Red Hat Summitデプロイメントガイド
Red Hat Enterprise Linux および Red Hat OpenShift への Trusted Profile Analyzer サービスのデプロイ
概要
はじめに
Red Hat Trusted Profile Analyzer (RHTPA) デプロイメントガイドへようこそ。
このガイドは、Red Hat OpenShift Container Platform または Red Hat Enterprise Linux に Red Hat Trusted Profile Analyzer (RHTPA) ソフトウェアスタックをデプロイする際に役立ちます。新しい RHTPA デプロイメントの場合は、まず ターゲットのインストールプラットフォーム を選択することから開始します。
RHTPA をバージョン 1.2 にアップグレードする場合は、1章アップグレード前にデータを移行する から開始します。
第1章 アップグレード前にデータを移行する
Red Hat Trusted Profile Analyzer (RHTPA) バージョン 1.2 のリリースでは、取り込まれた Software Bill of Materials (SBOM) および Vulnerability Exploitability eXchange (VEX) データ用の新しいスキーマが実装されました。アップグレードする前に、SBOM および VEX データのこの新しいスキーマへのデータ移行を実行するように、RHTPA 1.2 値ファイルを設定する必要があります。このデータ移行は、RHTPA バージョン 1.2 へのアップグレードプロセス中に行われます。
前提条件
- Red Hat OpenShift への RHTPA 1.1.2 のインストール。
- 新しい PostgreSQL データベース。
-
ocおよびhelmバイナリーがインストールされたワークステーション。
手順
ワークステーションでターミナルを開き、コマンドラインインターフェイスを使用して OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
$ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。ユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
RHTPA プロジェクト namespace をエクスポートします。
構文
export NAMESPACE=RHTPA_NAMESPACE例
$ export NAMESPACE=trusted_profile_analyzer
RHTPA 1.1.2 のインストールがプロジェクト namespace にあることを確認します。
例
$ helm list -n $NAMESPACE
RHTPA 1.1.2 をアンインストールします。
例
$ helm uninstall redhat-trusted-profile-analyzer -n $NAMESPACE
RHTPA 1.2 値ファイルを編集用に開き、次の内容を変更します。
- 新しい PostgreSQL データベースインスタンスを参照します。
- バージョン 1.1.2 で使用されたものと同じ Simple Storage Service (S3) ストレージを参照します。
- バージョン 1.1.2 で使用されたものと同じメッセージングキューを参照します。
modules.vexinationCollector.recollectVEXおよびmodules.bombasticCollector.recollectSBOMオプションの値をtrueに設定します。注記OpenShift 上の RHTPA デプロイメントで使用される値ファイルテンプレートは、デプロイメントガイド の付録を参照してください。
OpenShift 用の更新された RHTPA 1.2 Helm チャートを使用してアップグレードを開始します。
構文
helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL例
$ helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa.yaml --set-string appDomain=$APP_DOMAIN_URL
注記この Helm チャートを何度も実行して、値ファイルから現在設定されている状態を適用できます。
データ移行が成功したことを確認します。
SBOM および VEX インデクサーログを表示し、
Reindexing all documentsおよびReindexing finishedというメッセージを探します。例
$ oc logs bombastic-indexer -n $NAMESPACE $ oc logs vexination-indexer -n $NAMESPACE
次のエラーメッセージも表示されます。
Error syncing index: Open("Schema error: 'An index exists but the schema does not match.'"), keeping old Error loading initial index: Open("Schema error: 'An index exists but the schema does not match.'")このスキーマの不一致のため、
bombastic-collectorおよびvexination-collectorPod は recollect コンテナーを起動して、既存の SBOM および VEX データをすべて収集します。recollect-sbomとrecollect-vexの両方の init-containers が正常に完了して停止するはずです。移行が完了すると、既存の SBOM および VEX データがすべて RHTPA コンソールに表示されます。
第2章 インストールプラットフォームの選択
システム管理者は、Red Hat Trusted Profile Analyzer (RHTPA) を実行するために 2 つの異なるインストールプラットフォームを選択できます。Amazon Web Services (AWS) または Red Hat の Helm チャートを備えた他のサービスプロバイダーを使用して、RHTPA を Red Hat OpenShift Container Platform にデプロイできます。Ansible を使用して RHTPA を Red Hat Enterprise Linux にデプロイすることもできます。
RHTPA を Red Hat Enterprise Linux にデプロイすることは、現在テクニカルプレビュー機能です。
対象のインストールプラットフォームを選択します。
2.1. Ansible を使用して Trusted Profile Analyzer をインストールする
