この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

リクエストトレーシングサイドカーインジェクション用の証明書

エージェントをインストールする際に使用する`--set httpHeaderInjectorWebhook.enabled=true`を使用すると有効になるサイドカーインジェクションメカニズムは、自己署名証明書を生成し、Kubernetesクラスター内の`Secret`および`MutatingWebhookConfiguration`オブジェクトへの書き込みアクセスを付与する`ClusterRole`を使用します。

セキュリティ上の理由から、クラスター全体に書き込み権限を付与する`ClusterRoles`を作成することが望ましくない場合、または証明書を提供する代替手段がある場合:

  1. 自己署名証明書をローカルで生成します。

  2. クラスターに既に存在する場合は、k8sのhttps://cert-manager.io/[cert-manager]を、に`ClusterIssuer`として使用してください。

ローカルで証明書を生成します。

ローカルで証明書を生成するには、以下の手順を実行します:

  1. 証明書生成スクリプトをダウンロードし、実行して正しい証明書を持つhelm values(tls_values.yaml)ファイルを生成します:

    wget https://raw.githubusercontent.com/StackVista/http-header-injector/main/scripts/generate_ca_cert.sh
chmod +x generate_ca_cert.sh
./generate_ca_cert.sh <helm-agent-release-name> <helm-agent-namespace>

    helmコマンドで使用されるリリース名とネームスペースを必ず使用してください。そうしないと、証明書は無効になります。

  2. エージェントをインストールする際に、helm呼び出しコマンドに`--set httpHeaderInjectorWebhook.enabled=true -f tls_values.yaml`を追加して追加の設定を行います。

cert-managerを使用して証明書を生成します。

クラスターにhttps://cert-manager.io/[cert-manager]がインストールされており、ClusterIssuer`が構成されている場合、サイドカーインジェクター用のエージェントで`ClusterIssuer`によって発行された証明書を使用することが可能です。これを行うには、エージェントをインストールするために次のコマンドライン引数を追加します:--set httpHeaderInjectorWebhook.enabled=true --set-string httpHeaderInjectorWebhook.webhook.tls.mode="cert-manager" --set-string httpHeaderInjectorWebhook.webhook.tls.certManager.issuer="<my-cluster-issuer>"`。my-cluster-issuerをクラスター内の発行者の名前に置き換えることを忘れないでください。