IBM Cloud Kubernetes ServiceとIBM Cloud Certificate Managerの統合

記事をシェアする:

この投稿は、2020年10月1日に、米国 IBM Cloud Blog に掲載されたブログ(英語)の抄訳です。

IBM Cloud Certificate Manager は、IBM Cloud Kubernetes ServiceとRed Hat OpenShift on IBM Cloud のデフォルトサブドメイン用に作成されたすべての証明書を追跡・管理するようになりました。

IBM Cloud Kubernetes Service クラスターを作成すると、デフォルトの Ingress アプリケーション・ロードバランサー (ALB) がクラスターの各ゾーンに配置されます。ALBに紐づくパブリックIPアドレスは、クラスターに固有のDNSサブドメインに登録されます。サブドメインに対応するLet’s Encryptの証明書が自動的に作成され、クラスターにKubernetes Secretとして追加され、ALBがTLSの終端処理をできるようになります。

新たに IBM Certificate Manager と統合されたことにより、この証明書はクラスター用に作成されたデフォルトの Certificate Manager インスタンスにアップロードされるようになりました。Certificate Manager インスタンスを使用して証明書の有効期限を監視し、IBM Cloud Kubernetes Service CLI プラグインの新しい `ibmcloud ks ingress secret` コマンドを使用して、インスタンスからクラスターに証明書を簡単にインポートすることができます。

サービス統合の仕組み

IBM Cloud Kubernetes Service は、クラスターごとに IBM Cloud Certificate Manager インスタンスを作成します。インスタンスが自動的に作成されるようにするには、クラスターが作成されるリージョンおよびリソース・グループの API キーが正しい権限を持っている必要があります。インスタンスが正常に作成されると、IBM Cloud Kubernetes Service は、IBM Cloud Kubernetes Service に証明書のライフサイクル通知を送信する通知チャネルを作成し、関連するsecretの自動更新を可能にします。

証明書の確認

1. IBM Cloud コンソールで、リソース・リストに移動します。
   
2. 名前で、クラスターIDを検索します。
   
3. クラスターIDのCertificate Managerインスタンスを選択します。
   
4. Certificate Manager の概要ページでは、証明書を選択すると詳細を確認することができます。
   

IBM Cloud Certificate Manager の使用に関する詳細なドキュメントは、こちらを参照してください。

Secretの管理

IBM Cloud Kubernetes Service CLI プラグインを使用すると、IBM Cloud Certificate Manager インスタンスから証明書を Kubernetes Secretとしてクラスターにインポートすることができます。このインポートされたシークレットには、”ingress.cloud.ibm.com/cert-source” : “ibm” と “service.kubernetes.io/ibm-cert-crn” という 2 つのアノテーションが付与されており、Certificate Manager の証明書からインポートされたシークレットと、その証明書の CRN を示しています。

このSecretの管理機能を使用するには、ibmcloud plugin update kubernetes-service を実行して、IBM Cloud Kubernetes Service プラグインを最新バージョンにアップデートする必要があります。

Secretの確認

• あるクラスタに対して作成されたすべてのSecretを一覧表示するには以下のコマンドを実行してください。
  ibmcloud ks ingress secret ls -c <cluster_name_or_id>
• 特定のSecretの詳細を表示するには以下のコマンドを実行します
  ibmcloud ks ingress secret get -c <cluster_name_or_id> --name <name_of_secret> --namespace <namespace_of_secret>

Secretの作成

• IBM Cloud Certificate Manager インスタンスから証明書のシークレットを作成するには以下のコマンドを実行します。
  ibmcloud ks ingress secret create -c <cluster_name_or_id> --name <name_of_secret> --namespace <kubernetes_namespace_for_secret> --cert-crn <certificate_crn>注意: namespaceを指定しない場合は、クラスタ内の ibm-cert-storeのnamespaceにSecretが作成されます。

Secretの更新

• 既存のSecretを新しい証明書の値で更新するには以下のコマンドを実行してください。
  ibmcloud ks ingress secret update -c <cluster_name_or_id> --name <name_of_secret> --namespace <kubernetes_namespace_for_secret>Secreとnamespaceを同じにして別の CRN で証明書をインポートするには、update コマンドの –cert-crn フラグで新しい CRN を指定します。

証明書のライフサイクルの自動管理

クラスターに対して Certificate Managerインスタンスが作成されると、インスタンスの通知チャネルも作成され、処理のためにIBM Cloud Kubernetes Serviceに証明書のライフサイクル通知を転送します。現在、証明書の更新通知がサポートされています。証明書の更新通知が IBM Cloud Kubernetes Service に送信されると、クラスター内のその証明書に関連付けられたすべてのSecretが新しい証明書の値で自動的に更新されます。証明書ライフサイクル通知の詳細については、こちらをご覧ください。

ご質問がありますか？

詳細な情報については、ドキュメントをご覧ください。

ご質問がある場合は、こちらからIBM Cloud Kubernetes Service のSlackワークスペースに登録し、#general チャンネルでディスカッションに参加してください。

翻訳：IBM Cloud Blog Japan 編集部