Red Hat が提供する Ansible Playbook を使用して、Red Hat Enterprise Linux に Red Hat Trusted Profile Analyzer (RHTPA) をインストールできます。この RHTPA の Ansible デプロイメントでは、独自の PostgreSQL データベース、OpenID Connect (OIDC) プロバイダー、Simple Storage Service (S3)、および Simple Queue Service (SQS) インフラストラクチャーを指定できます。
Ansible を使用した Red Hat Enterprise Linux への RHTPA のデプロイは、テクノロジープレビュー機能のみです。テクノロジープレビュー機能は、Red Hat の実稼働環境のサービスレベルアグリーメント (SLA) ではサポートされず、機能的に完全ではないことがあるため、Red Hat では実稼働環境での使用を推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。詳細は、Red Hat テクノロジープレビュー機能のサポート範囲 を参照してください。
前提条件
- Red Hat Enterprise Linux バージョン 9.3 以降。
- Red Hat Hybrid Cloud Console にアクセスする Red Hat ユーザーアカウント。
手順
- Red Hat 認証情報を使用して Red Hat Hybrid Cloud コンソール にログインします。
- ホームページから、Services ドロップダウンメニューをクリックし、Red Hat Ansible Automation Platform をクリックします。
- ナビゲーションメニューから Automation Hub を展開し、Collections をクリックします。
- 検索フィールドに rhtpa と入力し、Enter キーを押します。
- Red Hat Trusted Profile Analyzer タイルの trusted_profile_analyzer リンクをクリックします。
Documentation タブをクリックし、そこに記載されている手順に従って、Red Hat Enterprise Linux への RHTPA のインストールを完了します。
注記すべての設定パラメーターの詳細な概要は、Roles セクションの tpa_single_node リンクをクリックしてください。
2.2. Amazon Web Services で Helm を使用して Trusted Profile Analyzer をインストールする
Red Hat の Helm チャートを使用して、Red Hat の Trusted Profile Analyzer (RHTPA) サービスを OpenShift にインストールできます。この手順では、Helm のカスタマイズされた値ファイルを使用して Amazon Web Services (AWS) を RHTPA と統合する方法を説明します。
インストール後にシークレット値が変更されると、OpenShift は RHTPA を再デプロイします。
前提条件
バージョン 4.14 以降を実行している Red Hat OpenShift Container Platform クラスター。
- HTTPS を使用する公的に信頼された証明書を提供するための Ingress リソースのサポート。
- Helm の Transport Layer Security (TLS) 証明書のプロビジョニング 機能。
次のサービスにアクセスできる AWS アカウント:
- Simple Storage Service (S3)
- Simple Queue Service (SQS)
- PostgreSQL データベースインスタンスを使用するリレーショナルデータベースサービス (RDS)。
- 既存の Cognito ドメインを使用する Cognito。
-
bombastic-UNIQUE_ID -
vexination-UNIQUE_ID v11y-UNIQUE_ID重要これらのバケット名は、同じパーティション内のすべての AWS リージョンのすべての AWS アカウントで一意である必要があります。バケットの命名規則 の詳細は、Amazon の S3 ドキュメントを参照してください。
-
次の標準の SQS キュー名を 作成 している。
-
bombastic-failed-default -
bombastic-indexed-default -
bombastic-stored-default -
vexination-failed-default -
vexination-indexed-default -
vexination-stored-default -
v11y-failed-default -
v11y-indexed-default -
v11y-stored-default
-
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 -
ocおよびhelmバイナリーがインストールされたワークステーションがある。
手順
ワークステーションでターミナルを開き、コマンドラインインターフェイスを使用して OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
$ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。ユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
RHTPA デプロイメントの新規プロジェクトを作成します。
構文
oc new-project PROJECT_NAME例
$ oc new-project trusted-profile-analyzer
新規ファイルを開いて編集します。
例
$ vi values-rhtpa-aws.yaml
-
RHTPA 値ファイルテンプレート をコピーして、新しい
value-rhtpa-aws.yamlファイルに貼り付けます。 values-rhtpa-aws.yamlファイルを関連する AWS 情報で更新します。- REGIONAL_ENDPOINT は、Amazon S3 ストレージおよび Amazon SQS エンドポイント URL に置き換えます。
- COGNITO_DOMAIN_URL は Amazon Cognito URL に置き換えます。この情報は、AWS Cognito Console の App Integration タブにあります。
- REGION、USER_POOL_ID、および FRONTEND_CLIENT_ID および WALKER_CLIENT_ID は、関連する Amazon Cognito 情報に置き換えます。この情報は、AWS Cognito Console、User pool overview セクション、および App Integration タブの App clients and analytics セクションで確認できます。
-
UNIQUE_ID は、
bombastic-、vexination-、v11y-の一意のバケット名に置き換えます。 - ファイルを保存して、エディターを終了します。
AWS 認証情報を使用して、S3 ストレージシークレットリソースを作成します。
構文
