6.2. イメージ設定内容の設定

手順

1. image.config.openshift.io/cluster カスタムリソースを編集します。

   $ oc edit image.config.openshift.io/cluster

   Copy to Clipboard Toggle word wrap

   以下は、image.config.openshift.io/cluster リソースの例になります。

   apiVersion: config.openshift.io/v1
   kind: Image

   1

   
   metadata:
     annotations:
       release.openshift.io/create-only: "true"
     creationTimestamp: "2019-05-17T13:44:26Z"
     generation: 1
     name: cluster
     resourceVersion: "8302"
     selfLink: /apis/config.openshift.io/v1/images/cluster
     uid: e34555da-78a9-11e9-b92b-06d6c7da38dc
   spec:
     allowedRegistriesForImport:

   2

   
       - domainName: quay.io
         insecure: false
     additionalTrustedCA:

   3

   
       name: myconfigmap
     registrySources:

   4

   
       insecureRegistries:

   5

   
       - insecure.com
       blockedRegistries:

   6

   
       - untrusted.com
   status:
     internalRegistryHostname: image-registry.openshift-image-registry.svc:5000

   Copy to Clipboard Toggle word wrap

   1

   Image: イメージの処理方法についてのクラスター全体の情報を保持します。正規名および唯一の有効な名前となるのは cluster です。

   2

   allowedRegistriesForImport: 標準ユーザーがイメージのインポートに使用するコンテナーイメージレジストリーを制限します。この一覧を、有効なイメージを含むものとしてユーザーが信頼し、アプリケーションのインポート元となるレジストリーに設定します。イメージまたは ImageStreamMappings を API 経由で作成するパーミッションを持つユーザーは、このポリシーによる影響を受けません。通常、これらのパーミッションを持っているのはクラスター管理者のみです。

   3

   additionalTrustedCA: ImageStream import、pod image pull、 openshift-image-registry pullthrough、およびビルドの処理時に信頼される必要のある追加の CA が含まれる ConfigMap の参照です。この ConfigMap の namespace は openshift-config です。ConfigMap の形式では、信頼する追加のレジストリー CA についてレジストリーのホスト名をキーとして使用し、base64 エンコード証明書を値として使用します。

   4

   registrySources: コンテナーランタイムがビルドおよび Pod のイメージへのアクセス時に個々のレジストリーを処理する方法を決定する設定が含まれます。たとえば、非セキュアなアクセスを許可するかどうかを設定します。内部クラスターレジストリーの設定は含まれません。

   5

   insecureRegistries: 有効な TLS 証明書を持たないか、または HTTP 接続のみをサポートするレジストリーです。

   6

   blockedRegistries: イメージのプルおよびプッシュアクションについてブラックリスト化されます。他のすべてのレジストリーは許可されます。