Red Hat Summit第1章 インストールプラットフォームの選択
システム管理者は、Red Hat Trusted Artifact Signer (RHTAS) を実行するために 2 つの異なるインストールプラットフォームを選択できます。Ansible を使用して、RHTAS を Red Hat OpenShift Container Platform または Red Hat Enterprise Linux にデプロイできます。
RHTAS の Red Hat Enterprise Linux へのデプロイはテクニカルプレビュー機能です。
インストールプラットフォームの選択
1.1. Operator Lifecycle Manager を使用した Trusted Artifact Signer のインストール
Red Hat Trusted Artifact Signer (RHTAS) Operator をインストールし、OpenShift の Operator Lifecycle Manager (OLM) を使用して RHTAS サービスをデプロイできます。このデプロイメントは、OpenID Connect (OIDC) プロバイダーを選択できる基本的な署名フレームワークを提供します。Red Hat Single Sign-On (SSO)、Google、Amazon Secure Token Service (STS)、または GitHub のいずれかの OIDC プロバイダーを少なくとも 1 つ設定する必要があります。デフォルトを使用しない場合は、オプションでデータベースソリューションをカスタマイズすることもできます。
前提条件
- Red Hat OpenShift Container Platform バージョン 4.13 以降
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 -
ocバイナリーがインストールされているワークステーション。
手順
-
cluster-adminロールを持つユーザーで OpenShift Web コンソールにログインします。 - Administrator パースペクティブで、Operators ナビゲーションメニューを展開し、OperatorHub をクリックします。
- 検索フィールドに trusted と入力し、Red Hat Trusted Artifact Signer タイルをクリックします。
- Install ボタンをクリックして、Operator の詳細を表示します。
デフォルト値を受け入れ、Install Operator ページで Install をクリックし、インストールが完了するまで待ちます。
重要インストールが完了すると、新しいプロジェクトが自動的に作成されます。新しいプロジェクト名は
trusted-artifact-signerです。注記Trusted Artifact Signer Operator は
openshift-operatorsnamespace にインストールされ、すべての依存関係が自動的にインストールされます。- オプション: デフォルトのデータベースの代わりに、Trusted Artifact Signer サービスに別のデータベースプロバイダーを使用できます。Amazon の Relational Database Service (RDS)、または OpenShift 上のデータベース (セルフマネージド) を使用する場合は、まずそちらの手順のいずれかを実行してから、このインストールを続行してください。他のデータベースプロバイダーのいずれかの設定が完了したら、この手順の次の手順に進むことができます。
Trusted Artifact Signer サービスをデプロイします。
- ナビゲーションメニューから Operator を展開し、Installed Operators をクリックします。
-
プロジェクトのドロップダウンボックスから、
trusted-artifact-signerを選択します。 - Red Hat Trusted Artifact Signer をクリックします。
- Securesign タブをクリックし、Create Securesign ボタンをクリックします。
- Create Securesign ページで、YAML view を選択します。
このデプロイメント中に、Google OAuth、Amazon STS、Red Hat’s SSO、または GitHub OAuth を初期 OIDC プロバイダーとして設定できます。
spec.fulcio.config.OIDCIssuersセクションで、OIDC プロバイダー URL を含む次の 3 行を編集し、ClientIDを適切に設定します。例
... OIDCIssuers: - Issuer: 'OIDC_ISSUER_URL': ClientID: CLIENT_ID IssuerURL: 'OIDC_ISSUER_URL' Type: email ...
重要同じ設定で複数の異なる OIDC プロバイダーを定義できます。
注記Red Hat の SSO がすでに OIDC プロバイダーとして実装されている場合は、次のコマンドを実行して発行者の URL を見つけます。
$ echo https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signerClientIDをtrusted-artifact-signerに設定します。オプション: デフォルト以外のデータベースを使用する場合は、
spec.trillianセクションでcreateをfalseに設定し、データベースシークレットオブジェクトの名前を付けます。例
... trillian: database: create: false databaseSecretRef: name: trillian-mysql ...- Create ボタンをクリックします。
All instances タブをクリックして、CTlog、Fulcio、Rekor、Trillian、および TUF インスタンスの準備ができるまでデプロイメントステータスを監視します。
注記Securesign インスタンスからは、ステータスはわかりません。
- OpenShift コンソールで Prometheus を使用すると、新しい Trusted Artifact Signer サービスの健全性を確認できます。ナビゲーションメニューから Observe を展開し、Dashboards をクリックします。
- コンテナーイメージ または Git コミット に署名して、インストールを検証します。
関連情報
- RHTAS コンポーネントおよびバージョン番号の詳細は、RHTAS デプロイメントガイドの 付録 を参照してください。
