2.5. イメージレジストリーアクセス用の追加のトラストストアの設定
image.config.openshift.io/cluster
リソースには、イメージレジストリーのアクセス時に信頼される追加の認証局が含まれる ConfigMap への参照を含めることができます。
前提条件
- CA は PEM でエンコードされている必要があります。
手順
ConfigMap を openshift-config
namespace に作成し、その名前を image.config.openshift.io
リソースの AdditionalTrustedCA
で使用し、追加の CA を指定することができます。
ConfigMap キーは、この CA が信頼されるポートを持つレジストリーのホスト名であり、base64 エンコード証明書が信頼する追加の各レジストリー CA についての値になります。
イメージレジストリー CA の ConfigMap の例
apiVersion: v1
kind: ConfigMap
metadata:
name: my-registry-ca
data:
registry.example.com: |
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
registry-with-port.example.com..5000: | 1
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
- 1
- レジストリーにポートがある場合 (例:
registry-with-port.example.com:5000
)、「:
」は..
に置き換える必要があります。
以下の手順で追加の CA を設定することができます。
追加の CA を設定するには、以下を実行します。
$ oc create configmap registry-config --from-file=<external_registry_address>=ca.crt -n openshift-config $ oc edit image.config.openshift.io cluster spec: additionalTrustedCA: name: registry-config