apiVersion: v1 kind: Secret metadata: name: storage-credentials namespace: PROJECT_NAME type: Opaque data: aws_access_key_id: AWS_ACCESS_KEY aws_secret_access_key: AWS_SECRET_KEY
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: storage-credentials namespace: trusted-profile-analyzer type: Opaque data: aws_access_key_id: RHTPASTORAGE1EXAMPLE aws_secret_access_key: xBalrKUtnFEMI/K7RDENG/aPxRfzCYEXAMPLEKEY EOF
AWS 認証情報を使用して、SQS イベントバスシークレットリソースを作成します。
構文
apiVersion: v1 kind: Secret metadata: name: event-bus-credentials namespace: PROJECT_NAME type: Opaque data: aws_access_key_id: AWS_ACCESS_KEY aws_secret_access_key: AWS_SECRET_KEY
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: event-bus-credentials namespace: trusted-profile-analyzer type: Opaque data: aws_access_key_id: RHTPAEVENTBS1EXAMPLE aws_secret_access_key: mBaliKUtnFEMI/K6RDENG/aPxRfzCYEXAMPLEKEY EOF
OpenID Connect (OIDC) ウォーカークライアントシークレットリソースを作成します。
構文
apiVersion: v1 kind: Secret metadata: name: oidc-walker namespace: PROJECT_NAME type: Opaque data: client-secret: SECRET
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: oidc-walker namespace: trusted-profile-analyzer type: Opaque data: client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79 EOF
Amazon RDS 認証情報を使用して、2 つの PostgreSQL データベースシークレットリソースを作成します。
PostgreSQL 標準ユーザーシークレットリソース:
構文
apiVersion: v1 kind: Secret metadata: name: postgresql-credentials namespace: PROJECT_NAME type: Opaque data: db.host: DB_HOST db.name: DB_NAME db.user: USERNAME db.password: PASSWORD db.port: PORT
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: postgresql-credentials namespace: trusted-profile-analyzer type: Opaque data: data: db.host: rds.us-east-1.amazonaws.com db.name: rhtpadb db.user: jdoe db.password: example1234 db.port: 5432 EOF
PostgreSQL 管理者シークレットリソース:
構文
apiVersion: v1 kind: Secret metadata: name: postgresql-admin-credentials namespace: PROJECT_NAME type: Opaque data: db.host: DB_HOST db.name: DB_NAME db.user: USERNAME db.password: PASSWORD db.port: PORT
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: postgresql-admin-credentials namespace: trusted-profile-analyzer type: Opaque data: data: db.host: rds.us-east-1.amazonaws.com db.name: rhtpadb db.user: admin db.password: example1234 db.port: 5432 EOF
- AWS マネジメントコンソールから、ポート 5432 を許可するように Amazon Virtual Private Cloud (VPC) security group を設定します。
シェル環境を設定します。
構文
export NAMESPACE=PROJECT_NAME export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')例
$ export NAMESPACE=trusted-profile-analyzer $ export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')OpenShift Helm チャートリポジトリーを追加します。
例
$ helm repo add openshift-helm-charts https://charts.openshift.io/
Helm チャートリポジトリーから最新のチャート情報を取得します。
例
$ helm repo update
Helm チャートを実行します。
構文
helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL例
$ helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa-aws.yaml --set-string appDomain=$APP_DOMAIN_URL
注記この Helm チャートを何度も実行して、値ファイルから現在設定されている状態を適用できます。
インストールが完了すると、Cognito ユーザープールからのユーザーの認証情報を使用して RHTPA コンソールにログインできます。次のコマンドを実行すると、RHTPA コンソール URL を見つけることができます。
例
