Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

13.7. クロスサイト接続のセキュリティー保護

キーストアとトラストストアを追加して、Data Grid クラスターがクロスサイトレプリケーショントラフィックを保護できるようにします。

クロスサイトレプリケーションの公開タイプとして OpenShift Route を使用するには、キーストアを追加する必要があります。公開タイプとして NodePort または LoadBalancer を使用する場合、クロスサイト接続の保護はオプションです。

注記

クロスサイトレプリケーションは、OpenShift CA サービスをサポートしていません。独自の証明書を指定する必要があります。

前提条件

  • Data Grid が使用して RELAY メッセージの暗号化と復号化ができる PKCS12 キーストアを用意する。

    クロスサイト接続のセキュリティーを保護するには、Pod およびルーター Pod をリレーするためのキーストアを提供する必要があります。
    リレー Pod とルーター Pod で同じキーストアにすることも、それぞれに個別のキーストアを提供することもできます。
    各 Data Grid クラスターに同じキーストアを使用するか、各クラスターに一意のキーストアを使用することもできます。

  • Data Grid リレー Pod とルーター Pod の公開証明書を検証する証明書チェーンまたはルート CA 証明書の一部を含む PKCS12 トラストストアがある。

手順

  1. クロスサイト暗号化シークレットを作成します。

    1. キーストアシークレットを作成します。
    2. トラストストアシークレットを作成します。
  2. 各 Data Grid クラスターの Infinispan CR を変更し、encryption.transportKeyStore.secretName および encryption.routerKeyStore.secretName フィールドのシークレット名を指定します。

  3. 必要に応じて RELAY メッセージを暗号化するように他のフィールドを設定して変更を適用します。 

    apiVersion: infinispan.org/v1
kind: Infinispan
metadata:
  name: infinispan
spec:
  replicas: 2
  version: <Data Grid_version>
  expose:
    type: LoadBalancer
  service:
    type: DataGrid
    sites:
      local:
        name: SiteA
        # ...
        encryption:
          protocol: TLSv1.3
          transportKeyStore:
            secretName: transport-tls-secret
            alias: transport
            filename: keystore.p12
          routerKeyStore:
            secretName: router-tls-secret
            alias: router
            filename: keystore.p12
          trustStore:
            secretName: truststore-tls-secret
            filename: truststore.p12
      locations:
        # ...
    Copy to Clipboard Toggle word wrap

13.7.1. サイト間の暗号化を設定するためのリソース
リンクのコピー

以下の表は、クロスサイト接続を暗号化するフィールドおよび説明を示しています。

Expand
表13.4 service.type.sites.local.encryption
フィールド説明

service.type.sites.local.encryption.protocol

クロスサイト接続に使用する TLS プロトコルを指定します。デフォルト値は TLSv1.2 ですが、必要に応じて TLSv1.3 を設定できます。

service.type.sites.local.encryption.transportKeyStore

リレー Pod のキーストアシークレットを設定します。

service.type.sites.local.encryption.routerKeyStore

ルーター Pod のキーストアシークレットを設定します。

service.type.sites.local.encryption.trustStore

リレー Pod とルーター Pod のトラストストアシークレットを設定します。

Expand
表13.5 service.type.sites.local.encryption.transportKeyStore
フィールド説明

secretName

リレー Pod が RELAY メッセージの暗号化および復号化に使用できるキーストアを含むシークレットを指定します。このフィールドは必須です。

alias

オプションで、キーストアの証明書のエイリアスを指定します。デフォルト値は transport です。

filename

オプションでキーストアのファイル名を指定します。デフォルト値は keystore.p12 です。

Expand
表13.6 service.type.sites.local.encryption.routerKeyStore
フィールド説明

secretName

ルーター Pod が RELAY メッセージの暗号化および復号化に使用できるキーストアを含むシークレットを指定します。このフィールドは必須です。

alias

オプションで、キーストアの証明書のエイリアスを指定します。デフォルト値は router です。

filename

オプションでキーストアのファイル名を指定します。デフォルト値は keystore.p12 です。

Expand
表13.7 service.type.sites.local.encryption.trustStore
フィールド説明

secretName

リレー Pod とルーター Pod の公開証明書を検証するためのトラストストアを含むシークレットを指定します。このフィールドは必須です。

filename

オプションでトラストストアのファイル名を指定します。デフォルト値は truststore.p12 です。

13.7.2. クロスサイト暗号化シークレット
リンクのコピー

クロスサイトレプリケーション暗号化シークレットは、クロスサイト接続を保護するためのキーストアとトラストストアを追加します。

クロスサイト暗号化シークレット

apiVersion: v1
kind: Secret
metadata:
  name: tls-secret
type: Opaque
stringData:
  password: changeme
  type: pkcs12
data:
  <file-name>: "MIIKDgIBAzCCCdQGCSqGSIb3DQEHA..."
Copy to Clipboard Toggle word wrap

Expand
フィールド説明

stringData.password

キーストアまたはトラストストアのパスワードを指定します。

stringData.type

オプションでキーストアまたはトラストストアタイプを指定します。デフォルト値は pkcs12 です。

data.<file-name>

base64 でエンコードされたキーストアまたはトラストストアを追加します。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hat