Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

デプロイメントガイド

Red Hat Trusted Profile Analyzer 1

Red Hat Enterprise Linux および Red Hat OpenShift への Trusted Profile Analyzer サービスのデプロイ

Red Hat Trusted Documentation Team

概要

このデプロイメントガイドでは、システム管理者に、Red Hat Enterprise Linux および Red Hat OpenShift Container Platform に Red Hat の Trusted Profile Analyzer サービスをインストールする方法を説明します。
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

はじめに
リンクのコピー

Red Hat Trusted Profile Analyzer (RHTPA) デプロイメントガイドへようこそ。

このガイドは、Red Hat OpenShift Container Platform または Red Hat Enterprise Linux に Red Hat Trusted Profile Analyzer (RHTPA) ソフトウェアスタックをデプロイする際に役立ちます。新しい RHTPA デプロイメントの場合は、まず ターゲットのインストールプラットフォーム を選択することから開始します。

重要

RHTPA をバージョン 1.2 にアップグレードする場合は、1章アップグレード前にデータを移行する から開始します。

第1章 アップグレード前にデータを移行する
リンクのコピー

Red Hat Trusted Profile Analyzer (RHTPA) バージョン 1.2 のリリースでは、取り込まれた Software Bill of Materials (SBOM) および Vulnerability Exploitability eXchange (VEX) データ用の新しいスキーマが実装されました。アップグレードする前に、SBOM および VEX データのこの新しいスキーマへのデータ移行を実行するように、RHTPA 1.2 値ファイルを設定する必要があります。このデータ移行は、RHTPA バージョン 1.2 へのアップグレードプロセス中に行われます。

前提条件

  • Red Hat OpenShift への RHTPA 1.1.2 のインストール。
  • 新しい PostgreSQL データベース。
  • oc および helm バイナリーがインストールされたワークステーション。

手順

  1. ワークステーションでターミナルを開き、コマンドラインインターフェイスを使用して OpenShift にログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    $ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。ユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  2. RHTPA プロジェクト namespace をエクスポートします。

    構文

    export NAMESPACE=RHTPA_NAMESPACE
    Copy to Clipboard Toggle word wrap 

    $ export NAMESPACE=trusted_profile_analyzer
    Copy to Clipboard Toggle word wrap

  3. RHTPA 1.1.2 のインストールがプロジェクト namespace にあることを確認します。 

    $ helm list -n $NAMESPACE
    Copy to Clipboard Toggle word wrap

  4. RHTPA 1.1.2 をアンインストールします。 

    $ helm uninstall redhat-trusted-profile-analyzer -n $NAMESPACE
    Copy to Clipboard Toggle word wrap

  5. RHTPA 1.2 値ファイルを編集用に開き、次の内容を変更します。

    • 新しい PostgreSQL データベースインスタンスを参照します。
    • バージョン 1.1.2 で使用されたものと同じ Simple Storage Service (S3) ストレージを参照します。
    • バージョン 1.1.2 で使用されたものと同じメッセージングキューを参照します。

    • modules.vexinationCollector.recollectVEX および modules.bombasticCollector.recollectSBOM オプションの値を true に設定します。

      注記

      OpenShift 上の RHTPA デプロイメントで使用される値ファイルテンプレートは、デプロイメントガイド の付録を参照してください。

  6. OpenShift 用の更新された RHTPA 1.2 Helm チャートを使用してアップグレードを開始します。

    構文

    helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL
    Copy to Clipboard Toggle word wrap 

    $ helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa.yaml --set-string appDomain=$APP_DOMAIN_URL
    Copy to Clipboard Toggle word wrap

    注記

    この Helm チャートを何度も実行して、値ファイルから現在設定されている状態を適用できます。

  7. データ移行が成功したことを確認します。

    1. SBOM および VEX インデクサーログを表示し、Reindexing all documents および Reindexing finished というメッセージを探します。 

      $ oc logs bombastic-indexer -n $NAMESPACE
$ oc logs vexination-indexer -n $NAMESPACE
      Copy to Clipboard Toggle word wrap

