3.4. TLS およびルートの設定
OpenShift Container Platform のエッジターミネーションルートのサポートが新しいマネージドコンポーネント tls を介して追加されました。これにより、route コンポーネントが TLS から分離され、ユーザーは両方を個別に設定できるようになります。EXTERNAL_TLS_TERMINATION: true は事前に設定された設定です。マネージド tls は、デフォルトのクラスターワイルドカード証明書が使用されることを意味します。アンマネージド tls は、ユーザーが指定した証明書/キーのペアが Route に挿入されることを意味します。
ssl.cert および ssl.key は、個別の永続的なシークレットに移動しました。これにより、調整のたびに証明書とキーのペアが再生成されないようになります。これらは edge ルートとしてフォーマットされ、Quay コンテナーの同じディレクトリーにマウントされます。
TLS およびルートを設定する際には、複数の調整が可能ですが、以下のルールが適用されます。
-
TLS が
managedされている場合は、ルートもmanagedする必要があります。 -
TLS が
unmanagedの場合は、設定ツールを使用するか、または設定バンドルに直接証明書を指定する必要があります。
以下の表には、有効なオプションの概要をまとめています。
表3.3 TLS およびルートの有効な設定オプション
| オプション | ルート | TLS | 提供される証明書 | 結果 |
|---|---|---|---|---|
| 独自のロードバランサーが TLS を処理する | マネージド | マネージド | いいえ | デフォルトのワイルドカード証明書を使用したエッジルート |
| Red Hat Quay が TLS を処理する | マネージド | アンマネージド | はい | Pod 内にマウントされる証明書を含むパススルールート |
| Red Hat Quay が TLS を処理する | アンマネージド | アンマネージド | はい | 証明書は quay Pod 内に設定されますが、ルートは手動で作成する必要があります。 |
Red Hat Quay 3.6 は、TLS が Operator で管理される場合にビルダーをサポートしません。
3.4.1. TLS 証明書、キーペアを使用して設定バンドルシークレットを作成します。
独自の TLS 証明書およびキーを追加するには、以下のように設定バンドルシークレットに追加します。
$ oc create secret generic --from-file config.yaml=./config.yaml --from-file ssl.cert=./ssl.cert --from-file ssl.key=./ssl.key config-bundle-secret