Red Hat Summit第1章 Red Hat OpenShift Container Platform
1.1. 署名データの保護
システム管理者にとって、ハードウェア障害や誤ったデータ削除によるデータ損失が発生した場合、ソフトウェアサプライチェーンの署名データを保護することは非常に重要です。
OpenShift API Data Protection (OADP) 製品は、Red Hat OpenShift Container Platform 上で実行されるアプリケーションにデータ保護を提供します。OADP 製品を使用することで、ソフトウェア開発者はできるだけ早くコードの署名と検証を再開できるようになります。OADP Operator をインストールして設定したら、Red Hat Trusted Artifact Signer (RHTAS) データのバックアップと復元を開始できます。
1.1.1. OADP Operator のインストールと設定
OpenShift API Data Protection (OADP) Operator を使用すると、OpenShift アプリケーションリソースと内部コンテナーイメージをバックアップできるようになります。OADP Operator を使用して、Trusted Artifact Signer データをバックアップおよび復元できます。
この手順では、Amazon Web Services (AWS) Simple Storage Service (S3) を使用してバケットを作成し、OADP Operator を設定する方法を説明します。AWS の代わりに、Red Hat OpenShift Data Foundation など、サポートされている別の S3 互換オブジェクトストレージプラットフォーム を使用することもできます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降。
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 - S3 互換のバケットを作成する機能。
-
ocおよびawsバイナリーがインストールされたワークステーション。
手順
ワークステーションでターミナルを開き、OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT
Copy to clipboardCopiedoc login --token=TOKEN --server=SERVER_URL_AND_PORT例
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
Copy to clipboardCopiedoc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
新しいバケットを作成します。
構文
export BUCKET=NEW_BUCKET_NAME export REGION=AWS_REGION_ID export USER=OADP_USER_NAME aws s3api create-bucket \ --bucket $BUCKET \ --region $REGION \ --create-bucket-configuration LocationConstraint=$REGION
Copy to clipboardCopiedexport BUCKET=NEW_BUCKET_NAME export REGION=AWS_REGION_ID export USER=OADP_USER_NAME aws s3api create-bucket \ --bucket $BUCKET \ --region $REGION \ --create-bucket-configuration LocationConstraint=$REGION例
export BUCKET=example-bucket-name export REGION=us-east-1 export USER=velero aws s3api create-bucket \ --bucket $BUCKET \ --region $REGION \ --create-bucket-configuration LocationConstraint=$REGION
Copy to clipboardCopiedexport BUCKET=example-bucket-name export REGION=us-east-1 export USER=velero aws s3api create-bucket \ --bucket $BUCKET \ --region $REGION \ --create-bucket-configuration LocationConstraint=$REGION新しいユーザーを作成します。
例
aws iam create-user --user-name $USER
Copy to clipboardCopiedaws iam create-user --user-name $USER新しいポリシーを作成します。
例
cat > velero-policy.json <<EOF { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:CreateTags", "ec2:CreateVolume", "ec2:CreateSnapshot", "ec2:DeleteSnapshot" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:DeleteObject", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::${BUCKET}/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::${BUCKET}" ] } ] } EOF
Copy to clipboardCopiedcat > velero-policy.json <<EOF { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:CreateTags", "ec2:CreateVolume", "ec2:CreateSnapshot", "ec2:DeleteSnapshot" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:DeleteObject", "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::${BUCKET}/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::${BUCKET}" ] } ] } EOFこのポリシーを新しいユーザーに関連付けます。
例
aws iam put-user-policy \ --user-name $USER \ --policy-name velero \ --policy-document file://velero-policy.json
Copy to clipboardCopiedaws iam put-user-policy \ --user-name $USER \ --policy-name velero \ --policy-document file://velero-policy.jsonアクセスキーを作成します。
例
