザーは、このプロキシーを経由して送信され、このプロキシーはクライアントセッションを処理してアプリケーションへのアクセスを制御します。Red Hat OpenShift にデプロイされると、プロキシーは Cryostat インストール namespace を使用して、Red Hat OpenShift クラスター SSO プロバイダーと統合し、ユーザー認証と認可の RBAC チェックを実行します。
Cryostat 4.0 以降、Cryostat は、製品へのアクセスを許可または拒否する目的で、すべてのユーザーに同じロールベースアクセス制御 (RBAC) 権限チェックを適用します。デフォルトでは、Cryostat アプリケーションのインストール namespace に必要な RBAC ロールは create pods/exec です。必要な RBAC ロールが割り当てられている Red Hat OpenShift ユーザーアカウントには、Cryostat Web コンソールとすべての Cryostat 機能への完全なアクセス権があります。Red Hat OpenShift アカウントに必要な RBAC ロールがない場合、このユーザーは Cryostat にアクセスできなくなります。
オプションで htpasswd ファイルを使用して認証プロキシーを設定し、Basic 認証を有効にすることができます。Red Hat OpenShift では、これにより、Red Hat OpenShift SSO RBAC アクセス権を持つユーザー以外に Cryostat にアクセスできるユーザーアカウントを追加で定義できます。
Cryostat Operator を使用して Cryostat インスタンスをインストールする場合、オプションで Cryostat カスタムリソース (CR) の .spec.authorizationOptions.openShiftSSO.accessReview フィールドを使用して、Cryostat へのアクセスに必要な Red Hat OpenShift SSO RBAC 権限をカスタマイズできます。
前提条件
- Red Hat OpenShift Web コンソールを使用して OpenShift Container Platform にログインしている。
手順
Cryostat インスタンスの作成を開始する場合は、次の手順を実行します。
- Red Hat OpenShift Web コンソールで、Operators > Installed Operators の順にクリックします。
- 使用可能な Operator のリストから、Red Hat build of Cryostat を選択します。
- Operator details ページで、Details タブをクリックします。
- Provided APIs セクションで Cryostat を選択し、Create instance をクリックします。
Create Cryostat パネルで、Cryostat へのすべてのクライアントアクセスに必要な SubjectAccessReview または TokenAccessReview をカスタマイズするには、次のいずれかのオプションを選択します。
Form ビューを使用している場合は、以下を実行します。
- Form view ラジオボタンをクリックします。
- 追加のオプションを開くには、Advanced Configurations を展開して追加のオプションを開きます。
Cryostat CR の Authorization Options > OpenShift SSO > Access Review セクションを展開します。
図3.1 Cryostat インスタンスの Access Review プロパティー
Cryostat へのアクセスに必要なカスタムの RBAC 設定を指定するには、次のフィールドを使用します。
フィールド 詳細 group
リソースの API グループ。
ワイルドカードアスタリスク (
*) 値はすべてのグループを表します。name
getの場合は要求されるリソースの名前、deleteの場合は削除されるリソースの名前。空の値はすべての名前を表します。
namespace
要求されているアクションの namespace。
現在、namespace なしとすべての namespace の間に区別はありません。次のガイドラインを考慮してください。
- LocalSubjectAccessReviews の空の値がデフォルトで使用されます。
- 空の値は、クラスタースコープのリソースが存在しないことを示します。
- 空の値は、SubjectAccessReview または SelfSubjectAccessReview からのすべての namespace スコープのリソースを表します。
resource
既存のリソースタイプ。
ワイルドカードのアスタリスク (
*) 値は、すべてのリソースタイプを表します。subresource
既存のリソースタイプ。
空の値は、リソースタイプを表します。
verb
Kubernetes リソース API 動詞 (例:
get、list、watch、create、update、delete、proxy)。ワイルドカードのアスタリスク (
*) 値はすべての動詞を表します。version
リソースの API バージョン。
ワイルドカードのアスタリスク (
*) 値は、すべてのバージョンを表します。
YAML ビューを使用している場合は、以下を実行します。
- YAML view のラジオボタンをクリックします。
spec:要素から、authorizationOptions:OpenShiftSSOプロパティーを編集して、RBAC アクセス許可の要件に一致させます。RBAC パーミッションの設定例
apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample namespace: cryostat-test spec: ... authorizationOptions: openShiftSSO: accessReview: group: <API group of resource> name: <Name of resource being requested or deleted> namespace: <Namespace of action being requested> resource: <An existing resource type> subresource: <An existig resource type> verb: <A Kubernetes resource API verb> version: <API version of resource> ...apiVersion: operator.cryostat.io/v1beta2 kind: Cryostat metadata: name: cryostat-sample namespace: cryostat-test spec: ... authorizationOptions: openShiftSSO: accessReview: group: <API group of resource> name: <Name of resource being requested or deleted> namespace: <Namespace of action being requested> resource: <An existing resource type> subresource: <An existig resource type> verb: <A Kubernetes resource API verb> version: <API version of resource> ...Copy to Clipboard Copied!
- この Cryostat インスタンスのカスタムリソース (CR) で他のプロパティーを設定する場合は、これらのプロパティーの詳細は、このドキュメントの他のセクションを参照してください。
- この Cryostat インスタンスの作成を終了する場合は、Create をクリックします。
Create をクリックすると、この Cryostat インスタンスは Operator details ページの Cryostat タブで利用できます。その後、Operator details ページでインスタンス名をクリックし、Actions ドロップダウンメニューから Edit Cryostat を選択すると、Cryostat インスタンスの CR プロパティーを編集できます。
改訂日時: 2025-03-21
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}