☸️ Как разрешить незащищенные реджестри в кластере OpenShift / OKD 4.x |
Главная » Мануал

☸️ Как разрешить незащищенные реджестри в кластере OpenShift / OKD 4.x

Мануал
На чтение 2 мин Опубликовано
Для любого развертывания в кластере 4.x OpenShift / OKD источник образов контейнера является обязательным условием успешной работы.
OpenShift позволяет вам использовать ваши частные реджестри в качестве источника образов.
Публичные реджестри, такие как Docker Hub, Quay, gcr, и так далее интегрированный реджестри OpenShift, всегда хорошо работают.
Но иногда возникают трудности, если вы хотите использовать частные реджестри без подлинного сертификата SSL или с использованием HTTP.
Существует два способа использования частных незащищенных реджестри в кластере OpenShift / OKD.
  • Если используется самоподписанный сертификат SSL – импортировать сертификат OpenShift CA.
  • Добавить реджестри в список небезопасных реестров – Оператор конфигурации компьютера (MCO) отправит обновления на все узлы в кластере и перезагрузит их.

Добавить дополнительные доверенные хранилища для доступа к реджестри образов

Предположим, ваш URL-адрес реджестри – ocr.example.com, порт HTTPS по умолчанию (443), а файл сертификата – ocr.example.com.crt.

Таким образом вы настраиваете дополнительные центры сертификации, которым следует доверять во время импорта образов, извлечения образа пода и сборки.

Обратите внимание, что CA должны быть в формате PEM.

--- синтаксис ---
$ oc create configmap registry-config \
  --from-file=<external_registry_address>=ca.crt \
  -n openshift-config

--- Пример ---
$ oc create configmap registry-config \
  --from-file=ocr.example.com=ocr.example.com.crt \
  -n openshift-config
Затем отредактируйте конфигурацию кластера реджестри образов и укажите AdditionalTrustedCA.
$ oc edit image.config.openshift.io cluster
spec:
  additionalTrustedCA:
    name: registry-config

Добавление небезопасных реджестри образов в белый список

Вы также можете добавить небезопасный реджестри, отредактировав пользовательский ресурс image.config.openshift.io/cluster (CR).

Это характерно для реестров, которые поддерживают только HTTP-соединения или имеют недействительные сертификаты.

Отредактируйте пользовательский ресурс image.config.openshift.io/cluster:

$ oc edit image.config.openshift.io/cluster

Укажите реджестри, которые должны быть разрешены для действий по извлечению и отправке образов в разделе allowedRegistries

....
spec:
  additionalTrustedCA:
    name: registry-config
  registrySources:
    insecureRegistries:
    - ocr.example.com

Вы можете добавить больше строк для незащищенных реестров, если у вас их несколько.

Чтобы заблокировать реджестри:

....
spec:
  additionalTrustedCA:
    name: registry-config
  registrySources:
    insecureRegistries:
    - ocr.example.com
    blockedRegistries:
    - untrusted.com

Machine Config Operator (MCO) леживает image.config.openshift.io/cluster на предмет любых изменений  и перезагружает хосты при обнаружении изменений.

Новые конфигурации реестра записываются в файл /etc/containers/registries.conf на каждом хосте!

 

 

devops Kubernetes linux OKD OpenShift SSL
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий