- Если используется самоподписанный сертификат SSL – импортировать сертификат OpenShift CA.
- Добавить реджестри в список небезопасных реестров – Оператор конфигурации компьютера (MCO) отправит обновления на все узлы в кластере и перезагрузит их.
Добавить дополнительные доверенные хранилища для доступа к реджестри образов
Предположим, ваш URL-адрес реджестри – ocr.example.com, порт HTTPS по умолчанию (443), а файл сертификата – ocr.example.com.crt.
Таким образом вы настраиваете дополнительные центры сертификации, которым следует доверять во время импорта образов, извлечения образа пода и сборки.
Обратите внимание, что CA должны быть в формате PEM.
--- синтаксис ---
$ oc create configmap registry-config \
--from-file=<external_registry_address>=ca.crt \
-n openshift-config
--- Пример ---
$ oc create configmap registry-config \
--from-file=ocr.example.com=ocr.example.com.crt \
-n openshift-config
$ oc edit image.config.openshift.io cluster
spec:
additionalTrustedCA:
name: registry-config
Добавление небезопасных реджестри образов в белый список
Вы также можете добавить небезопасный реджестри, отредактировав пользовательский ресурс image.config.openshift.io/cluster (CR).
Это характерно для реестров, которые поддерживают только HTTP-соединения или имеют недействительные сертификаты.
Отредактируйте пользовательский ресурс image.config.openshift.io/cluster:
$ oc edit image.config.openshift.io/cluster
Укажите реджестри, которые должны быть разрешены для действий по извлечению и отправке образов в разделе allowedRegistries
....
spec:
additionalTrustedCA:
name: registry-config
registrySources:
insecureRegistries:
- ocr.example.com
Вы можете добавить больше строк для незащищенных реестров, если у вас их несколько.
Чтобы заблокировать реджестри:
....
spec:
additionalTrustedCA:
name: registry-config
registrySources:
insecureRegistries:
- ocr.example.com
blockedRegistries:
- untrusted.com
Machine Config Operator (MCO) леживает image.config.openshift.io/cluster на предмет любых изменений и перезагружает хосты при обнаружении изменений.
Новые конфигурации реестра записываются в файл /etc/containers/registries.conf на каждом хосте!