1.5. Authentication enabled Red Hat registry
Red Hat Ecosystem Catalog のコンテナーイメージのセクションで利用可能なすべてのコンテナーイメージはイメージレジストリーの registry.redhat.io
でホストされます。
レジストリー registry.redhat.io
では、イメージおよび OpenShift Container Platform でホストされるコンテンツへのアクセスに認証が必要です。新規レジストリーへの移行後も、既存レジストリーはしばらく利用可能になります。
OpenShift Container Platform はイメージを registry.redhat.io
からプルするため、これを使用できるようにクラスターを設定する必要があります。
新規レジストリーは、以下の方法を使用して認証に標準の OAuth メカニズムを使用します。
- 認証トークン。管理者によって生成されるこれらのトークンは、システムにコンテナーイメージレジストリーに対する認証機能を付与するサービスアカウントです。サービスアカウントはユーザーアカウントの変更による影響を受けないため、トークンの認証方法は信頼性があり、回復性があります。これは、実稼働クラスター用にサポートされている唯一の認証オプションです。
-
Web ユーザー名およびパスワード。これは、
access.redhat.com
などのリソースへのログインに使用する標準的な認証情報のセットです。OpenShift Container Platform でこの認証方法を使用することはできますが、これは実稼働デプロイメントではサポートされません。この認証方法の使用は、OpenShift Container Platform 外のスタンドアロンのプロジェクトに制限されます。
ユーザー名およびパスワード、または認証トークンのいずれかの認証情報を使用して podman login
を使用し、新規レジストリーのコンテンツにアクセスします。
すべてのイメージストリームは、インストールプルシークレットを使用して認証を行う新規レジストリーを参照します。
認証情報は以下のいずれかの場所に配置する必要があります。
-
openshift
namespace.openshift
namespace のイメージストリームがインポートできるように、認証情報はopenshift
namespace になければなりません。 - ホスト。Kubernetes でイメージをプルする際にホストの認証情報を使用するため、認証情報はホスト上になければなりません。