サポートコンソール開発者トライアルの開始お問い合わせ

第11章 イベントでの TLS 暗号化の設定

トランスポート暗号化機能を使用すると、Transport Layer Security (TLS) を使用して、セキュリティーで保護され暗号化された HTTPS 接続を介してデータとイベントを転送できます。

重要

Eventing の OpenShift Serverless トランスポート暗号化は、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

transport-encryption 機能フラグは、ブローカー、チャネル、シンクなどの Addressables オブジェクトがイベントを受け入れる方法を定義する enum 設定です。選択した設定に基づいて、Addressables が HTTP または HTTPS 経由でイベントを受け入れる必要があるかどうかを制御します。

transport-encryption で使用できる値は以下のとおりです。

説明

disabled

  • Addressables は HTTPS エンドポイントへのイベントを受け入れることができます。
  • プロデューサーは HTTPS エンドポイントにイベントを送信できます。

permissive

  • Addressables は、HTTP エンドポイントと HTTPS エンドポイントの両方でイベントを受け入れる必要があります。
  • Addressables は、HTTP エンドポイントと HTTPS エンドポイントの両方を公開する必要があります。
  • プロデューサーは、利用可能な場合は HTTPS エンドポイントにイベントを送信する必要があります。

strict

  • Addressables は、HTTPS 以外のエンドポイントへのイベントを受け入れることはできません。
  • Addressables は HTTPS エンドポイントのみをアドバタイズする必要があります。

11.1. イベント用の SelfSigned ClusterIssuer リソースの作成

ClusterIssuers は、証明書署名要求に応じて、署名付き証明書を生成できる認証局 (CA) を表す Kubernetes リソースです。すべての cert-manager 証明書では、要求に対応する場合に、参照される発行者が準備状態にある必要があります。詳細は Issuer を参照してください。

重要

簡素化するために、この手順では、ルート認証局として SelfSigned 発行者を使用します。SelfSigned 発行者の影響と制限に関する詳細は、SelfSigned issuers を参照してください。カスタムのパブリックキーインフラストラクチャー (PKI) を使用している場合は、プライベートに署名された CA 証明書がクラスター全体で認識されるようにこれを設定する必要があります。cert-manager の詳細は、認証局 (CA) を参照してください。クラスターローカルサービスに使用できる他の発行者を使用することもできます。

前提条件

  • OpenShift Container Platform に対するクラスター管理者権限があるか、Red Hat OpenShift Service on AWS または OpenShift Dedicated に対するクラスターまたは専用管理者権限がある。
  • OpenShift Serverless Operator がインストールされている。
  • cert-manager Operator for Red Hat OpenShift がインストールされている。
  • OpenShift (oc) CLI がインストールされている。

手順

  1. 次のように SelfSigned ClusterIssuer リソースを作成します。 

    apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: knative-eventing-selfsigned-issuer
spec:
  selfSigned: {}

  2. 次のコマンドを実行して ClusterIssuer リソースを適用します。 

    $ oc apply -f <filename>

  3. 次のように、SelfSigned ClusterIssuer リソースを使用してルート証明書を作成します。 

    apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: knative-eventing-selfsigned-ca
  namespace: cert-manager 1
spec:
  secretName: knative-eventing-ca 2
  isCA: true
  commonName: selfsigned-ca
  privateKey:
    algorithm: ECDSA
    size: 256
  issuerRef:
    name: knative-eventing-selfsigned-issuer
    kind: ClusterIssuer
    group: cert-manager.io
    1
    デフォルトで使用される Red Hat OpenShift の cert-manager Operator を指定します。
    2
    証明書が保存されているシークレットを指定します。この名前は、後で Eventing の ClusterIssuer によって使用されます。

  4. 以下のコマンドを実行して Certificate リソースを適用します。 

    $ oc apply -f <filename>
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.