9.2.2. 特定のレジストリーのブロック

手順

1. image.config.openshift.io/cluster CR を編集します。

   $ oc edit image.config.openshift.io/cluster

   Copy to Clipboard Toggle word wrap

   以下は、ブロックリストを含む image.config.openshift.io/cluster CR の例です。

   apiVersion: config.openshift.io/v1
   kind: Image
   metadata:
     annotations:
       release.openshift.io/create-only: "true"
     creationTimestamp: "2019-05-17T13:44:26Z"
     generation: 1
     name: cluster
     resourceVersion: "8302"
     selfLink: /apis/config.openshift.io/v1/images/cluster
     uid: e34555da-78a9-11e9-b92b-06d6c7da38dc
   spec:
     registrySources: 

   1

   
       blockedRegistries: 

   2

   
       - untrusted.com
   status:
     internalRegistryHostname: image-registry.openshift-image-registry.svc:5000

   Copy to Clipboard Toggle word wrap

   1

   registrySources: コンテナーランタイムがビルドおよび Pod のイメージへのアクセス時に個々のレジストリーを処理する方法を決定する設定が含まれます。内部クラスターレジストリーの設定は含まれません。

   2

   イメージのプルおよびプッシュアクションについて使用できないレジストリーを指定します。他のすべてのレジストリーは許可されます。

   注記

   blockedRegistries レジストリーまたは allowedRegistries レジストリーのいずれかを設定できますが、両方を設定することはできません。

   Machine Config Operator (MCO) は、image.config.openshift.io/cluster リソースでレジストリーへの変更の有無を監視します。MCO が変更を検出すると、これはノードをドレイン (解放) し、その変更を適用してノードの遮断を解除します。ノードが Ready 状態に戻った後に、ブロックされたレジストリーへの変更は各ノードの /etc/containers/registries.conf ファイルに表示されます。

2. レジストリーがポリシーファイルに追加されていることを確認するには、ノードで以下のコマンドを使用します。

   $ cat /host/etc/containers/registries.conf

   Copy to Clipboard Toggle word wrap

   以下の例では、untrusted.com レジストリーからのイメージが、イメージのプルおよびプッシュで許可されないことを示しています。

   出力例

   unqualified-search-registries = ["registry.access.redhat.com", "docker.io"]
   
   [[registry]]
     prefix = ""
     location = "untrusted.com"
     blocked = true

   Copy to Clipboard Toggle word wrap