第11章 Image [config.openshift.io/v1]
- Description
- イメージは、イメージストリームのインポートと外部レジストリーのランタイム設定に関連するポリシーを管理します。これにより、クラスター管理者は、OpenShift がイメージのインポートを許可されるレジストリー、外部レジストリー用の追加の CA トラストバンドル、およびレジストリーのホスト名をブロックまたは許可するポリシーを設定できます。OpenShift のイメージレジストリーを公開する場合、これによりクラスター管理者は外部ホスト名を指定することもできます。互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- タイプ
-
object
- 必須
-
spec
-
11.1. 仕様
プロパティー | タイプ | 説明 |
---|---|---|
|
| APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
| 標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
| spec 設定についてのユーザーが設定できる値を保持します。 |
|
| status クラスターから監視される値を保持します。それらはオーバーライドされない場合があります。 |
11.1.1. .spec
- Description
- spec 設定についてのユーザーが設定できる値を保持します。
- タイプ
-
object
プロパティー | タイプ | Description |
---|---|---|
|
| additionalTrustedCA は、イメージストリームのインポート、Pod イメージのプル、ビルドイメージのプル、およびイメージレジストリーのプルスルー中に信頼される必要がある追加の CA を含む ConfigMap への参照です。この設定マップの namespace は openshift-config です。 |
|
| allowedRegistriesForImport は、通常のユーザーがイメージをインポートできるコンテナーイメージレジストリーを制限します。このリストを、有効な Docker イメージを含むものとユーザーが信頼し、アプリケーションのインポート元となるレジストリーに設定します。Images または ImageStreamMappings を API 経由で作成するパーミッションを持つユーザーは、このポリシーによる影響を受けません。 通常、これらのパーミッションを持っているのは管理者またはシステム統合管理者のみです。 |
|
| RegistryLocation には、レジストリードメイン名で指定されたレジストリーの場所が含まれます。ドメイン名には、*や ?? などのワイルドカードが含まれる場合があります。 |
|
| externalRegistryHostnames デフォルトの外部イメージレジストリーのホスト名を指定します。外部ホスト名は、イメージレジストリーが外部に公開される場合にのみ設定される必要があります。最初の値は、イメージストリームの publicDockerImageRepository フィールドで使用されます。値は hostname[:port] 形式の値である必要があります。 |
|
| レジストリーソースには、ビルド +Pod のイメージにアクセスするときにコンテナーランタイムが個々のレジストリーをどのように処理するかを決定する設定が含まれています。(たとえば、安全でないアクセスを許可するかどうか)。内部クラスターレジストリーの設定は含まれません。 |
11.1.2. .spec.additionalTrustedCA
- Description
- additionalTrustedCA は、イメージストリームのインポート、Pod イメージのプル、ビルドイメージのプル、およびイメージレジストリーのプルスルー中に信頼される必要がある追加の CA を含む ConfigMap への参照です。この設定マップの namespace は openshift-config です。
- タイプ
-
object
- 必須
-
name
-
プロパティー | タイプ | 説明 |
---|---|---|
|
| name は、参照される設定マップの metadata.name です。 |
11.1.3. .spec.allowedRegistriesForImport
- Description
- allowedRegistriesForImport は、通常のユーザーがイメージをインポートできるコンテナーイメージレジストリーを制限します。このリストを、有効な Docker イメージを含むものとユーザーが信頼し、アプリケーションのインポート元となるレジストリーに設定します。Images または ImageStreamMappings を API 経由で作成するパーミッションを持つユーザーは、このポリシーによる影響を受けません。 通常、これらのパーミッションを持っているのは管理者またはシステム統合管理者のみです。
- タイプ
-
array
11.1.4. .spec.allowedRegistriesForImport[]
- Description
- RegistryLocation には、レジストリードメイン名で指定されたレジストリーの場所が含まれます。ドメイン名には、*や ?? などのワイルドカードが含まれる場合があります。
- タイプ
-
object
プロパティー | タイプ | Description |
---|---|---|
|
| domainName は、レジストリーのドメイン名を指定します。レジストリーが非標準 (80 または 443) ポートを使用する場合は、そのポートもドメイン名に含める必要があります。 |
|
| insecure は、レジストリーが安全 (https) であるか安全でない (http) かを示します。デフォルト (指定されていない場合) では、レジストリーは安全であると見なされます。 |
11.1.5. .spec.registrySources
- Description
- レジストリーソースには、ビルド +Pod のイメージにアクセスするときにコンテナーランタイムが個々のレジストリーをどのように処理するかを決定する設定が含まれています。(たとえば、安全でないアクセスを許可するかどうか)。内部クラスターレジストリーの設定は含まれません。
- タイプ
-
object
プロパティー | タイプ | Description |
---|---|---|
|
| allowedRegistries は、イメージのプルおよびプッシュアクションに許可されている唯一のレジストリーです。他のすべてのレジストリーは拒否されます。blockedRegistries または allowedRegistries のいずれかのみを設定できます。 |
|
| blockedRegistries は、イメージのプルおよびプッシュアクションには使用できません。他のすべてのレジストリーは許可されます。blockedRegistries または allowedRegistries のいずれかのみを設定できます。 |
|
| containerRuntimeSearchRegistries は、プル仕様に完全修飾ドメインがないイメージをプルするときに検索されるレジストリーです。レジストリーは、リストに示されている順序で検索されます。注: この検索リストは、コンテナーランタイム、つまり CRI-O でのみ機能します。ビルドまたはイメージストリームのインポートでは機能しません。 |
|
| insecureRegistries は、有効な TLS 証明書を持たないか、HTTP 接続のみをサポートするレジストリーです。 |
11.1.6. .status
- Description
- status クラスターから監視される値を保持します。それらはオーバーライドされない場合があります。
- タイプ
-
object
プロパティー | タイプ | Description |
---|---|---|
|
| externalRegistryHostnames デフォルトの外部イメージレジストリーのホスト名を指定します。外部ホスト名は、イメージレジストリーが外部に公開される場合にのみ設定される必要があります。最初の値は、イメージストリームの publicDockerImageRepository フィールドで使用されます。値は hostname[:port] 形式の値である必要があります。 |
|
| internalRegistryHostname は、デフォルトの内部イメージレジストリーのホスト名を設定します。値は hostname[:port] 形式の値である必要があります。この値は、内部レジストリーのホスト名を制御するイメージレジストリー Operator によって設定されます。後方互換性を考慮して、ユーザーは引き続き OPENSHIFT_DEFAULT_REGISTRY 環境変数を使用できますが、この設定はこの環境変数を上書きします。 |