aws iam create-access-key --user-name $USER --output=json | jq -r '.AccessKey | [ "export AWS_ACCESS_KEY_ID=" + .AccessKeyId, "export AWS_SECRET_ACCESS_KEY=" + .SecretAccessKey ] | join("\n")'
Copy to clipboardCopiedaws iam create-access-key --user-name $USER --output=json | jq -r '.AccessKey | [ "export AWS_ACCESS_KEY_ID=" + .AccessKeyId, "export AWS_SECRET_ACCESS_KEY=" + .SecretAccessKey ] | join("\n")'AWS 秘密鍵情報を含む認証情報ファイルを作成します。
構文
cat << EOF > ./credentials-velero [default] aws_access_key_id=$AWS_ACCESS_KEY_ID aws_secret_access_key=$AWS_SECRET_ACCESS_KEY EOF
Copy to clipboardCopiedcat << EOF > ./credentials-velero [default] aws_access_key_id=$AWS_ACCESS_KEY_ID aws_secret_access_key=$AWS_SECRET_ACCESS_KEY EOF-
cluster-adminロールを持つユーザーで OpenShift Web コンソールにログインします。 - Administrator パースペクティブで、Operators ナビゲーションメニューを展開し、OperatorHub をクリックします。
- 検索フィールドに oadp と入力し、Red Hat が提供する OADP Operator タイルをクリックします。
- Install ボタンをクリックして、Operator の詳細を表示します。
- デフォルト値を受け入れ、Install Operator ページで Install をクリックし、インストールが完了するまで待ちます。
Operator のインストールが完了したら、ワークステーションのターミナルから、AWS 認証情報を使用して OpenShift のシークレットリソースを作成します。
例
oc create secret generic cloud-credentials -n openshift-adp --from-file cloud=credentials-velero
Copy to clipboardCopiedoc create secret generic cloud-credentials -n openshift-adp --from-file cloud=credentials-velero- OpenShift Web コンソールから、View Operator ボタンをクリックします。
- DataProtectionApplication (DPA) タイルで Create instance をクリックします。
- Create DataProtectionApplication ページで、YAML view を選択します。
リソースファイルで次の値を編集します。
-
metadataセクションで、velero-sampleをveleroに置き換えます。 -
spec.configuration.nodeAgentセクションで、resticをkopiaに置き換えます。 -
spec.configuration.veleroセクションの下に、resourceTimeout: 10mを追加します。 -
spec.configuration.velero.defaultPluginsセクションの下に-csiを追加します。 -
spec.snapshotLocationsセクションで、us-west-2の値を AWS リージョンの値に置き換えます。 -
spec.backupLocationsセクションで、us-east-1の値を AWS リージョンの値に置き換えます。 -
spec.backupLocations.objectStorageセクションで、my-bucket-nameをバケット名に置き換えます。別の接頭辞を使用する場合は、veleroをバケット接頭辞名に置き換えます。
-
- Create ボタンをクリックします。
1.1.2. Trusted Artifact Signer データのバックアップ
OpenShift API Data Protection (OADP) Operator をインストールし、インスタンスをデプロイすると、ボリュームスナップショットリソースと、Red Hat Trusted Artifact Signer データをバックアップするためのバックアップリソースを作成できます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降。
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 - OADP Operator のインストール。
-
ocバイナリーがインストールされているワークステーション。
手順
ワークステーションでターミナルを開き、OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT
Copy to clipboardCopiedoc login --token=TOKEN --server=SERVER_URL_AND_PORT例
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
Copy to clipboardCopiedoc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
VolumeSnapshotClassリソースを見つけて編集します。例
oc get VolumeSnapshotClass -n openshift-adp oc edit VolumeSnapshotClass csi-aws-vsc -n openshift-adp
Copy to clipboardCopiedoc get VolumeSnapshotClass -n openshift-adp oc edit VolumeSnapshotClass csi-aws-vsc -n openshift-adpリソースファイル内の次の値を更新します。
-
metadata.labelsセクションの下に、velero.io/csi-volumesnapshot-class: "true"ラベルを追加します。 - 変更を保存し、エディターを終了します。
-
Backupリソースを作成します。例
cat <<EOF | oc apply -f - apiVersion: velero.io/v1 kind: Backup metadata: name: rhtas-backup labels: velero.io/storage-location: velero-1 namespace: openshift-adp spec: schedule: 0 7 * * * hooks: {} includedNamespaces: - trusted-artifact-signer includedResources: [] excludedResources: [] snapshotMoveData: true storageLocation: velero-1 ttl: 720h0m0s EOF