      次のエラーメッセージも表示されます。 

      Error syncing index: Open("Schema error: 'An index exists but the schema does not match.'"), keeping old
Error loading initial index: Open("Schema error: 'An index exists but the schema does not match.'")
      Copy to Clipboard Toggle word wrap

      このスキーマの不一致のため、bombastic-collector および vexination-collector Pod は recollect コンテナーを起動して、既存の SBOM および VEX データをすべて収集します。recollect-sbomrecollect-vex の両方の init-containers が正常に完了して停止するはずです。移行が完了すると、既存の SBOM および VEX データがすべて RHTPA コンソールに表示されます。

第2章 インストールプラットフォームの選択
リンクのコピー

システム管理者は、Red Hat Trusted Profile Analyzer (RHTPA) を実行するために 2 つの異なるインストールプラットフォームを選択できます。Amazon Web Services (AWS) または Red Hat の Helm チャートを備えた他のサービスプロバイダーを使用して、RHTPA を Red Hat OpenShift Container Platform にデプロイできます。Ansible を使用して RHTPA を Red Hat Enterprise Linux にデプロイすることもできます。

重要

RHTPA を Red Hat Enterprise Linux にデプロイすることは、現在テクニカルプレビュー機能です。

対象のインストールプラットフォームを選択します。

2.1. Ansible を使用して Trusted Profile Analyzer をインストールする
リンクのコピー

Red Hat が提供する Ansible Playbook を使用して、Red Hat Enterprise Linux に Red Hat Trusted Profile Analyzer (RHTPA) をインストールできます。この RHTPA の Ansible デプロイメントでは、独自の PostgreSQL データベース、OpenID Connect (OIDC) プロバイダー、Simple Storage Service (S3)、および Simple Queue Service (SQS) インフラストラクチャーを指定できます。

重要

Ansible を使用した Red Hat Enterprise Linux への RHTPA のデプロイは、テクノロジープレビュー機能のみです。テクノロジープレビュー機能は、Red Hat の実稼働環境のサービスレベルアグリーメント (SLA) ではサポートされず、機能的に完全ではないことがあるため、Red Hat では実稼働環境での使用を推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。詳細は、Red Hat テクノロジープレビュー機能のサポート範囲 を参照してください。

前提条件

  • Red Hat Enterprise Linux バージョン 9.3 以降。
  • Red Hat Hybrid Cloud Console にアクセスする Red Hat ユーザーアカウント。

手順

  1. Red Hat 認証情報を使用して Red Hat Hybrid Cloud コンソール にログインします。
  2. ホームページから、Services ドロップダウンメニューをクリックし、Red Hat Ansible Automation Platform をクリックします。
  3. ナビゲーションメニューから Automation Hub を展開し、Collections をクリックします。
  4. 検索フィールドに rhtpa と入力し、Enter キーを押します。
  5. Red Hat Trusted Profile Analyzer タイルの trusted_profile_analyzer リンクをクリックします。

  6. Documentation タブをクリックし、そこに記載されている手順に従って、Red Hat Enterprise Linux への RHTPA のインストールを完了します。

    注記

    すべての設定パラメーターの詳細な概要は、Roles セクションの tpa_single_node リンクをクリックしてください。

2.2. Amazon Web Services で Helm を使用して Trusted Profile Analyzer をインストールする
リンクのコピー

Red Hat の Helm チャートを使用して、Red Hat の Trusted Profile Analyzer (RHTPA) サービスを OpenShift にインストールできます。この手順では、Helm のカスタマイズされた値ファイルを使用して Amazon Web Services (AWS) を RHTPA と統合する方法を説明します。

重要

インストール後にシークレット値が変更されると、OpenShift は RHTPA を再デプロイします。

前提条件

  • バージョン 4.14 以降を実行している Red Hat OpenShift Container Platform クラスター。

    • HTTPS を使用する公的に信頼された証明書を提供するための Ingress リソースのサポート。
  • Helm の Transport Layer Security (TLS) 証明書のプロビジョニング 機能。

