Chapitre 10. Configuration d’image pour ROSA avec HCP
La procédure suivante permet de configurer les enregistrements d’images.
10.1. Contrôleur d’image paramètres de configuration pour ROSA avec HCP Copier lienLien copié sur presse-papiers!
La ressource image.config.openshift.io/cluster contient des informations à l’échelle du cluster sur la façon de gérer les images. La ressource existe, mais elle est seulement lue et ne peut être modifiée que par des outils pris en charge comme ROSA CLI (rosa). Le nom canonique et seulement valide est cluster. Il peut être configuré dans Red Hat OpenShift Service sur les plans de contrôle hébergés par AWS via les commandes ROSA CLI (rosa).
Les paramètres tels que DisableScheduledImport, MaxImagesBulkImportedPerRepository, MaxScheduledImportsPerMinute, ScheduledImageImportMinimumIntervalSeconds, InternalRegistryHostname ne sont pas configurables.
Les paramètres pour ROSA CLI | Description |
---|---|
| Enregistrements pour lesquels des actions de traction et de poussée d’image sont autorisées. Afin de spécifier tous les sous-domaines, ajoutez le caractère générique astérisque (*) comme préfixe au nom de domaine. *.example.com, par exemple. Il est possible de spécifier un référentiel individuel au sein d’un registre. A titre d’exemple, reg1.io/myrepo/myapp:lastest. Les autres registres sont bloqués. Le format devrait être une liste séparée par les virgules des registres autorisés. A titre d’exemple, allow.io, allow.io2. |
| Les registres qui n’ont pas de certificat TLS valide ou ne prennent en charge que les connexions HTTP. Afin de spécifier tous les sous-domaines, ajoutez le caractère générique astérisque (*) comme préfixe au nom de domaine. *.example.com, par exemple. Il est possible de spécifier un référentiel individuel au sein d’un registre. A titre d’exemple, reg1.io/myrepo/myapp:lastest. Le format devrait être une liste séparée par les virgules des registres non sécurisés. A titre d’exemple, insecure.io, insecure.io2. |
| Enregistrements pour lesquels les actions de traction et de poussée d’image sont refusées. Afin de spécifier tous les sous-domaines, ajoutez le caractère générique astérisque (*) comme préfixe au nom de domaine. *.example.com, par exemple. Il est possible de spécifier un référentiel individuel au sein d’un registre. A titre d’exemple, reg1.io/myrepo/myapp:lastest. Les autres registres sont autorisés. Le format devrait être une liste séparée par les virgules des registres bloqués. A titre d’exemple, Block.io, Block.io2. |
| Contient une configuration qui détermine comment le temps d’exécution du conteneur devrait traiter les registres individuels lors de l’accès aux images pour les builds et les pods. C’est le cas, par exemple, d’autoriser ou non l’accès non sécurisé. Il ne contient pas de configuration pour le registre interne des clusters. Limite les enregistrements d’images de conteneur à partir desquels les utilisateurs normaux peuvent importer des images. Le format doit être une liste séparée par virgule de domainName:insecure. Domainname spécifie un nom de domaine pour le registre. l’insécurité indique si le registre est sécurisé ou non sécurisé. |
| Fichier JSON contenant le nom d’hôte du registre comme clé, et le certificat encodé PEM comme valeur, pour chaque CA de registre supplémentaire à faire confiance. |
Lorsque le paramètre d’enregistrement autorisé est défini, tous les registres sont bloqués à moins d’être explicitement listés. Afin d’éviter la défaillance de la pod, une liste d’enregistrements Red Hat est automatiquement classée sur la liste blanche, car elles sont requises par les images de charge utile dans votre environnement. La liste actuelle se compose de image-registry.openshift-image-registry.svc:5000,quay.io,registry.redhat.io et elle est également visible lors de l’exécution de la commande de cluster rosa.