如何在OpenShift / OKD 4.x群集上允许不安全的注册表


从下面的链接下载并以PDF格式支持本文。

theロード下载PDF指南

关门


为了在OpenShift / OKD Cluster 4.x上进行部署,容器映像源是成功的必要条件。借助OpenShift,您可以将私有注册表用作图像的源。与Docker Hub,Quay,gcr,e.t.c等公共注册表集成的OpenShift注册表将始终正常运行。但是,当您要使用没有有效SSL证书的私有注册表或使用HTTP时,就会出现问题。

通过OpenShift / OKD群集使用不安全的私有注册表有两种方法。

  1. 如果使用自签名SSL证书–导入证书OpenShift CA信任。
  2. 将注册表添加到不安全的注册表列表中-Machine Config Operator(MCO)将更新推送到群集中的所有节点,然后重新启动它们。

OpenShift / Kubernetes私有映像注册表:

使用Helm图表在Kubernetes / OpenShift上安装Harbor Image Registry

在CentOS / Debian / Ubuntu上安装Harbor Container Image Registry

使用运算符在OpenShift上安装Project Quay注册表

如何在CentOS / RHEL / Ubuntu上设置Red Hat Quay注册表

添加用于图像注册表访问的信任库

注册表URL是 ocr.example.com, 它位于默认的HTTPS端口(443)上,证书文件为 ocr.example.com.crt

这是配置配置过程中需要信任的映像导入,pod映像提取和其他CA的方法。认证机构 PEM编码 格式。

--- syntax ---
$ oc create configmap registry-config 
  --from-file==ca.crt 
  -n openshift-config

--- Example ---
$ oc create configmap registry-config 
  --from-file=ocr.example.com=ocr.example.com.crt 
  -n openshift-config

接下来,编辑映像注册表群集配置并指定AdditionalTrustedCA。

$ oc edit image.config.openshift.io cluster
spec:
  additionalTrustedCA:
    name: registry-config

将不安全的图像注册表列入白名单

您还可以编辑image.config.openshift.io/cluster自定义资源(CR)以添加不安全的注册表。这对于仅支持HTTP连接或具有无效证书的注册表很常见。

编辑image.config.openshift.io/cluster自定义资源。

$ oc edit image.config.openshift.io/cluster

指定注册表以允许下面的图像拉入和推入操作 允许的注册表 部分。

....
spec:
  additionalTrustedCA:
    name: registry-config
  registrySources:
    insecureRegistries:
    - ocr.example.com

如果您有多个,则可以向不安全的注册表中添加更多行。要阻止注册表,请添加:

....
spec:
  additionalTrustedCA:
    name: registry-config
  registrySources:
    insecureRegistries:
    - ocr.example.com
    blockedRegistries:
    - untrusted.com

机器配置操作员(MCO) 监视image.config.openshift.io/cluster对注册表的更改,并在检测到更改时重新启动节点。

写入新的注册表设置 /etc/containers/registries.conf 每个节点的文件。

其他指南:

如何在OpenShift和Kubernetes上检查Pod /容器指标

使用Rancher RKE安装生产Kubernetes集群

使用KVM在CentOS 8 / CentOS 7上安装Minikube Kubernetes

如何创建管理员用户以访问Kubernetes仪表板


从下面的链接下载并以PDF格式支持本文。

theロード下载PDF指南

关门


Sidebar