Docs » Splunk Distribution of the OpenTelemetry Collector の利用開始 » はじめに:Collectorを理解して使用する » Common configuration options » Configure TLS

Configure TLS 🔗

Crypto TLSは、Collectorの個々のレシーバーまたはエクスポーター内で調整できるさまざまな設定を公開しています。

注釈

相互TLS(mTLS)もサポートされています。

Configure TLS / mTLS 🔗

デフォルトでは、TLSは有効になっています:

  1. See the required and optional settings available

  2. TLS/mTLSの設定を完了するには、Configure TLS clients または Configure TLS servers に進みます

Required settings 🔗

以下の設定が必要です:

  • insecure. false by default. Whether to enable client transport security for the exporter’s HTTPs or gRPC connection.

  • cert_file. Use only if insecure is set to false. Path to the TLS cert to use for TLS required connections.

  • cert_pemcert_file の代替です。証明書の内容をファイルパスの代わりに文字列で指定します。

  • key_file. Use only if insecure is set to false. Path to the TLS key to use for TLS required connections.

  • key_pem: key_file の代替です。キーの内容をファイルパスの代わりに文字列で指定します。

追加設定 🔗

Certificate authority 🔗

To define a certificate authority use:

  • ca_file. Use only if insecure is set to false. Path to the CA cert.

    • For a client this verifies the server certificate.

    • サーバーの場合、これはクライアント証明書を検証します。

    • 空の場合、システムルートCAを使用します。

  • ca_pemca_file の代替です。CA証明書の内容をファイルパスの代わりに文字列で指定します。

認証局の定義とシステム認証局の定義を組み合わせるには、次を使用します:

  • include_system_ca_certs_pool。デフォルトでは false です。認証局と一緒にシステム認証局プールをロードするかどうか。

さらに、TLSは有効にするが、サーバーの証明書チェーンの検証はスキップするように設定することもできます。insecure はTLSをまったく使用しないので、insecure と組み合わせることはできません。

  • insecure_skip_verify. false by default. Whether to skip verifying the certificate or not.

TLS version 🔗

注意

TLS 1.0および1.1の使用は避けてください。どちらも既知の脆弱性のため、非推奨となっています。

TLSバージョンの最小値と最大値を設定できます:

  • min_version。デフォルトでは「1.2」。TLSの最低許容バージョン。

    • オプション:」1.0」、」1.1」、」1.2」、」1.3」

  • max_version。デフォルトでは」」。最大許容TLSバージョン。

    • オプション:」1.0」、」1.1」、」1.2」、」1.3」

Cipher suites 🔗

cipher_suites を使って明示的に暗号スイートを設定することができます。

  • デフォルトでは [] です。空白のままだと、安全なデフォルトリストが使われます。

  • 対応する暗号スイートのリストは、Cipher suites source files を参照してください。

例:

cipher_suites:
  - TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  - TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  - TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Reload certificates 🔗

オプションとして、証明書を再読み込みする期間を指定する reload_interval を使用することができます。

  • 設定されていない場合、証明書はリロードされません。

  • Valid time units are 「ns」, 「us」 (or 「µs」), 「ms」, 「s」, 「m」, 「h」.

Configure TLS clients 🔗

エクスポーター でTLSクライアントを設定するには、前のセクションの設定を使用します。

Optionally, you can also configure server_name_override.

  • 空でない文字列に設定された場合、リクエスト中の権限のバーチャルホスト名をオーバーライドします。

  • これは通常、テストに使用されます。

例:

exporters:
  otlp:
    endpoint: myserver.local:55690
    tls:
      insecure: false
      ca_file: server.crt
      cert_file: client.crt
      key_file: client.key
      min_version: "1.1"
      max_version: "1.2"
  otlp/insecure:
    endpoint: myserver.local:55690
    tls:
      insecure: true
  otlp/secure_no_verify:
    endpoint: myserver.local:55690
    tls:
      insecure: false
      insecure_skip_verify: true

Configure TLS servers 🔗

コレクタレシーバー でTLSサーバーを設定するには、前のセクションの設定を使用します。

Optionally, you can also configure:

  • client_ca_file. Path to the TLS cert to use by the server to verify a client certificate. This sets the ClientCAs and ClientAuth to RequireAndVerifyClientCert in the TLS configuration. Refer to https://godoc.org/crypto/tls#Config for more information.

  • client_ca_file_reload。デフォルトでは false です。ClientCAsファイルが変更されたときに再読み込みします。

注釈

これらはmTLSに必要です。

例:

receivers:
  otlp:
    protocols:
      grpc:
        endpoint: mysite.local:55690
        tls:
          cert_file: server.crt
          key_file: server.key
  otlp/mtls:
    protocols:
      grpc:
        endpoint: mysite.local:55690
        tls:
          client_ca_file: client.pem
          cert_file: server.crt
          key_file: server.key
  otlp/notls:
    protocols:
      grpc:
        endpoint: mysite.local:55690

さらに詳しく 🔗

For more details on the available settings refer to TLS Configuration Settings in OTel’s GitHub repo.

このページは 2024年08月27日 に最終更新されました。