  • 次のサービスにアクセスできる AWS アカウント:

    • Simple Storage Service (S3)
    • Simple Queue Service (SQS)
    • PostgreSQL データベースインスタンスを使用するリレーショナルデータベースサービス (RDS)。
    • 既存の Cognito ドメインを使用する Cognito

  • 次の バージョンなし の S3 バケット名を 作成します

    • bombastic-UNIQUE_ID
    • vexination-UNIQUE_ID

    • v11y-UNIQUE_ID

      重要

      これらのバケット名は、同じパーティション内のすべての AWS リージョンのすべての AWS アカウントで一意である必要があります。バケットの命名規則 の詳細は、Amazon の S3 ドキュメントを参照してください。

  • 次の標準の SQS キュー名を 作成 している。

    • bombastic-failed-default
    • bombastic-indexed-default
    • bombastic-stored-default
    • vexination-failed-default
    • vexination-indexed-default
    • vexination-stored-default
    • v11y-failed-default
    • v11y-indexed-default
    • v11y-stored-default
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • oc および helm バイナリーがインストールされたワークステーションがある。

手順

  1. ワークステーションでターミナルを開き、コマンドラインインターフェイスを使用して OpenShift にログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    $ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。ユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  2. RHTPA デプロイメントの新規プロジェクトを作成します。

    構文

    oc new-project PROJECT_NAME
    Copy to Clipboard Toggle word wrap 

    $ oc new-project trusted-profile-analyzer
    Copy to Clipboard Toggle word wrap

  3. 新規ファイルを開いて編集します。 

    $ vi values-rhtpa-aws.yaml
    Copy to Clipboard Toggle word wrap

  4. RHTPA 値ファイルテンプレート をコピーして、新しい value-rhtpa-aws.yaml ファイルに貼り付けます。

  5. values-rhtpa-aws.yaml ファイルを関連する AWS 情報で更新します。

    1. REGIONAL_ENDPOINT は、Amazon S3 ストレージおよび Amazon SQS エンドポイント URL に置き換えます。
    2. COGNITO_DOMAIN_URL は Amazon Cognito URL に置き換えます。この情報は、AWS Cognito ConsoleApp Integration タブにあります。
    3. REGIONUSER_POOL_ID、および FRONTEND_CLIENT_ID および WALKER_CLIENT_ID は、関連する Amazon Cognito 情報に置き換えます。この情報は、AWS Cognito ConsoleUser pool overview セクション、および App Integration タブの App clients and analytics セクションで確認できます。
    4. UNIQUE_ID は、bombastic-vexination-v11y- の一意のバケット名に置き換えます。
    5. ファイルを保存して、エディターを終了します。

  6. AWS 認証情報を使用して、S3 ストレージシークレットリソースを作成します。

    構文

    apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  aws_access_key_id: AWS_ACCESS_KEY
  aws_secret_access_key: AWS_SECRET_KEY
    Copy to Clipboard Toggle word wrap 

    $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  aws_access_key_id: RHTPASTORAGE1EXAMPLE
  aws_secret_access_key: xBalrKUtnFEMI/K7RDENG/aPxRfzCYEXAMPLEKEY
EOF
    Copy to Clipboard Toggle word wrap

  7. AWS 認証情報を使用して、SQS イベントバスシークレットリソースを作成します。

    構文

    apiVersion: v1
kind: Secret
metadata:
  name: event-bus-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  aws_access_key_id: AWS_ACCESS_KEY
  aws_secret_access_key: AWS_SECRET_KEY
    Copy to Clipboard Toggle word wrap 

    $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: event-bus-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  aws_access_key_id: RHTPAEVENTBS1EXAMPLE
  aws_secret_access_key: mBaliKUtnFEMI/K6RDENG/aPxRfzCYEXAMPLEKEY
EOF
    Copy to Clipboard Toggle word wrap