Copy to clipboardCopiedcat <<EOF | oc apply -f - apiVersion: velero.io/v1 kind: Backup metadata: name: rhtas-backup labels: velero.io/storage-location: velero-1 namespace: openshift-adp spec: schedule: 0 7 * * * hooks: {} includedNamespaces: - trusted-artifact-signer includedResources: [] excludedResources: [] snapshotMoveData: true storageLocation: velero-1 ttl: 720h0m0s EOFこのバックアップを実行するための Cron スケジュールを有効にするには、スケジュールプロパティーを追加します。この例では、このバックアップリソースは毎日午前 7 時に実行されます。
デフォルトでは、すべてのリソースは、trusted-artifact-signer 名前空間内でバックアップされます。includeResources プロパティーまたは excludedResources プロパティーを使用して、含めるリソースまたは除外するリソースを指定できます。
重要バックアップターゲットのストレージクラスによっては、バックアップを成功させるために永続ボリュームを継続的に使用することはできません。
1.1.3. Trusted Artifact Signer データの復元
Red Hat Trusted Artifact Signer (RHTAS) および OpenShift API Data Protection (OADP) Operator がインストールされ、RHTAS 名前空間のバックアップリソースがあれば、データを OpenShift クラスターに復元できます。
前提条件
- Red Hat OpenShift Container Platform バージョン 4.13 以降
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 - RHTAS Operator のインストール。
- OADP Operator のインストール。
-
trusted-artifact-signer名前空間構造のバックアップリソース。 -
ocバイナリーがインストールされているワークステーション。
手順
RHTAS Operator を無効にします。
例
oc scale deploy rhtas-operator-controller-manager --replicas=0 -n openshift-operators
Copy to clipboardCopiedoc scale deploy rhtas-operator-controller-manager --replicas=0 -n openshift-operatorsRestoreリソースを作成します。例
cat <<EOF | oc apply -f - apiVersion: velero.io/v1 kind: Restore metadata: name: rhtas-restore namespace: openshift-adp spec: backupName: rhtas-backup includedResources: [] restoreStatus: includedResources: - securesign.rhtas.redhat.com - trillian.rhtas.redhat.com - ctlog.rhtas.redhat.com - fulcio.rhtas.redhat.com - rekor.rhtas.redhat.com - tuf.rhtas.redhat.com - timestampauthority.rhtas.redhat.com excludedResources: - pod - deployment - nodes - route - service - replicaset - events - cronjob - events.events.k8s.io - backups.velero.io - restores.velero.io - resticrepositories.velero.io - pods - deployments restorePVs: true existingResourcePolicy: update EOF
Copy to clipboardCopiedcat <<EOF | oc apply -f - apiVersion: velero.io/v1 kind: Restore metadata: name: rhtas-restore namespace: openshift-adp spec: backupName: rhtas-backup includedResources: [] restoreStatus: includedResources: - securesign.rhtas.redhat.com - trillian.rhtas.redhat.com - ctlog.rhtas.redhat.com - fulcio.rhtas.redhat.com - rekor.rhtas.redhat.com - tuf.rhtas.redhat.com - timestampauthority.rhtas.redhat.com excludedResources: - pod - deployment - nodes - route - service - replicaset - events - cronjob - events.events.k8s.io - backups.velero.io - restores.velero.io - resticrepositories.velero.io - pods - deployments restorePVs: true existingResourcePolicy: update EOFRHTAS データを別の OpenShift クラスターに復元する場合は、次の手順を実行します。
Trillian データベースのシークレットを削除します。
例
oc delete secret securesign-sample-trillian-db-tls oc delete pod trillian-db-xxx
Copy to clipboardCopiedoc delete secret securesign-sample-trillian-db-tls oc delete pod trillian-db-xxx注記RHTAS Operator はシークレットを再作成し、Pod を再起動します。
-
restoreOwnerReferences.shスクリプトを実行します。
RHTAS Operator を有効にします。
例
oc scale deploy rhtas-operator-controller-manager --replicas=1 -n openshift-operators
Copy to clipboardCopiedoc scale deploy rhtas-operator-controller-manager --replicas=1 -n openshift-operators重要復元を開始した後すぐに RHTAS Operator を起動すると、永続ボリュームの要求が確実に行われます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}