この項では、クラスタ内でノード上のPlatform API ServerとPlatform Agentの間に安全な通信を設定するために証明書を使用する方法について説明します。安全な通信は、Vaultで管理された証明書を使用して設定することも、各ノードにコピーした独自の証明書を使用して設定することもできます。Platform API ServerとPlatform Agentは、サービスの起動時に証明書を使用するように構成する必要があります。
Vaultで証明書を設定する方法の詳細は、3.5「X.509証明書の設定」を参照してください。
テスト時に使用可能な証明書に署名するためのプライベートCAの作成方法の詳細は、3.5.3「プライベートCA証明書の設定」を参照してください。
この項では、Vaultで管理された証明書を使用するようにPlatform API ServerとPlatform Agentサービスを設定する方法について説明します。
Vaultを使用してサービスを設定および起動するには:
オペレータ・ノードで、
/etc/olcne/bootstrap-olcne.sh
スクリプトを使用して、Vault証明書を取得して使用するようにPlatform API Serverを構成します。bootstrap-olcne.sh --helpコマンドは、このスクリプトのオプションをリスト表示する場合に使用します。次に例を示します。$
sudo /etc/olcne/bootstrap-olcne.sh \ --secret-manager-type vault \ --vault-token s.3QKNuRoTqLbjXaGBOmO6Psjh \ --vault-address https://192.0.2.20:8200 \ --force-download-certs \ --olcne-component api-server
Vaultで生成された証明書がダウンロードされます。デフォルトでは、証明書は
/etc/olcne/certificates/
ディレクトリに保存されます。また、証明書のパスを指定することもできます。その場合は、bootstrap-olcne.shコマンドに次のオプションを含めます。--olcne-ca-path /etc/olcne/configs/certificates/production/ca.cert \ --olcne-node-cert-path /etc/olcne/configs/certificates/production/node.cert \ --olcne-node-key-path /etc/olcne/configs/certificates/production/node.key \
Platform API Serverは、証明書を使用するように構成されてから起動されます。
各Kubernetesノードで、
/etc/olcne/bootstrap-olcne.sh
スクリプトを使用して、証明書を取得して使用するようにPlatform Agentを構成します。次に例を示します。$
sudo /etc/olcne/bootstrap-olcne.sh \ --secret-manager-type vault \ --vault-token s.3QKNuRoTqLbjXaGBOmO6Psjh \ --vault-address https://192.0.2.20:8200 \ --force-download-certs \ --olcne-component agent
Vaultで生成された証明書がダウンロードされます。
Platform Agentは、証明書を使用するように構成されてから起動されます。