13.7. クロスサイト接続のセキュリティー保護

キーストアとトラストストアを追加して、Data Grid クラスターがクロスサイトレプリケーショントラフィックを保護できるようにします。

クロスサイトレプリケーションの公開タイプとして OpenShift Route を使用するには、キーストアを追加する必要があります。公開タイプとして NodePort または LoadBalancer を使用する場合、クロスサイト接続の保護はオプションです。

注記

クロスサイトレプリケーションは、OpenShift CA サービスをサポートしていません。独自の証明書を指定する必要があります。

前提条件

Data Grid が使用して RELAY メッセージの暗号化と復号化ができる PKCS12 キーストアを用意する。
クロスサイト接続のセキュリティーを保護するには、Pod およびルーター Pod をリレーするためのキーストアを提供する必要があります。
リレー Pod とルーター Pod で同じキーストアにすることも、それぞれに個別のキーストアを提供することもできます。
各 Data Grid クラスターに同じキーストアを使用するか、各クラスターに一意のキーストアを使用することもできます。
Data Grid リレー Pod とルーター Pod の公開証明書を検証する証明書チェーンまたはルート CA 証明書の一部を含む PKCS12 トラストストアがある。

手順

クロスサイト暗号化シークレットを作成します。
1. キーストアシークレットを作成します。
2. トラストストアシークレットを作成します。
各 Data Grid クラスターの Infinispan CR を変更し、encryption.transportKeyStore.secretName および encryption.routerKeyStore.secretName フィールドのシークレット名を指定します。

必要に応じて RELAY メッセージを暗号化するように他のフィールドを設定して変更を適用します。

apiVersion: infinispan.org/v1
kind: Infinispan
metadata:
  name: infinispan
spec:
  replicas: 2
  version: <Data Grid_version>
  expose:
    type: LoadBalancer
  service:
    type: DataGrid
    sites:
      local:
        name: SiteA
        # ...
        encryption:
          protocol: TLSv1.3
          transportKeyStore:
            secretName: transport-tls-secret
            alias: transport
            filename: keystore.p12
          routerKeyStore:
            secretName: router-tls-secret
            alias: router
            filename: keystore.p12
          trustStore:
            secretName: truststore-tls-secret
            filename: truststore.p12
      locations:
        # ...

13.7.1. サイト間の暗号化を設定するためのリソース

以下の表は、クロスサイト接続を暗号化するフィールドおよび説明を示しています。

表13.4 service.type.sites.local.encryption
フィールド	説明
`service.type.sites.local.encryption.protocol`	クロスサイト接続に使用する TLS プロトコルを指定します。デフォルト値は `TLSv1.2` ですが、必要に応じて `TLSv1.3` を設定できます。
`service.type.sites.local.encryption.transportKeyStore`	リレー Pod のキーストアシークレットを設定します。
`service.type.sites.local.encryption.routerKeyStore`	ルーター Pod のキーストアシークレットを設定します。
`service.type.sites.local.encryption.trustStore`	リレー Pod とルーター Pod のトラストストアシークレットを設定します。

表13.5 service.type.sites.local.encryption.transportKeyStore
フィールド	説明
`secretName`	リレー Pod が RELAY メッセージの暗号化および復号化に使用できるキーストアを含むシークレットを指定します。このフィールドは必須です。
`alias`	オプションで、キーストアの証明書のエイリアスを指定します。デフォルト値は `transport` です。
`filename`	オプションでキーストアのファイル名を指定します。デフォルト値は `keystore.p12` です。

表13.6 service.type.sites.local.encryption.routerKeyStore
フィールド	説明
`secretName`	ルーター Pod が RELAY メッセージの暗号化および復号化に使用できるキーストアを含むシークレットを指定します。このフィールドは必須です。
`alias`	オプションで、キーストアの証明書のエイリアスを指定します。デフォルト値は `router` です。
`filename`	オプションでキーストアのファイル名を指定します。デフォルト値は `keystore.p12` です。

表13.7 service.type.sites.local.encryption.trustStore
フィールド	説明
`secretName`	リレー Pod とルーター Pod の公開証明書を検証するためのトラストストアを含むシークレットを指定します。このフィールドは必須です。
`filename`	オプションでトラストストアのファイル名を指定します。デフォルト値は `truststore.p12` です。

13.7.2. クロスサイト暗号化シークレット

クロスサイトレプリケーション暗号化シークレットは、クロスサイト接続を保護するためのキーストアとトラストストアを追加します。

クロスサイト暗号化シークレット

apiVersion: v1
kind: Secret
metadata:
  name: tls-secret
type: Opaque
stringData:
  password: changeme
  type: pkcs12
data:
  <file-name>: "MIIKDgIBAzCCCdQGCSqGSIb3DQEHA..."

フィールド	説明
`stringData.password`	キーストアまたはトラストストアのパスワードを指定します。
`stringData.type`	オプションでキーストアまたはトラストストアタイプを指定します。デフォルト値は `pkcs12` です。
`data.<file-name>`	base64 でエンコードされたキーストアまたはトラストストアを追加します。

13.7. クロスサイト接続のセキュリティー保護

13.7.1. サイト間の暗号化を設定するためのリソース

13.7.2. クロスサイト暗号化シークレット

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links