Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

13.5. クロスサイト接続のセキュリティー保護

キーストアとトラストストアを追加して、Data Grid クラスターがクロスサイトレプリケーショントラフィックを保護できるようにします。

クロスサイトレプリケーションの公開タイプとして OpenShift Route を使用するには、キーストアを追加する必要があります。公開タイプとして NodePort または LoadBalancer を使用する場合、クロスサイト接続の保護はオプションです。

前提条件

  • Data Grid が使用して RELAY メッセージの暗号化と復号化ができる PKCS12 キーストアを用意する。

    クロスサイト接続のセキュリティーを保護するには、Pod およびルーター Pod をリレーするためのキーストアを提供する必要があります。
    リレー Pod とルーター Pod で同じキーストアにすることも、それぞれに個別のキーストアを提供することもできます。
    各 Data Grid クラスターに同じキーストアを使用するか、各クラスターに一意のキーストアを使用することもできます。

  • オプションで、Data Grid リレー Pod およびルーター Pod のパブリック証明書を検証する証明書チェーンまたはルート CA 証明書の一部が含まれるトラストストアがあります。

    デフォルトでは、Data Grid は Java トラストストアを使用してパブリック証明書を検証します。

手順

  1. クロスサイト暗号化シークレットを作成します。

    1. キーストアシークレットを作成します。
    2. デフォルトの Java トラストストアを使用しない場合は、トラストストアのシークレットを作成します。
  2. 各 Data Grid クラスターの Infinispan CR を変更し、encryption.transportKeyStore.secretName および encryption.routerKeyStore.secretName フィールドのシークレット名を指定します。

  3. 必要に応じて RELAY メッセージを暗号化するように他のフィールドを設定して変更を適用します。 

    apiVersion: infinispan.org/v1
kind: Infinispan
metadata:
  name: infinispan
spec:
  replicas: 2
  expose:
    type: LoadBalancer
  service:
    type: DataGrid
    sites:
      local:
        name: SiteA
        # ...
        encryption:
          protocol: TLSv1.3
          transportKeyStore:
            secretName: transport-tls-secret
            alias: transport
            filename: keystore.p12
          routerKeyStore:
            secretName: router-tls-secret
            alias: router
            filename: keystore.p12
          trustStore:
            secretName: truststore-tls-secret
            filename: truststore.p12
      locations:
        # ...
    Copy to Clipboard Toggle word wrap

13.5.1. サイト間の暗号化を設定するためのリソース
リンクのコピー

以下の表は、クロスサイト接続を暗号化するフィールドおよび説明を示しています。

Expand
表13.4 service.type.sites.local.encryption
フィールド説明

service.type.sites.local.encryption.protocol

クロスサイト接続に使用する TLS プロトコルを指定します。デフォルト値は TLSv1.2 ですが、必要に応じて TLSv1.3 を設定できます。

service.type.sites.local.encryption.transportKeyStore

リレー Pod のキーストアシークレットを設定します。

service.type.sites.local.encryption.routerKeyStore

ルーター Pod のキーストアシークレットを設定します。

service.type.sites.local.encryption.trustStore

リレー Pod とルーター Pod 用に任意のトラストストアシークレットを設定します。

Expand
表13.5 service.type.sites.local.encryption.transportKeyStore
フィールド説明

secretName

リレー Pod が RELAY メッセージの暗号化および復号化に使用できるキーストアを含むシークレットを指定します。このフィールドは必須です。

alias

オプションで、キーストアの証明書のエイリアスを指定します。デフォルト値は transport です。

filename

オプションでキーストアのファイル名を指定します。デフォルト値は keystore.p12 です。

Expand
表13.6 service.type.sites.local.encryption.routerKeyStore
フィールド説明

secretName

ルーター Pod が RELAY メッセージの暗号化および復号化に使用できるキーストアを含むシークレットを指定します。このフィールドは必須です。

alias

オプションで、キーストアの証明書のエイリアスを指定します。デフォルト値は router です。

filename

オプションでキーストアのファイル名を指定します。デフォルト値は keystore.p12 です。

Expand
表13.7 service.type.sites.local.encryption.trustStore
フィールド説明

secretName

オプションで、リレー Pod およびルーター Pod のパブリック証明書を検証するためのトラストストアが含まれるシークレットを指定します。デフォルト値は <cluster-name>-truststore-site-tls-secret です。

filename

オプションでトラストストアのファイル名を指定します。デフォルト値は truststore.p12 です。

13.5.2. クロスサイトの暗号化シークレット
リンクのコピー

クロスサイトレプリケーション暗号化のシークレットは、クロスサイト接続のセキュリティーを保護するためにキーストアと任意のトラストストアを追加します。

クロスサイトの暗号化シークレット

apiVersion: v1
kind: Secret
metadata:
  name: tls-secret
type: Opaque
stringData:
  password: changeme
  type: pkcs12
data:
  <file-name>: "MIIKDgIBAzCCCdQGCSqGSIb3DQEHA..."
Copy to Clipboard Toggle word wrap

Expand
フィールド説明

stringData.password

キーストアまたはトラストストアのパスワードを指定します。

stringData.type

オプションでキーストアまたはトラストストアタイプを指定します。デフォルト値は pkcs12 です。

data.<file-name>

base64 でエンコードされたキーストアまたはトラストストアを追加します。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hat