Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

6.2. 永続ボリュームの暗号化のためのストレージクラスの作成

前提条件

ユースケースに基づいて、以下のいずれかの KMS へのアクセスを確実に設定する必要があります。

手順

  1. OpenShift Web コンソールで、Storage StorageClasses に移動します。
  2. Create Storage Class をクリックします。
  3. ストレージクラスの Name および Description を入力します。
  4. Reclaim PolicyDelete または Retain のいずれかを選択します。デフォルトでは、Delete が選択されます。
  5. Volume binding モードImmediate または WaitForFirstConsumer を選択します。WaitForConsumer はデフォルトオプションとして設定されます。
  6. 永続ボリュームをプロビジョニングするのに使用されるプラグインである RBD Provisioner openshift-storage.rbd.csi.ceph.com を選択します。
  7. ボリュームデータが保存される Storage Pool をリストから選択するか、新規プールを作成します。

  8. Enable encryption チェックボックスを選択します。

    • 次のいずれかのオプションを選択し、KMS 接続の詳細を設定します。

      • Choose existing KMS connection: ドロップダウンリストから既存の KMS 接続を選択します。このリストは、csi-kms-connection-details ConfigMap で利用可能な接続の詳細から設定されます。

        1. ドロップダウンから Provider を選択します。
        2. リストから特定のプロバイダーの Key service を選択します。

      • Create new KMS connection: これは、vaulttokenThales CipherTrust Manager (using KMIP) にのみ適用されます。

        1. 次のいずれかの Key Management Service Provider を選択し、必要な詳細情報を入力します。

          • Vault

            1. 一意の Connection Name、Vault サーバーのホストの Address ('https://<ホスト名または IP>')、ポート番号、および Token を入力します。

            2. Advanced Settings をデプロイメントして、Vault 設定に基づいて追加の設定および証明書の詳細を入力します。

              1. OpenShift Data Foundation 専用かつ特有のキーと値のシークレットパスを Backend Path に入力します。
              2. オプション: TLS Server Name および Vault Enterprise Namespace を入力します。
              3. PEM でエンコードされた、該当の証明書ファイルをアップロードし、CA CertificateClient Certificate、および Client Private Key を指定します。
              4. Save をクリックします。

          • Thales CipherTrust Manager (KMIP を使用)

            1. 一意の Connection Name を入力します。
            2. Address および Port セクションで、Thales CipherTrust Manager の IP と、KMIP インターフェイスが有効になっているポートを入力します。たとえば、Address: 123.34.3.2、Port: 5696 などです。
            3. Client CertificateCA certificate、および Client Private Key をアップロードします。
            4. 上記で生成された暗号化および復号化に使用する鍵の Unique Identifier を入力します。
            5. TLS Server フィールドはオプションであり、KMIP エンドポイントの DNS エントリーがない場合に使用します。たとえば、kmip_all_<port>.ciphertrustmanager.local などです。

          • Azure Key Vault (テクノロジープレビュー) (Azure プラットフォーム上の Azure ユーザーのみ)

            クライアント認証の設定とクライアント認証情報の取得については、Microsoft Azure を使用した OpenShift Data Foundation のデプロイ ガイドの OpenShift Data Foundation クラスターの作成 セクションの「前提条件」を参照してください。

            1. プロジェクト内のキー管理サービスの一意の Connection name を入力します。
            2. Azure Vault URL を入力します。
            3. Client ID を入力します。
            4. Tenant ID を入力します。
            5. Certificate ファイルを .PEM 形式でアップロードします。証明書ファイルには、クライアント証明書と秘密鍵が含まれている必要があります。
        2. Save をクリックします。
        3. Create をクリックします。

  9. HashiCorp Vault 設定により、バックエンドパスによって使用されるキー/値 (KV) シークレットエンジン API バージョンの自動検出が許可されない場合は、ConfigMap を編集して vaultBackend パラメーターを追加します。

    注記

    vaultBackend は、バックエンドパスに関連付けられた KV シークレットエンジン API のバージョンを指定するために configmap に追加されるオプションのパラメーターです。値がバックエンドパスに設定されている KV シークレットエンジン API バージョンと一致していることを確認します。一致しない場合は、永続ボリューム要求 (PVC) の作成時に失敗する可能性があります。

    1. 新規に作成されたストレージクラスによって使用されている encryptionKMSID を特定します。

      1. OpenShift Web コンソールで、Storage Storage Classes に移動します。
      2. Storage class YAML タブをクリックします。

      3. ストレージクラスによって使用されている encryptionKMSID を取得します。

        以下に例を示します。 

        encryptionKMSID: 1-vault
    2. OpenShift Web コンソールで Workloads ConfigMaps に移動します。
    3. KMS 接続の詳細を表示するには、csi-kms-connection-details をクリックします。

    4. ConfigMap を編集します。

      1. アクションメニュー (⋮) Edit ConfigMap をクリックします。

      2. 以前に特定した encryptionKMSID に設定されるバックエンドに応じて、vaultBackend パラメーターを追加します。

        KV シークレットエンジン API バージョン 1 の場合は kv を、KV シークレットエンジン API バージョン 2 の場合は kv-v2 を、それぞれ割り当てることができます。

        以下に例を示します。 

         kind: ConfigMap
 apiVersion: v1
 metadata:
   name: csi-kms-connection-details
 [...]
 data:
   1-vault: |-
     {
       "encryptionKMSType": "vaulttokens",
       "kmsServiceName": "1-vault",
       [...]
       "vaultBackend": "kv-v2"
     }
   2-vault: |-
     {
       "encryptionKMSType": "vaulttenantsa",
       [...]
       "vaultBackend": "kv"
     }
      3. 保存をクリックします。

次のステップ

  • ストレージクラスを使用して、暗号化された永続ボリュームを作成できます。詳細は、永続ボリューム要求の管理 を参照してください。

    重要

    Red Hat はテクノロジーパートナーと連携して、このドキュメントをお客様へのサービスとして提供します。ただし、Red Hat では、HashiCorp 製品のサポートを提供していません。この製品に関するテクニカルサポートについては、HashiCorp にお問い合わせください。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.