TimesTenメトリックのトランスポート・レイヤー・セキュリティ(相互TLS)証明書について
httpsを使用すると、TimesTenオペレータは自己署名証明書を自動的に作成します。TimesTenオペレータは、これらの証明書を保持するために2つのKubernetes Secretも作成します。
たとえば、
sample
というTimesTenオブジェクトの場合、次のシークレットが自動的に作成されます。
-
sample-metrics
: このシークレットは、TimesTenポッドのTimesTenエクスポータ・コンテナに自動的にマウントされます。これにはOracle Walletが含まれており、このウォレットには、httpsのTimesTenエクスポータが必要とするすべての証明書が含まれます。 -
sample-metrics-client
: このシークレットには、Prometheusサーバー(または他のスクレーパ)がTimesTenメトリックをスクレイプするために必要なファイルが含まれます。このシークレットには、次の3つのファイルが含まれます。-
ca.crt
: TimesTenエクスポータによって使用される自己署名証明書を認証するためにクライアントが必要とする認証局証明書。 -
client.crt
: メトリックをスクレイプしようとするクライアントを認証するためにTimesTenエクスポータが使用するクライアント証明書。 -
client.key
:client.crt
クライアント証明書に関連付けられた秘密キー。
-
両方のシークレットが、適切なKubernetes所有者参照を使用して作成されます。関連付けられたTimesTenClassicまたはTimesTenScaleoutオブジェクトを削除すると、これらのシークレットは自動的に削除されます。
お薦めしませんが、httpsを使用してTimesTenメトリックを処理する独自の証明書を作成するオプションがあります。「TimesTenメトリックを公開するための独自のOracle Wallet、証明書およびシークレットの作成」を参照してください。
ノート:
TimesTenメトリックは、ユーザーが独自に自己署名証明書を作成するときのhttpまたはhttpsによって処理される場合、TimesTenオペレータは、証明書、OracleウォレットまたはKubernetes Secretを自動的に作成しません。