Red Hat Summit第1章 セキュリティーオプション
Cryostat のセキュリティー設定を行うと、Cryostat インスタンスをより適切に保護できます。
Cryostat は、ターゲット JVM アプリケーションの認証情報を暗号化し、Red Hat OpenShift の永続ボリューム要求 (PVC) に格納されているデータベースに保存できます。Cryostat は、認証情報をデータベースに追加する HTTP リクエストと、その認証情報を使用してターゲットアプリケーションに接続する JMX 接続で SSL/TLS をサポートします。また、Cryostat は、ユーザーによって提供されたパスフレーズまたは Red Hat build of Cryostat Operator によって生成されたパスフレーズを使用して、データベース内の認証情報を暗号化します。
Cryostat Operator を使用すると、これらの証明書をシークレットに追加し、このシークレットを含むように Cryostat カスタムリソース (CR) を設定することにより、特定のアプリケーションからの SSL/TLS 証明書を信頼するように Cryostat を設定できます。詳細は、Red Hat build of Cryostat Operator を使用した Cryostat の設定: TLS 証明書の設定 を参照してください。
Cryostat Web コンソールの Security メニューをクリックすると、ターゲット JVM にインポートされた SSL/TLS 証明書のリストを表示できます。
図1.1 ターゲット JVM でインポートされた SSL 証明書一覧の表示
1.1. 認証情報の保存および管理
ターゲット JVM アプリケーションに対して Java Management Extensions (JMX) 認証または HTTP 認証を有効にすると、Cryostat がアプリケーションの JFR レコーディングにアクセスできるように、認証情報の入力を求められます。
Cryostat Web コンソールで Recordings または Events メニュー項目をクリックすると、コンソールで Authentication Required ウィンドウが開きます。ターゲット JVM アプリケーションのユーザー名およびパスワードを入力する必要があります。その後、レコーディングを表示したり、アプリケーションで追加のレコーディング操作を実行したりできます。
図1.2 Cryostat Authentication Required ウィンドウの例
Cryostat は、Cryostat エージェントまたはターゲット JVM への接続に使用する認証情報を保存します。
ターゲット JVM アプリケーションを再起動する必要がある場合は、アプリケーションの JFR レコーディングデータが失われないように、次のいずれかのタスクを完了してください。
- Cryostat Web コンソールの Recordings メニュー項目をクリックし、JFR レコーディングをアーカイブします。
- Cryostat アーカイブのストレージの場所にスナップショットのレコーディングをコピーするように Cryostat をスケジュールする自動化されたルールを作成します。
自動化されたルールを作成して複数のターゲット JVM をモニターする場合は、各ターゲット JVM 接続に対して認証情報を保存して再利用するように Cryostat を設定できます。この設定を使用すると、Cryostat Web コンソールでアプリケーションの JFR レコーディングに再度アクセスするときに、認証情報を再入力する必要がなくなります。
前提条件
- ターゲット JVM アプリケーションの JMX または HTTP 認証を有効にした。
手順
- Security メニュー項目をクリックします。
Store Credentials ウィンドウで、Add ボタンをクリックします。Store Credentials ウィンドウが開きます。
図1.3 Store Credentials ウィンドウの例
Match Expression フィールドに、一致式の詳細を指定します。
注記疑問符アイコンを選択すると、Match Expression Hint スニペットに推奨の構文が表示されます。
Save をクリックします。Store Credentials ウィンドウにテーブルエントリーが表示され、ターゲット JVM の Match Expression が示されます。
図1.4 Store Credentials ペインのテーブルエントリーの例
重要セキュリティー上の理由から、テーブルエントリーにはユーザー名やパスワードは表示されません。
- オプション: ターゲット JVM の保存済み認証情報を削除する場合は、このターゲット JVM のテーブルエントリーの横にあるチェックボックスを選択してから、Delete をクリックします。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}