  8. OpenID Connect (OIDC) ウォーカークライアントシークレットリソースを作成します。

    構文

    apiVersion: v1
kind: Secret
metadata:
  name: oidc-walker
  namespace: PROJECT_NAME
type: Opaque
data:
  client-secret: SECRET
    Copy to Clipboard Toggle word wrap 

    $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: oidc-walker
  namespace: trusted-profile-analyzer
type: Opaque
data:
  client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79
EOF
    Copy to Clipboard Toggle word wrap

  9. Amazon RDS 認証情報を使用して、2 つの PostgreSQL データベースシークレットリソースを作成します。

    1. PostgreSQL 標準ユーザーシークレットリソース:

      構文

      apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT
      Copy to Clipboard Toggle word wrap 

      $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: jdoe
  db.password: example1234
  db.port: 5432
EOF
      Copy to Clipboard Toggle word wrap

    2. PostgreSQL 管理者シークレットリソース:

      構文

      apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT
      Copy to Clipboard Toggle word wrap 

      $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: admin
  db.password: example1234
  db.port: 5432
EOF
      Copy to Clipboard Toggle word wrap

    3. AWS マネジメントコンソールから、ポート 5432 を許可するように Amazon Virtual Private Cloud (VPC) security group を設定します。

  10. シェル環境を設定します。

    構文

    export NAMESPACE=PROJECT_NAME
export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')
    Copy to Clipboard Toggle word wrap 

    $ export NAMESPACE=trusted-profile-analyzer
$ export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')
    Copy to Clipboard Toggle word wrap

  11. OpenShift Helm チャートリポジトリーを追加します。 

    $ helm repo add openshift-helm-charts https://charts.openshift.io/
    Copy to Clipboard Toggle word wrap

  12. Helm チャートリポジトリーから最新のチャート情報を取得します。 

    $ helm repo update
    Copy to Clipboard Toggle word wrap

  13. Helm チャートを実行します。

    構文

    helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL
    Copy to Clipboard Toggle word wrap 

    $ helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa-aws.yaml --set-string appDomain=$APP_DOMAIN_URL
    Copy to Clipboard Toggle word wrap

    注記

    この Helm チャートを何度も実行して、値ファイルから現在設定されている状態を適用できます。

  14. インストールが完了すると、Cognito ユーザープールからのユーザーの認証情報を使用して RHTPA コンソールにログインできます。次のコマンドを実行すると、RHTPA コンソール URL を見つけることができます。 

    $ oc -n $NAMESPACE get route --selector app.kubernetes.io/name=spog-ui -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'
    Copy to Clipboard Toggle word wrap

  15. スケジュールされた Cron ジョブが毎日実行され、RHTPA の最新の Common Vulnerabilities and Exposures (CVE) データを収集します。スケジュールされたジョブが実行されるまで待つのではなく、以下のコマンドを実行してこの Cron ジョブを手動で開始できます。 

    $ oc -n $NAMESPACE create job --from=cronjob/v11y-walker v11y-walker-now
    Copy to Clipboard Toggle word wrap

    Cron ジョブが完了したら、この Cron ジョブを削除します。 

    $ oc -n $NAMESPACE delete job v11y-walker-now
    Copy to Clipboard Toggle word wrap

2.3. 他のサービスで Helm を使用した Trusted Profile Analyzer のインストール
リンクのコピー

Red Hat の Helm チャートを使用して、Red Hat の Trusted Profile Analyzer (RHTPA) サービスを OpenShift にインストールできます。Simple Storage Service (S3) 互換のストレージインフラストラクチャー、OpenID Connect (OIDC) プロバイダー、PostgreSQL データベースが必要であり、Red Hat AMQ Streams for OpenShift を使用する必要があります。この手順では、Helm のカスタマイズされた値ファイルを使用して、さまざまなサービスを RHTPA と統合する方法を説明します。

