2.14. ビルドの信頼される認証局の追加設定
以下のセクションを参照して、イメージレジストリーからイメージをプルする際に追加の認証局 (CA) がビルドによって信頼されるように設定します。
この手順を実行するには、クラスター管理者で ConfigMap を作成し、追加の CA を ConfigMap のキーとして追加する必要があります。
-
ConfigMapはopenshift-confignamespace で作成される必要があります。 domainはConfigMapのキーであり、valueは PEM エンコード証明書です。-
それぞれの CA はドメインに関連付けられている必要があります。ドメインの形式は
hostname[..port]です。
-
それぞれの CA はドメインに関連付けられている必要があります。ドメインの形式は
-
ConfigMap名は、image.config.openshift.io/clusterクラスタースコープ設定リソースのspec.additionalTrustedCAフィールドに設定される必要があります。
2.14.1. クラスターへの認証局の追加
以下の手順でイメージのプッシュおよびプル時に使用する認証局 (CA) をクラスターに追加することができます。
前提条件
- クラスター管理者の権限があること。
-
レジストリーの公開証明書 (通常は、
/etc/docker/certs.d/ディレクトリーにあるhostname/ca.crtファイル)。
手順
自己署名証明書を使用するレジストリーの信頼される証明書が含まれる
ConfigMapをopenshift-confignamespace に作成します。それぞれの CA ファイルについて、ConfigMapのキーがhostname[..port]形式のレジストリーのホスト名であることを確認します。$ oc create configmap registry-cas -n openshift-config \ --from-file=myregistry.corp.com..5000=/etc/docker/certs.d/myregistry.corp.com:5000/ca.crt \ --from-file=otherregistry.com=/etc/docker/certs.d/otherregistry.com/ca.crt
クラスターイメージの設定を更新します。
$ oc patch image.config.openshift.io/cluster --patch '{"spec":{"additionalTrustedCA":{"name":"registry-cas"}}}' --type=merge
