第14章 ビルドの信頼される認証局の追加設定
以下のセクションを参照して、イメージレジストリーからイメージをプルする際に追加の認証局 (CA) がビルドによって信頼されるように設定します。
この手順を実行するには、クラスター管理者で ConfigMap を作成し、追加の CA を ConfigMap のキーとして追加する必要があります。
-
ConfigMap は
openshift-config
namespace で作成される必要があります。 domain
は ConfigMap のキーであり、value
は PEM エンコード証明書です。-
それぞれの CA はドメインに関連付けられている必要があります。ドメインの形式は
hostname[..port]
です。
-
それぞれの CA はドメインに関連付けられている必要があります。ドメインの形式は
-
ConfigMap 名は、
image.config.openshift.io/cluster
クラスタースコープ設定リソースのspec.additionalTrustedCA
フィールドに設定される必要があります。
14.1. クラスターへの認証局の追加
以下の手順でイメージのプッシュおよびプル時に使用する認証局 (CA) をクラスターに追加することができます。
前提条件
- クラスター管理者の権限があること。
-
レジストリーの公開証明書 (通常は、
/etc/docker/certs.d/
ディレクトリーにあるhostname/ca.crt
ファイル)。
手順
自己署名証明書を使用するレジストリーの信頼される証明書が含まれる ConfigMap を
openshift-config
namespace に作成します。それぞれの CA ファイルについて、 ConfigMap のキーがhostname[..port]
形式のレジストリーのホスト名であることを確認します。$ oc create configmap registry-cas -n openshift-config \ --from-file=myregistry.corp.com..5000=/etc/docker/certs.d/myregistry.corp.com:5000/ca.crt \ --from-file=otherregistry.com=/etc/docker/certs.d/otherregistry.com/ca.crt
クラスターイメージの設定を更新します。
$ oc patch image.config.openshift.io/cluster --patch '{"spec":{"additionalTrustedCA":{"name":"registry-cas"}}}' --type=merge