重要

インストール後にシークレット値が変更されると、OpenShift は RHTPA を再デプロイします。

前提条件

  • バージョン 4.14 以降を実行している Red Hat OpenShift Container Platform クラスター。

    • HTTPS を使用する公的に信頼された証明書を提供するための Ingress リソースのサポート。

  • 次のバージョンなしの S3 バケット名を作成します。

    • bombastic-default
    • vexination-default
    • v11y-default

  • 次のトピック名を持つ AMQ Streams on OpenShift サービスが作成されている。

    • bombastic-failed-default
    • bombastic-indexed-default
    • bombastic-stored-default
    • vexination-failed-default
    • vexination-indexed-default
    • vexination-stored-default
    • v11y-failed-default
    • v11y-indexed-default
    • v11y-stored-default
  • 認証用の OIDC プロバイダー。
  • 新しい PostgreSQL データベース。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • oc および helm バイナリーがインストールされたワークステーションがある。

手順

  1. ワークステーションでターミナルを開き、コマンドラインインターフェイスを使用して OpenShift にログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    $ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。ユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  2. RHTPA デプロイメントの新規プロジェクトを作成します。

    構文

    oc new-project PROJECT_NAME
    Copy to Clipboard Toggle word wrap 

    $ oc new-project trusted-profile-analyzer
    Copy to Clipboard Toggle word wrap

  3. 新規ファイルを開いて編集します。 

    $ vi values-rhtpa.yaml
    Copy to Clipboard Toggle word wrap

  4. RHTPA 値ファイルテンプレート をコピーして、新しい values-rhtpa.yaml ファイルに貼り付けます。

  5. 使用予定の情報で values-rhtpa.yaml ファイルを更新します。

    1. S3_ENDPOINT_URL は、関連する S3 ストレージ情報に置き換えます。
    2. AMQ_ENDPOINT_URL、および USER_NAME は、関連する AMQ Streams 情報に置き換えます。
    3. OIDC_ISSUER_URLFRONTEND_CLIENT_ID、および WALKER_CLIENT_ID は、関連する OIDC 情報に置き換えます。
    4. ファイルを保存して、エディターを終了します。

  6. 認証情報を使用して S3 ストレージシークレットリソースを作成します。

    構文

    apiVersion: v1
kind: Secret
metadata:
  name: s3-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  user: USER_NAME
  password: PASSWORD
    Copy to Clipboard Toggle word wrap 

    $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: s3-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  user: root
  password: example123
EOF
    Copy to Clipboard Toggle word wrap

  7. 認証情報を使用して、AMQ Streams シークレットリソースを作成します。

    構文

    apiVersion: v1
kind: Secret
metadata:
  name: kafka-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  client_password: PASSWORD
    Copy to Clipboard Toggle word wrap 

    $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: kafka-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  client_password: example123
EOF
    Copy to Clipboard Toggle word wrap

  8. OIDC ウォーカークライアントシークレットリソースを作成します。

    構文

    apiVersion: v1
kind: Secret
metadata:
  name: oidc-walker
  namespace: PROJECT_NAME
type: Opaque
data:
  client-secret: SECRET
    Copy to Clipboard Toggle word wrap 

    $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: oidc-walker
  namespace: trusted-profile-analyzer
type: Opaque
data:
  client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79
EOF
    Copy to Clipboard Toggle word wrap

  9. データベース認証情報を使用して、2 つの PostgreSQL データベースシークレットリソースを作成します。

    1. PostgreSQL 標準ユーザーシークレットリソース:

      構文

      apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT
      Copy to Clipboard Toggle word wrap 

      $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: postgresql.example.com
  db.name: rhtpadb
  db.user: jdoe
  db.password: example1234
  db.port: 5432
EOF
      Copy to Clipboard Toggle word wrap

    2. PostgreSQL 管理者シークレットリソース:

      構文

      apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT
      Copy to Clipboard Toggle word wrap 

      $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: postgresql.example.com
  db.name: rhtpadb
  db.user: admin
  db.password: example1234
  db.port: 5432
EOF
      Copy to Clipboard Toggle word wrap

  10. シェル環境を設定します。

    構文

    export NAMESPACE=PROJECT_NAME
export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')
    Copy to Clipboard Toggle word wrap 

