Accueiil
Products
OpenShift Container Platform
4.12
Configuration post-installation
12.5. Configuration du cluster pour le registre miroir

12.5. Configuration du cluster pour le registre miroir

Après avoir créé et mis en miroir les images dans le registre miroir, vous devez modifier votre cluster pour que les pods puissent extraire des images du registre miroir.

Vous devez :

Ajoutez les informations d'identification du registre du miroir au secret d'extraction global.
Ajoutez le certificat du serveur de registre miroir au cluster.

Créer une ressource personnalisée ImageContentSourcePolicy (ICSP), qui associe le registre miroir au registre source.

Ajouter l'identifiant du registre des miroirs au secret d'extraction global du cluster :

oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=<pull_secret_location>

oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=<pull_secret_location>

Copy to Clipboard

Toggle word wrap

1: Indiquez le chemin d'accès au nouveau fichier de secret d'extraction.

Par exemple :

oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=.mirrorsecretconfigjson

$ oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=.mirrorsecretconfigjson

Copy to Clipboard

Toggle word wrap

Ajoutez le certificat du serveur de registre miroir signé par l'autorité de certification aux nœuds du cluster :

Créer une carte de configuration qui inclut le certificat du serveur pour le registre miroir

oc create configmap <config_map_name> --from-file=<mirror_address_host>..<port>=$path/ca.crt -n openshift-config

$ oc create configmap <config_map_name> --from-file=<mirror_address_host>..<port>=$path/ca.crt -n openshift-config

Copy to Clipboard

Toggle word wrap

Par exemple :

S oc create configmap registry-config --from-file=mirror.registry.com..443=/root/certs/ca-chain.cert.pem -n openshift-config

S oc create configmap registry-config --from-file=mirror.registry.com..443=/root/certs/ca-chain.cert.pem -n openshift-config

Copy to Clipboard

Toggle word wrap

Utilisez la carte de configuration pour mettre à jour la ressource personnalisée (CR) image.config.openshift.io/cluster. OpenShift Container Platform applique les modifications de cette CR à tous les nœuds du cluster :

oc patch image.config.openshift.io/cluster --patch '{"spec":{"additionalTrustedCA":{"name":"<config_map_name>"}}}' --type=merge

$ oc patch image.config.openshift.io/cluster --patch '{"spec":{"additionalTrustedCA":{"name":"<config_map_name>"}}}' --type=merge

Copy to Clipboard

Toggle word wrap

Par exemple :

oc patch image.config.openshift.io/cluster --patch '{"spec":{"additionalTrustedCA":{"name":"registry-config"}}}' --type=merge

$ oc patch image.config.openshift.io/cluster --patch '{"spec":{"additionalTrustedCA":{"name":"registry-config"}}}' --type=merge

Copy to Clipboard

Toggle word wrap

Créer un ICSP pour rediriger les demandes de retrait de conteneurs des registres en ligne vers le registre miroir :

Créer la ressource personnalisée ImageContentSourcePolicy:

apiVersion: operator.openshift.io/v1alpha1
kind: ImageContentSourcePolicy
metadata:
  name: mirror-ocp
spec:
  repositoryDigestMirrors:
  - mirrors:
    - mirror.registry.com:443/ocp/release 
    source: quay.io/openshift-release-dev/ocp-release 
  - mirrors:
    - mirror.registry.com:443/ocp/release
    source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

apiVersion: operator.openshift.io/v1alpha1
kind: ImageContentSourcePolicy
metadata:
  name: mirror-ocp
spec:
  repositoryDigestMirrors:
  - mirrors:
    - mirror.registry.com:443/ocp/release


    source: quay.io/openshift-release-dev/ocp-release


  - mirrors:
    - mirror.registry.com:443/ocp/release
    source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

Copy to Clipboard

Toggle word wrap

1: Spécifie le nom du registre et du référentiel de l'image miroir.
2: Spécifie le registre en ligne et le référentiel contenant le contenu qui est mis en miroir.

