9.3. ROSA with HCP のイメージレジストリー設定の編集
rosa edit
コマンドを使用すると、イメージレジストリー設定を変更できます。
allowedRegistries
パラメーターが定義されている場合、明示的にリストされたレジストリーを除き、すべてのレジストリーがブロックされます。Pod の障害を防ぐために、環境内のペイロードイメージに必要な Red Hat レジストリーのリストが自動的にホワイトリストに登録されます。現在のリストは image-registry.openshift-image-registry.svc:5000,quay.io,registry.redhat.io
で構成されています。これは rosa describe cluster
コマンドを実行すると表示されます。
レジストリー関連のパラメーターを変更すると、すべてのマシンプールにロールアウトがトリガーされ、各ノードから Pod がドレインされた後、すべてのマシンプールノードが再作成されます。
手順
次のコマンドを実行して、クラスターのイメージレジストリーを更新または編集します。
rosa edit cluster --registry-config-insecure-registries <insecure_registries> \ --registry-config-allowed-registries <allowed_registries> \ --registry-config-allowed-registries-for-import <registry_name:insecure> \ --registry-config-additional-trusted-ca <additional_trusted_ca_file>
$ rosa edit cluster --registry-config-insecure-registries <insecure_registries> \ --registry-config-allowed-registries <allowed_registries> \ --registry-config-allowed-registries-for-import <registry_name:insecure> \ --registry-config-additional-trusted-ca <additional_trusted_ca_file>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
? Changing any registry related parameter will trigger a rollout across all machinepools (all machinepool nodes will be recreated, following pod draining from each node). Do you want to proceed? Yes I: Updated cluster '<cluster_name>'
? Changing any registry related parameter will trigger a rollout across all machinepools (all machinepool nodes will be recreated, following pod draining from each node). Do you want to proceed? Yes I: Updated cluster '<cluster_name>'
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
次の
rosa describe
コマンドを再度実行し、イメージレジストリーに加えた変更が更新されたかどうかを確認します。rosa describe cluster --cluster=<cluster_name>
$ rosa describe cluster --cluster=<cluster_name>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
Allowed Registries
: イメージのプルおよびプッシュアクションが許可されるレジストリーのコンマ区切りリスト。- 2
Blocked Registries
: イメージのプルおよびプッシュアクションがブロックされるレジストリーのコンマ区切りリスト。パラメーターallowedRegistries
とblockedRegistries
は相互に排他的です。- 3
Insecure Registries
: 有効な TLS 証明書を持たないか、HTTP 接続のみをサポートするレジストリーのコンマ区切りリスト。- 4
Allowed Registries for Import
: 標準ユーザーがイメージをインポートに使用できるコンテナーイメージレジストリーを制限します。形式は、domainName:insecure
のコンマ区切りリストにする必要があります。- 5
domainName
: レジストリーのドメイン名を指定します。- 6
insecure
: レジストリーがセキュアか非セキュアかを示します。- 7
Platform Allowlist
: プラットフォームを機能させるためにホワイトリストに登録する必要があるレジストリーリストの ID への参照。- 8
Registries
: プラットフォームを機能させるためにホワイトリストに登録する必要があるレジストリーのリスト。- 9
Additional Trusted CA
: 信頼する追加の各レジストリー CA について、レジストリーホスト名をキーとして、PEM でエンコードされた証明書を値として含む JSON ファイル。
9.3.1. ROSA with HCP のプラットフォーム許可リストの更新 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat レジストリーのリストは自動的に許可されます。これは rosa describe cluster を実行すると表示されます。このリストは、プラットフォームが正しく動作するように、定期的に更新されます。影響を受けるクラスターには、新しい許可リスト ID を含む通知が送信されます。その場合、ユーザーはこのパラメーターを使用して、以前の想定される ID から新しく想定される ID に更新する必要があります。次のコマンドを実行して、クラスターのイメージレジストリーを更新または編集します。
rosa edit cluster --registry-config-platform-allowlist <newID>
$ rosa edit cluster --registry-config-platform-allowlist <newID>