1.2. Operator Lifecycle Manager を使用した Trusted Artifact Signer のインストール

Red Hat Trusted Artifact Signer (RHTAS) Operator をインストールし、OpenShift の Operator Lifecycle Manager (OLM) を使用して RHTAS サービスをデプロイできます。このデプロイメントは、OpenID Connect (OIDC) プロバイダーを選択できる基本的な署名フレームワークを提供します。Red Hat Single Sign-On (SSO)、Google、Amazon Secure Token Service (STS)、または GitHub のいずれかの OIDC プロバイダーを少なくとも 1 つ設定する必要があります。デフォルトを使用しない場合は、オプションでデータベースソリューションをカスタマイズすることもできます。

前提条件

Red Hat OpenShift Container Platform 4.15 以降。
cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
oc バイナリーがインストールされているワークステーション。

手順

cluster-admin ロールを持つユーザーで OpenShift Web コンソールにログインします。
Administrator パースペクティブで、Operators ナビゲーションメニューを展開し、OperatorHub をクリックします。
検索フィールドに trusted と入力し、Red Hat Trusted Artifact Signer タイルをクリックします。
Install ボタンをクリックして、Operator の詳細を表示します。
デフォルト値を受け入れ、Install Operator ページで Install をクリックし、インストールが完了するまで待ちます。
重要
インストールが完了すると、新しいプロジェクトが自動的に作成されます。新しいプロジェクト名は trusted-artifact-signer です。
注記
Trusted Artifact Signer Operator は openshift-operators namespace にインストールされ、すべての依存関係が自動的にインストールされます。
オプション: デフォルトのデータベースの代わりに、Trusted Artifact Signer サービスに別のデータベースプロバイダーを使用できます。Amazon の Relational Database Service (RDS)、または OpenShift 上のデータベース (セルフマネージド) を使用する場合は、まずそちらの手順のいずれかを実行してから、このインストールを続行してください。他のデータベースプロバイダーのいずれかの設定が完了したら、この手順の次の手順に進むことができます。
Trusted Artifact Signer サービスをデプロイします。
1. OpenShift Web コンソール内で、ナビゲーションメニューから Operator を展開し、Installed Operator をクリックします。
2. プロジェクトのドロップダウンボックスから、trusted-artifact-signer を選択します。
3. Red Hat Trusted Artifact Signer をクリックします。
4. Securesign タブをクリックし、Create Securesign ボタンをクリックします。
5. Create Securesign ページで、YAML view を選択します。
6. このデプロイメント中に、Google OAuth、Amazon STS、Red Hat の SSO、Microsoft の Entra ID、GitHub OAuth などのさまざまな OIDC プロバイダーを初期 OIDC プロバイダーとして設定できます。spec.fulcio.config.OIDCIssuers セクションで、OIDC プロバイダー URL を含む次の 3 行を編集し、ClientID を適切に設定します。
  例
  ... OIDCIssuers: - Issuer: 'OIDC_ISSUER_URL': ClientID: CLIENT_ID IssuerURL: 'OIDC_ISSUER_URL' Type: email ...
  
  Copy to Clipboard
  注記
  Red Hat の SSO がすでに OIDC プロバイダーとして実装されている場合は、次のコマンドを実行して発行者の URL を見つけます。
  
  echo https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer
  
  Copy to Clipboard
  
  ClientID を trusted-artifact-signer に設定します。
  重要
  同じ設定で複数の異なる OIDC プロバイダーを定義できます。
7. オプション: デフォルト以外のデータベースを使用することを選択した場合は、spec.trillian セクションで create を false に設定し、データベースシークレットオブジェクトの名前を指定します。
  例
  ... trillian: database: create: false databaseSecretRef: name: trillian-mysql ...
  
  Copy to Clipboard
8. Create ボタンをクリックします。
All instances タブをクリックして、CTlog、Fulcio、Rekor、Trillian、および TUF インスタンスの準備ができるまでデプロイメントステータスを監視します。
注記
Securesign インスタンスからは、ステータスはわかりません。
OpenShift コンソールで Prometheus を使用すると、新しい Trusted Artifact Signer サービスの健全性を確認できます。ナビゲーションメニューから Observe を展開し、Dashboards をクリックします。
コンテナーイメージまたは Git コミットに署名して、インストールを検証します。

1.2. Operator Lifecycle Manager を使用した Trusted Artifact Signer のインストール

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links