5.2. Exposer manuellement un registre sécurisé
Au lieu de se connecter au registre d'OpenShift Container Platform depuis l'intérieur du cluster, vous pouvez obtenir un accès externe à celui-ci en l'exposant avec une route. Cela vous permet de vous connecter au registre depuis l'extérieur du cluster en utilisant l'adresse de la route, et d'étiqueter et de pousser des images vers un projet existant en utilisant l'hôte de la route.
Prérequis :
Les conditions préalables suivantes sont automatiquement remplies :
- Déployer l'opérateur de registre.
- Déployer l'opérateur d'entrée.
-
Vous avez accès au cluster en tant qu'utilisateur ayant le rôle
cluster-admin
.
Procédure
Vous pouvez exposer l'itinéraire en utilisant le paramètre DefaultRoute
dans la ressource configs.imageregistry.operator.openshift.io
ou en utilisant des itinéraires personnalisés.
Pour exposer le registre à l'aide de DefaultRoute
:
Définir
DefaultRoute
àTrue
:$ oc patch configs.imageregistry.operator.openshift.io/cluster --patch '{"spec":{"defaultRoute":true}}' --type=merge
Connectez-vous avec
podman
:$ HOST=$(oc get route default-route -n openshift-image-registry --template='{{ .spec.host }}')
$ podman login -u kubeadmin -p $(oc whoami -t) --tls-verify=false $HOST 1
- 1
--tls-verify=false
est nécessaire si le certificat par défaut du cluster pour les itinéraires n'est pas fiable. Vous pouvez définir un certificat de confiance personnalisé comme certificat par défaut avec l'opérateur d'entrée.
Pour exposer le registre à l'aide de routes personnalisées :
Créez un secret avec les clés TLS de votre itinéraire :
$ oc create secret tls public-route-tls \ -n openshift-image-registry \ --cert=</path/to/tls.crt> \ --key=</path/to/tls.key>
Cette étape est facultative. Si vous ne créez pas de secret, l'itinéraire utilise la configuration TLS par défaut de l'opérateur d'entrée.
Sur l'opérateur de registre :
spec: routes: - name: public-routes hostname: myregistry.mycorp.organization secretName: public-route-tls ...
NoteNe définissez
secretName
que si vous fournissez une configuration TLS personnalisée pour la route du registre.