    $ export NAMESPACE=trusted-profile-analyzer
$ export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')
    Copy to Clipboard Toggle word wrap

  11. OpenShift Helm チャートリポジトリーを追加します。 

    $ helm repo add openshift-helm-charts https://charts.openshift.io/
    Copy to Clipboard Toggle word wrap

  12. Helm チャートリポジトリーから最新のチャート情報を取得します。 

    $ helm repo update
    Copy to Clipboard Toggle word wrap

  13. Helm チャートを実行します。

    構文

    helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL
    Copy to Clipboard Toggle word wrap 

    $ helm install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa.yaml --set-string appDomain=$APP_DOMAIN_URL
    Copy to Clipboard Toggle word wrap

    注記

    この Helm チャートを何度も実行して、値ファイルから現在設定されている状態を適用できます。

  14. インストールが完了したら、OIDC プロバイダーからのユーザーの認証情報を使用して RHTPA コンソールにログインできます。次のコマンドを実行すると、RHTPA コンソール URL を見つけることができます。 

    $ oc -n $NAMESPACE get route --selector app.kubernetes.io/name=spog-ui -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'
    Copy to Clipboard Toggle word wrap

  15. スケジュールされた Cron ジョブが毎日実行され、RHTPA の最新の Common Vulnerabilities and Exposures (CVE) データを収集します。スケジュールされたジョブが実行されるまで待つのではなく、以下のコマンドを実行してこの Cron ジョブを手動で開始できます。 

    $ oc -n $NAMESPACE create job --from=cronjob/v11y-walker v11y-walker-now
    Copy to Clipboard Toggle word wrap

    Cron ジョブが完了したら、この Cron ジョブを削除します。 

    $ oc -n $NAMESPACE delete job v11y-walker-now
    Copy to Clipboard Toggle word wrap

付録A AWS 値ファイルテンプレートを使用した Red Hat Trusted Profile Analyzer
リンクのコピー

RHTPA Helm チャートで使用するための、Amazon Web Services (AWS) 値ファイルテンプレートを使用した Red Hat の Trusted Profile Analyzer (RHTPA)。

Template

appDomain: $APP_DOMAIN_URL

tracing: {}

ingress:
   className: openshift-default

storage:
  region: REGIONAL_ENDPOINT
  accessKey:
    valueFrom:
  	  secretKeyRef:
        name: storage-credentials
        key: aws_access_key_id
  secretKey:
    valueFrom:
      secretKeyRef:
        name: storage-credentials
        key: aws_secret_access_key

eventBus:
  type: sqs
  region: REGIONAL_ENDPOINT
  accessKey:
    valueFrom:
      secretKeyRef:
        name: event-bus-credentials
        key: aws_access_key_id
  secretKey:
    valueFrom:
      secretKeyRef:
        name: event-bus-credentials
        key: aws_secret_access_key

authenticator:
  type: cognito
  cognitoDomainUrl: COGNITO_DOMAIN_URL

oidc:
  issuerUrl: https://cognito-idp.REGION.amazonaws.com/USER_POOL_ID
  clients:
    frontend:
      clientId: FRONTEND_CLIENT_ID
    walker:
      clientId: WALKER_CLIENT_ID
      clientSecret:
        valueFrom:
          secretKeyRef:
            name: oidc-walker
            key: client-secret

bombastic:
  bucket: bombastic-UNIQUE_ID
  topics:
    failed: bombastic-failed-default
    indexed: bombastic-indexed-default
    stored: bombastic-stored-default

vexination:
  bucket: vexination-UNIQUE_ID
  topics:
    failed: vexination-failed-default
    indexed: vexination-indexed-default
    stored: vexination-stored-default

v11y:
  bucket: v11y-UNIQUE_ID
  topics:
    failed: v11y-failed-default
    indexed: v11y-indexed-default
    stored: v11y-stored-default