$ oc -n $NAMESPACE get route --selector app.kubernetes.io/name=spog-ui -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'スケジュールされた Cron ジョブが毎日実行され、RHTPA の最新の Common Vulnerabilities and Exposures (CVE) データを収集します。スケジュールされたジョブが実行されるまで待つのではなく、以下のコマンドを実行してこの Cron ジョブを手動で開始できます。
例
$ oc -n $NAMESPACE create job --from=cronjob/v11y-walker v11y-walker-now
Cron ジョブが完了したら、この Cron ジョブを削除します。
例
$ oc -n $NAMESPACE delete job v11y-walker-now
関連情報
- Amazon Simple Storage Service (S3) エンドポイントとクォータの ドキュメント。
- Amazon Simple Queue Service (SQS) ドキュメント。
- Amazon Cognito ドキュメント.
- Amazon Relational Database Service (RDS) ドキュメント。
- Amazon S3 バケットを作成している。
- 標準の Amazon SQS キューを作成している。
2.3. 他のサービスで Helm を使用した Trusted Profile Analyzer のインストール
Red Hat の Helm チャートを使用して、Red Hat の Trusted Profile Analyzer (RHTPA) サービスを OpenShift にインストールできます。Simple Storage Service (S3) 互換のストレージインフラストラクチャー、OpenID Connect (OIDC) プロバイダー、PostgreSQL データベースが必要であり、Red Hat AMQ Streams for OpenShift を使用する必要があります。この手順では、Helm のカスタマイズされた値ファイルを使用して、さまざまなサービスを RHTPA と統合する方法を説明します。
インストール後にシークレット値が変更されると、OpenShift は RHTPA を再デプロイします。
前提条件
バージョン 4.14 以降を実行している Red Hat OpenShift Container Platform クラスター。
- HTTPS を使用する公的に信頼された証明書を提供するための Ingress リソースのサポート。
次のバージョンなしの S3 バケット名を作成します。
-
bombastic-default -
vexination-default -
v11y-default
-
次のトピック名を持つ AMQ Streams on OpenShift サービスが作成されている。
-
bombastic-failed-default -
bombastic-indexed-default -
bombastic-stored-default -
vexination-failed-default -
vexination-indexed-default -
vexination-stored-default -
v11y-failed-default -
v11y-indexed-default -
v11y-stored-default
-
- 認証用の OIDC プロバイダー。
- 新しい PostgreSQL データベース。
-
cluster-adminロールでの OpenShift Web コンソールへのアクセス。 -
ocおよびhelmバイナリーがインストールされたワークステーションがある。
手順
ワークステーションでターミナルを開き、コマンドラインインターフェイスを使用して OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
$ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。ユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
RHTPA デプロイメントの新規プロジェクトを作成します。
構文
oc new-project PROJECT_NAME例
$ oc new-project trusted-profile-analyzer
新規ファイルを開いて編集します。
例
$ vi values-rhtpa.yaml
-
RHTPA 値ファイルテンプレート をコピーして、新しい
values-rhtpa.yamlファイルに貼り付けます。 使用予定の情報で
values-rhtpa.yamlファイルを更新します。- S3_ENDPOINT_URL は、関連する S3 ストレージ情報に置き換えます。
- AMQ_ENDPOINT_URL、および USER_NAME は、関連する AMQ Streams 情報に置き換えます。
- OIDC_ISSUER_URL、FRONTEND_CLIENT_ID、および WALKER_CLIENT_ID は、関連する OIDC 情報に置き換えます。
- ファイルを保存して、エディターを終了します。
認証情報を使用して S3 ストレージシークレットリソースを作成します。
構文
apiVersion: v1 kind: Secret metadata: name: s3-credentials namespace: PROJECT_NAME type: Opaque data: user: USER_NAME password: PASSWORD
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: s3-credentials namespace: trusted-profile-analyzer type: Opaque data: user: root password: example123 EOF
認証情報を使用して、AMQ Streams シークレットリソースを作成します。
構文
apiVersion: v1 kind: Secret metadata: name: kafka-credentials namespace: PROJECT_NAME type: Opaque data: client_password: PASSWORD
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: kafka-credentials namespace: trusted-profile-analyzer type: Opaque data: client_password: example123 EOF
OIDC ウォーカークライアントシークレットリソースを作成します。
構文
apiVersion: v1 kind: Secret metadata: name: oidc-walker namespace: PROJECT_NAME type: Opaque data: client-secret: SECRET
