3.4. OpenShift ソースおよび認証情報の追加
Red Hat OpenShift Container Platform デプロイメントでスキャンを実行するには、スキャンする Red Hat OpenShift Container Platform クラスターを識別するソースを追加する必要があります。その後、そのクラスターにアクセスするために認証データが含まれる認証情報を追加する必要があります。
詳細情報
OpenShift ソースおよび認証情報を追加して、Red Hat OpenShift Container Platform クラスターのスキャンに必要な情報を提供します。詳細は、以下の情報を参照してください。
- OpenShift ソースを追加するには、OpenShift ソースの追加 を参照してください。
- OpenShift 認証情報を追加するには、OpenShift 認証情報の追加 を参照してください。
ソースと認証情報、および Discovery でのそれらの使用方法の詳細は、次の情報を参照してください。
Red Hat OpenShift Container Platform クラスターで Discovery が認証する方法の詳細は、以下の情報を参照してください。この情報には、証明書の検証に関するガイダンスと、OpenShift の認証情報設定中に行う必要がある SSL 通信の選択肢が含まれます。
3.4.1. Red Hat OpenShift Container Platform ソースの追加
最初の Welcome ページまたは Sources ビューからソースを追加できます。
前提条件
- Red Hat OpenShift Container Platform Web コンソールの管理者パースペクティブにアクセスし、API アドレスおよびトークンの値を取得できる。
手順
オプションをクリックして、場所に基づいて新しい認証情報を追加します。
- Welcome ページから Add Source をクリックします。
- Sources ビューから Add をクリックします。
ソースの追加ウィザードが開きます。
- Type ページで、OpenShift をソースタイプとして選択し、Next をクリックします。
Credentials ページで、以下の情報を入力します。
- Name フィールドに、説明的な名前を入力します。
- IP Address or Hostname フィールドに、このソースの Red Hat OpenShift Container Platform クラスター API アドレスを入力します。Web コンソールでクラスターの概要の詳細を表示すると、クラスター API アドレスを確認できます。
- Credentials 一覧で、このソースのクラスターへのアクセスに必要な認証情報を選択します。必要な認証情報が存在しない場合は、Add a credential アイコンをクリックして Add Credential ウィザードを開きます。
- Connection リストで、このソースのスキャン中にセキュアな接続に使用される SSL プロトコルを選択します。Disable SSL を選択して、このソースのスキャン時にセキュアな通信を無効にします。
- クラスターの SSL 検証をアップグレードして、認証局から検証された SSL 証明書を確認する必要がある場合は、Verify SSL Certificate チェックボックスを選択します。
- Save をクリックしてソースを保存し、Close をクリックして Add Source ウィザードを閉じます。
3.4.2. Red Hat OpenShift Container Platform 認証情報の追加
Credentials ビューから認証情報を追加するか、ソースの作成時に Add Source ウィザードから認証情報を追加できます。
前提条件
- Red Hat OpenShift Container Platform Web コンソールの管理者パースペクティブにアクセスし、API アドレスおよびトークンの値を取得できる。
手順
オプションをクリックして、場所に基づいて新しい認証情報を追加します。
-
Credentials ビューから、
をクリックします。 - Add Source ウィザードで、Credentials フィールドの Add a credential アイコンをクリックします。
Add Credential ウィザードが開きます。
-
Credentials ビューから、
- Credential Name フィールドに、説明的な名前を入力します。
- 管理者コンソールから Red Hat OpenShift Container Platform クラスターの API トークンを入力します。コンソールでユーザー名をクリックし、Display Token オプションをクリックして、Your API token is に表示されている値をコピーすると、API トークンを見つけることができます。
- Save をクリックして認証情報を保存し、Add Credential ウィザードを閉じます。
3.4.3. ソースおよび認証情報について
スキャンを実行するには、ソースと認証情報の 2 つの基本的な構造のデータを設定する必要があります。スキャン中に検査するソースのタイプによって、ソースと認証情報の両方の設定に必要なデータのタイプが決まります。
ソース には、スキャン時に検査される単一のアセットまたは複数のアセットが含まれます。次のいずれかのタイプのソースを設定できます。
- ネットワークソース
