10.2. Configuration des paramètres de registre d’images pour ROSA avec HCP


Lors de la création de clusters, vous pouvez configurer les paramètres de registre d’images. Les nœuds du cluster utiliseront la configuration requise après la création.

Procédure

  • Créez ROSA avec des clusters HCP avec le registre d’images en exécutant la commande suivante:

    $ rosa create cluster —cluster-name=<cluster_name> --sts --mode=auto \
       --hosted-cp --operator-roles-prefix <operator_role_prefix> \
       --oidc-config-id <id_of_oidc_configuration> \
       --subnet-ids=<public_subnet_id>,<private_subnet_id> \
       --registry-config-insecure-registries <insecure_registries> \
       --registry-config-allowed-registries <allowed_registries> \
       --registry-config-allowed-registries-for-import <registry_name:insecure> \
       --registry-config-additional-trusted-ca <additional_trusted_ca_file>
    Copy to Clipboard Toggle word wrap
    Note

    Lorsque vous utilisez les Registres autorisés, les Registres bloqués ou le paramètre InsécuritéRegistries, vous pouvez spécifier un référentiel individuel au sein d’un registre. Exemple: reg1.io/myrepo/myapp:lastest.

    Évitez les registres externes non sécurisés pour réduire les risques de sécurité possibles. Les paramètres autorisésLes registres, les registres bloqués sont mutuellement exclusifs.

La vérification

  1. Exécutez la commande rosascript pour vérifier que votre registre d’images est activé en exécutant la commande suivante:

    $ rosa describe cluster --cluster=<cluster_name>
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    Name:                       rosa-hcp-test
    Domain Prefix:              rosa-hcp-test
    Display Name:               rosa-hcp-test
    ID:                         <cluster_hcp_id>
    External ID:                <cluster_hcp_id>
    Control Plane:              ROSA Service Hosted
    OpenShift Version:          4.Y.Z
    Channel Group:              stable
    DNS:                        <dns>
    AWS Account:                <aws_id>
    AWS Billing Account:        <aws_id>
    API URL:                    <ocm_api>
    Console URL:
    Region:                     us-east-1
    Availability:
     - Control Plane:           MultiAZ
     - Data Plane:              SingleAZ
    Nodes:
     - Compute (desired):       2
     - Compute (current):       2
    Network:
     - Type:                    OVNKubernetes
     - Service CIDR:            <service_cidr>
     - Machine CIDR:            <machine_cidr>
     - Pod CIDR:                <pod_cidr>
     - Host Prefix:             /23
     - Subnets:                 <subnet_ids>
    EC2 Metadata Http Tokens:   optional
    Role (STS) ARN:             arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Installer-Role
    Support Role ARN:           arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Support-Role
    Instance IAM Roles:
     - Worker:                  arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Worker-Role
    Operator IAM Roles:
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-capa-controller-manager
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-control-plane-operator
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-kms-provider
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-image-registry-installer-cloud-cred
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-ingress-operator-cloud-credentials
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credent
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cloud-network-config-controller-cloud
    Managed Policies:           Yes
    State:                      ready
    Private:                    No
    Delete Protection:          Disabled
    Created:                    Oct 01 2030 09:48:52 UTC
    User Workload Monitoring:   Enabled
    OIDC Endpoint URL:          https://<endpoint> (Managed)
    Audit Log Forwarding:       Disabled
    External Authentication:    Disabled
    Etcd Encryption:            Disabled
    Registry Configuration:
     - Allowed Registries: <allowed_registry> 
    1
     
    2
    
     - Insecure Registries: <insecure_registry> 
    3
    
     - Allowed Registries for Import: 
    4
    
        - Domain Name: <domain_name> 
    5
    
        - Insecure: true 
    6
    
     - Platform Allowlist: <platform_allowlist_id> 
    7
    
        - Registries:      <list_of_registries> 
    8
    
     - Additional Trusted CA: 
    9
    
        - <registry_name> : REDACTED
    Copy to Clipboard Toggle word wrap

    1
    Inscriptions autorisées: Une liste séparée par les virgules d’enregistrements pour lesquels des actions de traction et de poussée d’image sont autorisées.
    2
    Registres bloqués: Une liste séparée par les virgules d’enregistrements pour lesquels les actions de traction et de poussée d’image sont bloquées. Les paramètres autorisésLes registres, les registres bloqués sont mutuellement exclusifs.
    3
    Les registres non sécurisés : une liste séparée par des virgules d’enregistrements qui n’ont pas de certificat TLS valide ou ne prennent en charge que les connexions HTTP.
    4
    Enregistrement autorisé pour l’importation: limite les registres d’image du conteneur à partir desquels les utilisateurs normaux peuvent importer des images. Le format doit être une liste séparée par virgule de domainName:insecure.
    5
    Domainname: Spécifie un nom de domaine pour le registre.
    6
    insécurité : Indique si le registre est sécurisé ou non sécurisé.
    7
    Liste d’autorisation de plate-forme: Une référence à l’identifiant de la liste des registres qui doivent être inscrits sur la liste blanche pour que la plate-forme fonctionne.
    8
    Registres: La liste des registres qui doivent être inscrits sur la liste blanche pour que la plate-forme fonctionne.
    9
    CA fiduciaire supplémentaire: Un fichier JSON contenant le nom d’hôte du registre comme clé, et le certificat encodé PEM comme valeur, pour chaque CA de registre supplémentaire à faire confiance.
  2. Énumérez vos nœuds pour vérifier les modifications appliquées en exécutant la commande suivante:

    $ oc get nodes
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    NAME                                         STATUS                     ROLES                  AGE   VERSION
    ip-10-0-137-182.us-east-2.compute.internal   Ready,SchedulingDisabled   worker                 65m   v1.31.3
    ip-10-0-188-96.us-east-2.compute.internal    Ready                      worker                 65m   v1.31.3
    ip-10-0-200-59.us-east-2.compute.internal    Ready                      worker                 63m   v1.31.3
    Copy to Clipboard Toggle word wrap

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat