WebLogicドメインの資格証明は、WebLogic DomainリソースのwebLogicCredentialsSecretを使用してシークレットの名前が指定されているKubernetes Secretに保持されます。 また、Domainを実行するネームスペースにドメイン資格証明シークレットを作成する必要があります。
webLogicCredentialsSecretを使用したWebLogicドメインYAMLファイルの例は、「コンテナ・イメージ保護」を参照してください。
オペレータに付属しているサンプルでは、<domainUID>-weblogic-credentialsというパターンに従ったネーミング規則を使用しています。<domainUID>は、domain1-weblogic-credentialsなどのドメインの一意の識別子です。
WebLogicドメインがdomain1-nsで起動され、<domainUID>がdomain1の場合、Kubernetes generic secretの作成例は次のようになります:
$ kubectl -n domain1-ns create secret generic domain1-weblogic-credentials \
--from-file=username --from-file=password
$ kubectl -n domain1-ns label secret domain1-weblogic-credentials \
weblogic.domainUID=domain1 weblogic.domainName=domain1
Oracleは、暗号化されていないパスワードをコマンドラインに含めないことをお薦めします。 パスワードおよびその他の機密データは、シェル・スクリプトまたはツールによって表示または閲覧できます。 Kubernetesのシークレットの作成の詳細は、Kubernetes 「シークレット」のドキュメントを参照してください。
オペレータのイントロスペクタ・ジョブでは、秘密キー名は次のようになります:
usernamepasswordたとえば、Kubernetes Secretを記述すると、次のような結果になります:
$ kubectl -n domain1-ns describe secret domain1-weblogic-credentials
Name: domain1-weblogic-credentials
Namespace: domain1-ns
Labels: weblogic.domainName=domain1
weblogic.domainUID=domain1
Annotations: <none>
Type: Opaque
Data
====
password: 8 bytes
username: 8 bytes
オペレータが管理するWebLogicドメインには、レジストリで保護されているイメージを含めることができます。 DomainのimagePullSecrets設定を使用して、レジストリ資格証明を保持するKubernetes Secretを指定できます。
詳細は、「コンテナ・イメージ保護」を参照してください。
オペレータは、Kubernetesシークレットを参照する構成オーバーライド・テンプレートおよびModel in Imageモデル・ファイルへのマクロの埋込みをサポートします。 これらのKubernetesシークレットは、ドメインが実行されているネームスペース内の任意の名前で作成できます。 Kubernetesのシークレット名は、WebLogic Domainリソースのconfiguration.secretsを使用して指定します。
詳細は、「構成のオーバーライド」および「ランタイムの更新」を参照してください。
オペレータをインストールするためのHelmチャートには、プライベート・レジストリの使用時にオペレータのイメージに使用されるイメージ・プル・シークレットを指定するimagePullSecretsオプションがあります。かわりに、オペレータのサービス・アカウントにイメージ・プル・シークレットを指定できます。
詳細は、「オペレータ・イメージ名、プル・シークレットおよびプライベート・レジストリのカスタマイズ」を参照してください。
オペレータは、Kubernetesクラスタの外部からアクセスできる外部REST HTTPSインタフェースを公開できます。 Kubernetes tls secretは、証明書と秘密キーを保持するために使用されます。
詳細は、「RESTサービス」を参照してください。
オペレータは、自己署名証明書を使用して内部REST HTTPSインタフェースを公開します。 証明書は、キーinternalOperatorCertを使用してweblogic-operator-cmという名前でKubernetes ConfigMapに保持されます。 秘密キーは、internalOperatorKeyキーを使用してweblogic-operator-secretsという名前でKubernetes Secretに保持されます。 これらのKubernetesオブジェクトは、オペレータのHelmチャートによって管理され、オペレータがインストールされているネームスペースの一部です。
たとえば、Kubernetes Namespace weblogic-operator-nsにインストールされている場合にすべてのオペレータのConfigMapsおよびシークレットを表示するには、次を使用します:
$ kubectl -n weblogic-operator-ns get cm,secret