- 1 つ以上の物理マシン、仮想マシン、またはコンテナー。これらのアセットはホスト名、IP アドレス、IP 範囲、またはサブネットとして表現可能。
- vCenter ソース
- IT インフラストラクチャーのすべてまたは一部を管理する vCenter Server システム管理ソリューション。
- Satellite ソース
- IT インフラストラクチャーのすべてまたは一部を管理する Satellite システム管理ソリューション。
- Red Hat OpenShift ソース
- Red Hat OpenShift Container Platform ノードおよびワークロードのすべてまたは一部を管理する Red Hat OpenShift Container Platform クラスター。
- Ansible ソース
- Ansible ノードとワークロードを管理する Ansible 管理ソリューション。
- Red Hat Advanced Cluster Security for Kubernetes ソース
- Kubernetes 環境をセキュリティー保護する RHACS セキュリティープラットフォームソリューション。
ネットワークソースを使用している場合は、単一のソース内でグループ化する必要がある個々のアセットの数を決定します。現在、ネットワークソースに対してのみ、複数のアセットをソースに追加できます。次のリストには、ソースを追加するときに考慮する必要があるその他の要因がいくつか含まれています。
- アセットが開発、テスト、または本番環境の一部であるかどうか、およびコンピューティング能力の要求と同様の懸念がそれらのアセットの考慮事項であるかどうか。
- インストールされたソフトウェアへの頻繁な変更などの内部ビジネス慣習のために、特定のエンティティーまたはエンティティーのグループをより頻繁にスキャンするかどうか。
認証情報 は、ソースに含まれるアセットのすべてまたは一部でスキャンを実行する権限を持つユーザーのユーザー名やパスワード、SSH キーなどのデータが含まれます。ソースと同様に、認証情報はネットワーク、vCenter、Satellite、OpenShift、Ansible、または RHACS タイプとして設定されます。通常、ネットワークソースには、幅広い IP 範囲内の全アセットにアクセスするために多くの認証情報が必要になることが想定されるため、複数のネットワーク認証情報が必要になる場合があります。逆に、vCenter または Satellite ソースは、通常、必要に応じて単一の vCenter または Satellite 認証情報を使用して特定のシステム管理ソリューションサーバーにアクセスします。また、OpenShift、Ansible、または RHACS ソースは、単一のクラスターにアクセスするために単一の認証情報を使用します。
Sources ビューから新しいソースを追加でき、Credentials ビューから新しい認証情報を追加できます。ソースの作成中に、新しい認証情報を追加したり、既存の認証情報を選択したりすることもできます。認証情報をソースに直接関連付けるのは、ソースの作成時です。ソースと認証情報には一致するタイプが必要なため、ソースの作成時に追加する認証情報はソースと同じタイプを共有します。さらに、ソースの作成時に既存の認証情報を使用する場合は、利用可能な認証情報のリストに同じタイプの認証情報のみが含まれます。たとえば、ネットワークソースの作成時に利用できるのは、ネットワーク認証情報のみです。
3.4.4. Red Hat OpenShift Container Platform 認証
OpenShift スキャンでは、OpenShift クラスター API アドレスへの接続およびアクセスは、クラスター API アドレスと HTTPS で暗号化される API トークンを使用した Basic 認証から派生します。デフォルトでは、OpenShift スキャンは、SSL (Secure Sockets Layer) プロトコルを介して証明書の検証とセキュアな通信で実行されます。ソースの作成時に、証明書の検証およびセキュアな通信に使用する複数の異なる SSL プロトコルおよび TLS (Transport Layer Security) プロトコルから選択できます。
スキャン中に Red Hat OpenShift Container Platform クラスター API アドレスに適切に接続できるように、証明書検証のレベルを調整する必要がある場合があります。たとえば、OpenShift クラスター API アドレスは、認証局からの検証済み SSL 証明書を使用する場合があります。ソースの作成時に、SSL 証明書の検証をアップグレードして、そのソースのスキャン中にその証明書を確認することができます。逆に、クラスター API アドレスが自己署名証明書を使用する場合もあります。ソースの作成時に、SSL 検証をデフォルトのままにし、そのソースのスキャンが証明書をチェックしないようにできます。このように、自己署名証明書を使用する場合にオプションをデフォルトのままにすることで、スキャンエラーを回避できる可能性があります。
Web アプリケーションで SSL 通信を使用するように OpenShift クラスター API アドレスが設定されていない場合は、スキャン時にセキュアな通信方法である SSL を無効にしないといけない場合もあります。たとえば、OpenShift サーバーが、ポート 80 で HTTP を使用して Web アプリケーションと通信するように設定されている場合があります。その場合は、ソースの作成中に、そのソースのスキャンに対して SSL 通信を無効にできます。
