3.16. Red Hat Quay コンテナーへの認証局の追加
extra_ca_certs
ディレクトリーは、信頼できる証明書のセットを拡張するために認証局 (CA) を追加で保存できるディレクトリーです。これらの証明書は、Red Hat Quay によって外部サービスとの SSL/TLS 接続を検証するために使用されます。Red Hat Quay をデプロイするときに、必要な CA をこのディレクトリーに配置して、LDAP、OIDC、ストレージシステムなどのサービスへの接続が適切に保護され、検証されるようにすることができます。
スタンドアロンの Red Hat Quay デプロイメントの場合は、このディレクトリーを作成し、追加の CA 証明書をそのディレクトリーにコピーする必要があります。
前提条件
- 希望するサービス用の CA があります。
手順
次のコマンドを入力して、コンテナーに追加する証明書を表示します。
cat storage.crt
$ cat storage.crt
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
-----BEGIN CERTIFICATE----- MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV... -----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV... -----END CERTIFICATE-----
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを入力して、Red Hat Quay ディレクトリーの
/config
フォルダーにextra_ca_certs
を作成します。mkdir -p /path/to/quay_config_folder/extra_ca_certs
$ mkdir -p /path/to/quay_config_folder/extra_ca_certs
Copy to Clipboard Copied! Toggle word wrap Toggle overflow CA ファイルを
extra_ca_certs
フォルダーにコピーします。以下に例を示します。cp storage.crt /path/to/quay_config_folder/extra_ca_certs/
$ cp storage.crt /path/to/quay_config_folder/extra_ca_certs/
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを入力して、
extra_ca_certs
フォルダー内にstorage.crt
ファイルが存在することを確認します。tree /path/to/quay_config_folder/extra_ca_certs
$ tree /path/to/quay_config_folder/extra_ca_certs
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
/path/to/quay_config_folder/extra_ca_certs ├── storage.crt----
/path/to/quay_config_folder/extra_ca_certs ├── storage.crt----
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを入力して、
Quay
のCONTAINER ID
を取得します。podman ps
$ podman ps
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 5a3e82c4a75f <registry>/<repo>/quay:{productminv} "/sbin/my_init" 24 hours ago Up 18 hours 0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 443/tcp grave_keller
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 5a3e82c4a75f <registry>/<repo>/quay:{productminv} "/sbin/my_init" 24 hours ago Up 18 hours 0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 443/tcp grave_keller
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを入力してコンテナーを再起動します。
podman restart 5a3e82c4a75f
$ podman restart 5a3e82c4a75f
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、証明書がコンテナー名前空間にコピーされたことを確認します。
podman exec -it 5a3e82c4a75f cat /etc/ssl/certs/storage.pem
$ podman exec -it 5a3e82c4a75f cat /etc/ssl/certs/storage.pem
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
-----BEGIN CERTIFICATE----- MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV... -----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV... -----END CERTIFICATE-----
Copy to Clipboard Copied! Toggle word wrap Toggle overflow