Créer l'objet ICSP :
```
oc create -f registryrepomirror.yaml
```
```
$ oc create -f registryrepomirror.yaml
```
Copy to Clipboard Toggle word wrap
Exemple de sortie
```
imagecontentsourcepolicy.operator.openshift.io/mirror-ocp created
```
```
imagecontentsourcepolicy.operator.openshift.io/mirror-ocp created
```
Copy to Clipboard Toggle word wrap
OpenShift Container Platform applique les modifications de ce CR à tous les nœuds du cluster.

Vérifiez que les informations d'identification, l'autorité de certification et l'ICSP pour le registre miroir ont été ajoutés :

Se connecter à un nœud :
```
oc debug node/<node_name>
```
```
oc debug node/<node_name>
```
Copy to Clipboard Toggle word wrap
Définir /host comme répertoire racine dans l'interpréteur de commandes de débogage :
```
chroot /host
```
```
sh-4.4# chroot /host
```
Copy to Clipboard Toggle word wrap

Vérifiez les informations d'identification dans le fichier config.json:

cat /var/lib/kubelet/config.json

sh-4.4# cat /var/lib/kubelet/config.json

Copy to Clipboard

Toggle word wrap

Exemple de sortie

{"auths":{"brew.registry.redhat.io":{"xx=="},"brewregistry.stage.redhat.io":{"auth":"xxx=="},"mirror.registry.com:443":{"auth":"xx="}}}

{"auths":{"brew.registry.redhat.io":{"xx=="},"brewregistry.stage.redhat.io":{"auth":"xxx=="},"mirror.registry.com:443":{"auth":"xx="}}}

Copy to Clipboard

Toggle word wrap

1: Assurez-vous que le registre du miroir et les informations d'identification sont présents.

Se rendre dans le répertoire certs.d
```
cd /etc/docker/certs.d/
```
```
sh-4.4# cd /etc/docker/certs.d/
```
Copy to Clipboard Toggle word wrap

Liste des certificats dans le répertoire certs.d:

ls

sh-4.4# ls

Copy to Clipboard

Toggle word wrap

Exemple de sortie

image-registry.openshift-image-registry.svc.cluster.local:5000
image-registry.openshift-image-registry.svc:5000
mirror.registry.com:443

image-registry.openshift-image-registry.svc.cluster.local:5000
image-registry.openshift-image-registry.svc:5000
mirror.registry.com:443

Copy to Clipboard

Toggle word wrap

1: Assurez-vous que le registre miroir figure dans la liste.

Vérifiez que l'ICSP a ajouté le registre miroir au fichier registries.conf:

cat /etc/containers/registries.conf

sh-4.4# cat /etc/containers/registries.conf

Copy to Clipboard

Toggle word wrap

Exemple de sortie

unqualified-search-registries = ["registry.access.redhat.com", "docker.io"]

[[registry]]
  prefix = ""
  location = "quay.io/openshift-release-dev/ocp-release"
  mirror-by-digest-only = true

  [[registry.mirror]]
    location = "mirror.registry.com:443/ocp/release"

[[registry]]
  prefix = ""
  location = "quay.io/openshift-release-dev/ocp-v4.0-art-dev"
  mirror-by-digest-only = true

  [[registry.mirror]]
    location = "mirror.registry.com:443/ocp/release"

unqualified-search-registries = ["registry.access.redhat.com", "docker.io"]

[[registry]]
  prefix = ""
  location = "quay.io/openshift-release-dev/ocp-release"
  mirror-by-digest-only = true

  [[registry.mirror]]
    location = "mirror.registry.com:443/ocp/release"

[[registry]]
  prefix = ""
  location = "quay.io/openshift-release-dev/ocp-v4.0-art-dev"
  mirror-by-digest-only = true

  [[registry.mirror]]
    location = "mirror.registry.com:443/ocp/release"

Copy to Clipboard

Toggle word wrap

Les paramètres registry.mirror indiquent que le registre miroir est recherché avant le registre original.

Quitter le nœud.
```
exit
```
```
sh-4.4# exit
```
Copy to Clipboard Toggle word wrap

Retour au début

12.5. Configuration du cluster pour le registre miroir

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Rendre l’open source plus inclusif

À propos de Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links