2.3. Kubernetes 認証方式を使用した KMS でのクラスター全体の暗号化の有効化

手順

1. サービスアカウントを作成します。

   $ oc -n openshift-storage create serviceaccount <serviceaccount_name>

   Copy to Clipboard Toggle word wrap

   ここで、<serviceaccount_name> はサービスアカウントの名前を指定します。

   以下に例を示します。

   $ oc -n openshift-storage create serviceaccount odf-vault-auth

   Copy to Clipboard Toggle word wrap

2. clusterrolebindings と clusterroles を作成します。

   $ oc -n openshift-storage create clusterrolebinding vault-tokenreview-binding --clusterrole=system:auth-delegator --serviceaccount=openshift-storage:_<serviceaccount_name>_

   Copy to Clipboard Toggle word wrap

   以下に例を示します。

   $ oc -n openshift-storage create clusterrolebinding vault-tokenreview-binding --clusterrole=system:auth-delegator --serviceaccount=openshift-storage:odf-vault-auth

   Copy to Clipboard Toggle word wrap

3. serviceaccount トークンおよび CA 証明書のシークレットを作成します。

   $ cat <<EOF | oc create -f -
   apiVersion: v1
   kind: Secret
   metadata:
     name: odf-vault-auth-token
     namespace: openshift-storage
     annotations:
       kubernetes.io/service-account.name: <serviceaccount_name>
   type: kubernetes.io/service-account-token
   data: {}
   EOF

   Copy to Clipboard Toggle word wrap

   ここで、<serviceaccount_name> は、前の手順で作成したサービスアカウントです。

4. シークレットからトークンと CA 証明書を取得します。

   $ SA_JWT_TOKEN=$(oc -n openshift-storage get secret odf-vault-auth-token -o jsonpath="{.data['token']}" | base64 --decode; echo)
   $ SA_CA_CRT=$(oc -n openshift-storage get secret odf-vault-auth-token -o jsonpath="{.data['ca\.crt']}" | base64 --decode; echo)

   Copy to Clipboard Toggle word wrap

5. OCP クラスターエンドポイントを取得します。

   $ OCP_HOST=$(oc config view --minify --flatten -o jsonpath="{.clusters[0].cluster.server}")

   Copy to Clipboard Toggle word wrap

6. サービスアカウントの発行者を取得します。

   $ oc proxy &
   $ proxy_pid=$!
   $ issuer="$( curl --silent http://127.0.0.1:8001/.well-known/openid-configuration | jq -r .issuer)"
   $ kill $proxy_pid

   Copy to Clipboard Toggle word wrap

7. 前の手順で収集した情報を使用して、Vault で Kubernetes 認証方法を設定します。

   $ vault auth enable kubernetes

   Copy to Clipboard Toggle word wrap

   $ vault write auth/kubernetes/config \
             token_reviewer_jwt="$SA_JWT_TOKEN" \
             kubernetes_host="$OCP_HOST" \
             kubernetes_ca_cert="$SA_CA_CRT" \
             issuer="$issuer"

   Copy to Clipboard Toggle word wrap
   重要

   発行者が空の場合は Vault で Kubernetes 認証方法を設定します。

   $ vault write auth/kubernetes/config \
             token_reviewer_jwt="$SA_JWT_TOKEN" \
             kubernetes_host="$OCP_HOST" \
             kubernetes_ca_cert="$SA_CA_CRT"

   Copy to Clipboard Toggle word wrap

8. Vault で Key/Value (KV) バックエンドパスを有効にします。

   Vault KV シークレットエンジン API の場合は、バージョン 1 を使用します。

   $ vault secrets enable -path=odf kv

   Copy to Clipboard Toggle word wrap

   Vault KV シークレットエンジン API の場合は、バージョン 2 を使用します。

   $ vault secrets enable -path=odf kv-v2

   Copy to Clipboard Toggle word wrap

9. シークレットに対して write または delete 操作を実行するようにユーザーを制限するポリシーを作成します。

   echo '
   path "odf/*" {
     capabilities = ["create", "read", "update", "delete", "list"]
   }
   path "sys/mounts" {
   capabilities = ["read"]
   }'| vault policy write odf -

   Copy to Clipboard Toggle word wrap

10. ロールを作成します。

    $ vault write auth/kubernetes/role/odf-rook-ceph-op \
            bound_service_account_names=rook-ceph-system,rook-ceph-osd,noobaa \
            bound_service_account_namespaces=openshift-storage \
            policies=odf \
            ttl=1440h

    Copy to Clipboard Toggle word wrap

    ロール odf-rook-ceph-op は、後でストレージシステムの作成中に KMS 接続の詳細を設定するときに使用されます。

    $ vault write auth/kubernetes/role/odf-rook-ceph-osd \
            bound_service_account_names=rook-ceph-osd \
            bound_service_account_namespaces=openshift-storage \
            policies=odf \
            ttl=1440h

    Copy to Clipboard Toggle word wrap