guac:
  database:
    name:
      valueFrom:
        secretKeyRef:
          name: postgresql-credentials
          key: db.name
    host:
      valueFrom:
        secretKeyRef:
          name: postgresql-credentials
          key: db.host
    port:
      valueFrom:
        secretKeyRef:
          name: postgresql-credentials
          key: db.port
    username:
      valueFrom:
        secretKeyRef:
          name: postgresql-credentials
          key: db.user
    password:
      valueFrom:
        secretKeyRef:
          name: postgresql-credentials
          key: db.password

  initDatabase:
    name:
      valueFrom:
        secretKeyRef:
          name: postgresql-admin-credentials
          key: db.name
    host:
      valueFrom:
        secretKeyRef:
          name: postgresql-admin-credentials
          key: db.host
    port:
      valueFrom:
        secretKeyRef:
          name: postgresql-admin-credentials
          key: db.port
    username:
      valueFrom:
        secretKeyRef:
          name: postgresql-admin-credentials
          key: db.user
    password:
      valueFrom:
        secretKeyRef:
          name: postgresql-admin-credentials
          key: db.password
Copy to Clipboard Toggle word wrap

付録B Red Hat Trusted Profile Analyzer とその他のサービス値ファイルテンプレート
リンクのコピー

RHTPA Helm チャートで使用される、Red Hat の Trusted Profile Analyzer (RHTPA) とその他のサービス値ファイルテンプレート。

Template

appDomain: $APP_DOMAIN_URL
tracing: {}
ingress:
  className: openshift-default

storage:
 endpoint: S3_ENDPOINT_URL
 accessKey:
   valueFrom:
     secretKeyRef:
       name: s3-credentials
          key: user
 secretKey:
   valueFrom:
     secretKeyRef:
       name: s3-credentials
       key: password

eventBus:
  type: kafka
  bootstrapServers: AMQ_ENDPOINT_URL:9092
  config:
    securityProtocol: SASL_PLAINTEXT
    username:USER_NAMEpassword:
      valueFrom:
        secretKeyRef:
          name: kafka-credentials
          key: client_password
    mechanism: SCRAM-SHA-512

oidc:
  issuerUrl: OIDC_ISSUER_URL
  clients:
   frontend:
     clientId: FRONTEND_CLIENT_ID
   walker:
     clientId: WALKER_CLIENT_ID
     clientSecret:
       valueFrom:
         secretKeyRef:
           name: oidc-walker
           key: client-secret

bombastic:
 bucket: bombastic-default
 topics:
   failed: bombastic-failed-default
   indexed: bombastic-indexed-default
   stored: bombastic-stored-default

vexination:
 bucket: vexination-default
 topics:
   failed: vexination-failed-default
   indexed: vexination-indexed-default
   stored: vexination-stored-default

v11y:
 bucket: v11y-default
 topics:
   failed: v11y-failed-default
   indexed: v11y-indexed-default
   stored: v11y-stored-default

guac:
 database:
   name:
     valueFrom:
       secretKeyRef:
         name: postgresql-credentials
         key: db.name
   host:
     valueFrom:
       secretKeyRef:
         name: postgresql-credentials
         key: db.host
   port:
     valueFrom:
       secretKeyRef:
         name: postgresql-credentials
         key: db.port
   username:
     valueFrom:
       secretKeyRef:
         name: postgresql-credentials
         key: db.user
   password:
     valueFrom:
       secretKeyRef:
         name: postgresql-credentials
         key: db.password

 initDatabase:
   name:
     valueFrom:
       secretKeyRef:
         name: postgresql-admin-credentials
         key: db.name
   host:
     valueFrom:
       secretKeyRef:
         name: postgresql-admin-credentials
         key: db.host
   port:
     valueFrom:
       secretKeyRef:
         name: postgresql-admin-credentials
         key: db.port
   username:
     valueFrom:
       secretKeyRef:
         name: postgresql-admin-credentials
         key: db.user
   password:
     valueFrom:
       secretKeyRef:
         name: postgresql-admin-credentials
         key: db.password
Copy to Clipboard Toggle word wrap

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る