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: oidc-walker namespace: trusted-profile-analyzer type: Opaque data: client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79 EOF
データベース認証情報を使用して、2 つの PostgreSQL データベースシークレットリソースを作成します。
PostgreSQL 標準ユーザーシークレットリソース:
構文
apiVersion: v1 kind: Secret metadata: name: postgresql-credentials namespace: PROJECT_NAME type: Opaque data: db.host: DB_HOST db.name: DB_NAME db.user: USERNAME db.password: PASSWORD db.port: PORT
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: postgresql-credentials namespace: trusted-profile-analyzer type: Opaque data: data: db.host: postgresql.example.com db.name: rhtpadb db.user: jdoe db.password: example1234 db.port: 5432 EOF
PostgreSQL 管理者シークレットリソース:
構文
apiVersion: v1 kind: Secret metadata: name: postgresql-admin-credentials namespace: PROJECT_NAME type: Opaque data: db.host: DB_HOST db.name: DB_NAME db.user: USERNAME db.password: PASSWORD db.port: PORT
例
$ cat <<EOF | oc apply -f - apiVersion: v1 kind: Secret metadata: name: postgresql-admin-credentials namespace: trusted-profile-analyzer type: Opaque data: data: db.host: postgresql.example.com db.name: rhtpadb db.user: admin db.password: example1234 db.port: 5432 EOF
シェル環境を設定します。
構文
export NAMESPACE=PROJECT_NAME export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')例
$ export NAMESPACE=trusted-profile-analyzer $ export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')OpenShift Helm チャートリポジトリーを追加します。
例
$ helm repo add openshift-helm-charts https://charts.openshift.io/
Helm チャートリポジトリーから最新のチャート情報を取得します。
例
$ helm repo update
Helm チャートを実行します。
構文
helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL例
$ helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa.yaml --set-string appDomain=$APP_DOMAIN_URL
注記この Helm チャートを何度も実行して、値ファイルから現在設定されている状態を適用できます。
インストールが完了したら、OIDC プロバイダーからのユーザーの認証情報を使用して RHTPA コンソールにログインできます。次のコマンドを実行すると、RHTPA コンソール URL を見つけることができます。
例
$ oc -n $NAMESPACE get route --selector app.kubernetes.io/name=spog-ui -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'スケジュールされた Cron ジョブが毎日実行され、RHTPA の最新の Common Vulnerabilities and Exposures (CVE) データを収集します。スケジュールされたジョブが実行されるまで待つのではなく、以下のコマンドを実行してこの Cron ジョブを手動で開始できます。
例
$ oc -n $NAMESPACE create job --from=cronjob/v11y-walker v11y-walker-now
Cron ジョブが完了したら、この Cron ジョブを削除します。
例
$ oc -n $NAMESPACE delete job v11y-walker-now
付録A AWS 値ファイルテンプレートを使用した Red Hat Trusted Profile Analyzer
RHTPA Helm チャートで使用するための、Amazon Web Services (AWS) 値ファイルテンプレートを使用した Red Hat の Trusted Profile Analyzer (RHTPA)。
Template
appDomain: $APP_DOMAIN_URL
tracing: {}
ingress:
className: openshift-default
storage:
region: REGIONAL_ENDPOINT
accessKey:
valueFrom:
secretKeyRef:
name: storage-credentials
key: aws_access_key_id
secretKey:
valueFrom:
secretKeyRef:
name: storage-credentials
key: aws_secret_access_key
eventBus:
type: sqs
region: REGIONAL_ENDPOINT
accessKey:
valueFrom:
secretKeyRef:
name: event-bus-credentials
key: aws_access_key_id
secretKey:
valueFrom:
secretKeyRef:
name: event-bus-credentials
key: aws_secret_access_key
authenticator:
type: cognito
cognitoDomainUrl: COGNITO_DOMAIN_URL
oidc:
issuerUrl: https://cognito-idp.REGION.amazonaws.com/USER_POOL_ID
clients:
frontend:
clientId: FRONTEND_CLIENT_ID
walker:
