12.3. Préparation de la grappe pour la mise en miroir
Avant de déconnecter votre cluster, vous devez mettre en miroir, ou copier, les images sur un registre miroir accessible à chaque nœud de votre cluster déconnecté. Pour mettre en miroir les images, vous devez préparer votre grappe en procédant comme suit :
- Ajout des certificats du registre des miroirs à la liste des autorités de certification de confiance de votre hôte.
-
Création d'un fichier
.dockerconfigjson
contenant le secret d'extraction de l'image, qui provient du jetoncloud.openshift.com
.
Procédure
Configuration des informations d'identification permettant la mise en miroir des images :
Ajoutez le certificat de l'autorité de certification du registre miroir, au format simple PEM ou DER, à la liste des autorités de certification approuvées. Par exemple, le certificat de l'autorité de certification du registre miroir est ajouté à la liste des autorités de certification de confiance :
$ cp </path/to/cert.crt> /usr/share/pki/ca-trust-source/anchors/
- où,
</path/to/cert.crt>
- Indique le chemin d'accès au certificat sur votre système de fichiers local.
- où,
Mettre à jour la confiance de l'autorité de certification. Par exemple, sous Linux :
$ update-ca-trust
Extraire le fichier
.dockerconfigjson
du secret d'extraction global :$ oc extract secret/pull-secret -n openshift-config --confirm --to=.
Exemple de sortie
.dockerconfigjson
Modifiez le fichier
.dockerconfigjson
pour ajouter le registre du miroir et les informations d'authentification, puis enregistrez-le dans un nouveau fichier :{\i1}"auths":{\i1}"<local_registry>" : {\i1}"auth" : \N- "<credentials>\N",\N "email\N" : "you@example.com"}}},"<registry>:<port>/<namespace>/":{"auth":"<token>"}}}
où :
<local_registry>
- Spécifie le nom de domaine du registre, et éventuellement le port, que votre registre miroir utilise pour servir le contenu.
auth
- Spécifie le nom d'utilisateur et le mot de passe encodés en base64 pour votre registre miroir.
<registry>:<port>/<namespace>
- Spécifie les détails du registre du miroir.
<token>
Spécifie l'adresse
username:password
encodée en base64 pour votre registre miroir.Par exemple :
$ {"auths":{"cloud.openshift.com":{"auth":"b3BlbnNoaWZ0Y3UjhGOVZPT0lOMEFaUjdPUzRGTA==","email":"user@example.com"}, "quay.io":{"auth":"b3BlbnNoaWZ0LXJlbGVhc2UtZGOVZPT0lOMEFaUGSTd4VGVGVUjdPUzRGTA==","email":"user@example.com"}, "registry.connect.redhat.com"{"auth":"NTE3MTMwNDB8dWhjLTFEZlN3VHkxOSTd4VGVGVU1MdTpleUpoYkdjaUailA==","email":"user@example.com"}, "registry.redhat.io":{"auth":"NTE3MTMwNDB8dWhjLTFEZlN3VH3BGSTd4VGVGVU1MdTpleUpoYkdjaU9fZw==","email":"user@example.com"}, "registry.svc.ci.openshift.org":{"auth":"dXNlcjpyWjAwWVFjSEJiT2RKVW1pSmg4dW92dGp1SXRxQ3RGN1pwajJhN1ZXeTRV"},"my-registry:5000/my-namespace/":{"auth":"dXNlcm5hbWU6cGFzc3dvcmQ="}}}