10.2. ROSA with HCP のイメージレジストリー設定の指定
クラスターの作成時にイメージレジストリー設定を指定できます。作成後に、クラスターのノードによって必要な設定が使用されます。
手順
次のコマンドを実行して、イメージレジストリーを使用して ROSA with HCP クラスターを作成します。
$ rosa create cluster —cluster-name=<cluster_name> --sts --mode=auto \ --hosted-cp --operator-roles-prefix <operator_role_prefix> \ --oidc-config-id <id_of_oidc_configuration> \ --subnet-ids=<public_subnet_id>,<private_subnet_id> \ --registry-config-insecure-registries <insecure_registries> \ --registry-config-allowed-registries <allowed_registries> \ --registry-config-allowed-registries-for-import <registry_name:insecure> \ --registry-config-additional-trusted-ca <additional_trusted_ca_file>
注記allowedRegistries、blockedRegistries、またはinsecureRegistriesパラメーターを使用する場合、レジストリー内に個別のリポジトリーを指定できます。例:reg1.io/myrepo/myapp:latest起こりうるセキュリティーリスクを軽減するために、非セキュアな外部レジストリーの使用を避けてください。パラメーター
allowedRegistriesとblockedRegistriesは相互に排他的です。
検証
次の
rosa describeコマンドを実行して、イメージレジストリーが有効になっていることを確認します。$ rosa describe cluster --cluster=<cluster_name>
出力例
Name: rosa-hcp-test Domain Prefix: rosa-hcp-test Display Name: rosa-hcp-test ID: <cluster_hcp_id> External ID: <cluster_hcp_id> Control Plane: ROSA Service Hosted OpenShift Version: 4.Y.Z Channel Group: stable DNS: <dns> AWS Account: <aws_id> AWS Billing Account: <aws_id> API URL: <ocm_api> Console URL: Region: us-east-1 Availability: - Control Plane: MultiAZ - Data Plane: SingleAZ Nodes: - Compute (desired): 2 - Compute (current): 2 Network: - Type: OVNKubernetes - Service CIDR: <service_cidr> - Machine CIDR: <machine_cidr> - Pod CIDR: <pod_cidr> - Host Prefix: /23 - Subnets: <subnet_ids> EC2 Metadata Http Tokens: optional Role (STS) ARN: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Installer-Role Support Role ARN: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Support-Role Instance IAM Roles: - Worker: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Worker-Role Operator IAM Roles: - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-capa-controller-manager - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-control-plane-operator - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-kms-provider - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-image-registry-installer-cloud-cred - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-ingress-operator-cloud-credentials - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credent - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cloud-network-config-controller-cloud Managed Policies: Yes State: ready Private: No Delete Protection: Disabled Created: Oct 01 2030 09:48:52 UTC User Workload Monitoring: Enabled OIDC Endpoint URL: https://<endpoint> (Managed) Audit Log Forwarding: Disabled External Authentication: Disabled Etcd Encryption: Disabled Registry Configuration: - Allowed Registries: <allowed_registry> 1 2 - Insecure Registries: <insecure_registry> 3 - Allowed Registries for Import: 4 - Domain Name: <domain_name> 5 - Insecure: true 6 - Platform Allowlist: <platform_allowlist_id> 7 - Registries: <list_of_registries> 8 - Additional Trusted CA: 9 - <registry_name> : REDACTED
- 1
Allowed Registries: イメージのプルおよびプッシュアクションが許可されるレジストリーのコンマ区切りリスト。- 2
Blocked Registries: イメージのプルおよびプッシュアクションがブロックされるレジストリーのコンマ区切りリスト。パラメーターallowedRegistriesとblockedRegistriesは相互に排他的です。- 3
Insecure Registries: 有効な TLS 証明書を持たないか、HTTP 接続のみをサポートするレジストリーのコンマ区切りリスト。- 4
Allowed Registries for Import: 標準ユーザーがイメージをインポートに使用できるコンテナーイメージレジストリーを制限します。形式は、domainName:insecureのコンマ区切りリストにする必要があります。- 5
domainName: レジストリーのドメイン名を指定します。- 6
insecure: レジストリーがセキュアか非セキュアかを示します。- 7
Platform Allowlist: プラットフォームを機能させるためにホワイトリストに登録する必要があるレジストリーリストの ID への参照。- 8
Registries: プラットフォームを機能させるためにホワイトリストに登録する必要があるレジストリーのリスト。- 9
Additional Trusted CA: 信頼する追加の各レジストリー CA について、レジストリーホスト名をキーとして、PEM でエンコードされた証明書を値として含む JSON ファイル。
次のコマンドを実行して、ノードをリスト表示し、適用された変更を確認します。
$ oc get nodes
出力例
NAME STATUS ROLES AGE VERSION ip-10-0-137-182.us-east-2.compute.internal Ready,SchedulingDisabled worker 65m v1.30.3 ip-10-0-188-96.us-east-2.compute.internal Ready worker 65m v1.30.3 ip-10-0-200-59.us-east-2.compute.internal Ready worker 63m v1.30.3