clientId: WALKER_CLIENT_ID
clientSecret:
valueFrom:
secretKeyRef:
name: oidc-walker
key: client-secret
bombastic:
bucket: bombastic-UNIQUE_ID
topics:
failed: bombastic-failed-default
indexed: bombastic-indexed-default
stored: bombastic-stored-default
vexination:
bucket: vexination-UNIQUE_ID
topics:
failed: vexination-failed-default
indexed: vexination-indexed-default
stored: vexination-stored-default
v11y:
bucket: v11y-UNIQUE_ID
topics:
failed: v11y-failed-default
indexed: v11y-indexed-default
stored: v11y-stored-default
guac:
database:
name:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.name
host:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.host
port:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.port
username:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.user
password:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.password
initDatabase:
name:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.name
host:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.host
port:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.port
username:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.user
password:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.password
付録B Red Hat Trusted Profile Analyzer とその他のサービス値ファイルテンプレート
RHTPA Helm チャートで使用される、Red Hat の Trusted Profile Analyzer (RHTPA) とその他のサービス値ファイルテンプレート。
Template
appDomain: $APP_DOMAIN_URL
tracing: {}
ingress:
className: openshift-default
storage:
endpoint: S3_ENDPOINT_URL
accessKey:
valueFrom:
secretKeyRef:
name: s3-credentials
key: user
secretKey:
valueFrom:
secretKeyRef:
name: s3-credentials
key: password
eventBus:
type: kafka
bootstrapServers: AMQ_ENDPOINT_URL:9092
config:
securityProtocol: SASL_PLAINTEXT
username: “USER_NAME”
password:
valueFrom:
secretKeyRef:
name: kafka-credentials
key: client_password
mechanism: SCRAM-SHA-512
oidc:
issuerUrl: OIDC_ISSUER_URL
clients:
frontend:
clientId: FRONTEND_CLIENT_ID
walker:
clientId: WALKER_CLIENT_ID
clientSecret:
valueFrom:
secretKeyRef:
name: oidc-walker
key: client-secret
bombastic:
bucket: bombastic-default
topics:
failed: bombastic-failed-default
indexed: bombastic-indexed-default
stored: bombastic-stored-default
vexination:
bucket: vexination-default
topics:
failed: vexination-failed-default
indexed: vexination-indexed-default
stored: vexination-stored-default
v11y:
bucket: v11y-default
topics:
failed: v11y-failed-default
indexed: v11y-indexed-default
stored: v11y-stored-default
guac:
database:
name:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.name
host:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.host
port:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.port
username:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.user
password:
valueFrom:
secretKeyRef:
name: postgresql-credentials
key: db.password
initDatabase:
name:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.name
host:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.host
port:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.port
username:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.user
password:
valueFrom:
secretKeyRef:
name: postgresql-admin-credentials
key: db.password
