10.3. HCP を備えた ROSA のイメージレジストリー設定の編集
イメージレジストリー設定は、rosa edit コマンドを使用して変更できます。
警告
allowedRegistries パラメーターが定義されると、明示的に一覧表示されない限り、すべてのレジストリーはブロックされます。Pod の失敗を防ぐために、Red Hat レジストリーのリストは、環境内のペイロードイメージで必要であるため、自動的にホワイトリスト化されます。現在のリストは image-registry.openshift-image-registry.svc:5000,quay.io,registry.redhat.io で設定され、rosa describe cluster コマンドの実行時にも表示されます。
注記
すべてのマシンプールでロールアウトをトリガーするレジストリー関連のパラメーターを変更できます。各ノードからドレイン Pod の後に、すべてのマシンプールノードが再作成されます。
手順
次のコマンドを実行して、クラスターのイメージレジストリーを更新または編集します。
$ rosa edit cluster --registry-config-insecure-registries <insecure_registries> \ --registry-config-allowed-registries <allowed_registries> \ --registry-config-allowed-registries-for-import <registry_name:insecure> \ --registry-config-additional-trusted-ca <additional_trusted_ca_file>
出力例
? Changing any registry related parameter will trigger a rollout across all machinepools (all machinepool nodes will be recreated, following pod draining from each node). Do you want to proceed? Yes I: Updated cluster '<cluster_name>'
検証
rosa description コマンドを再度実行し、次のコマンドを実行してイメージレジストリーに更新された変更を確認します。$ rosa describe cluster --cluster=<cluster_name>
出力例
Name: rosa-hcp-test Domain Prefix: rosa-hcp-test Display Name: rosa-hcp-test ID: <cluster_hcp_id> External ID: <cluster_hcp_id> Control Plane: ROSA Service Hosted OpenShift Version: 4.Y.Z Channel Group: stable DNS: <dns> AWS Account: <aws_id> AWS Billing Account: <aws_id> API URL: <ocm_api> Console URL: Region: us-east-1 Availability: - Control Plane: MultiAZ - Data Plane: SingleAZ Nodes: - Compute (desired): 2 - Compute (current): 2 Network: - Type: OVNKubernetes - Service CIDR: <service_cidr> - Machine CIDR: <machine_cidr> - Pod CIDR: <pod_cidr> - Host Prefix: /23 - Subnets: <subnet_ids> EC2 Metadata Http Tokens: optional Role (STS) ARN: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Installer-Role Support Role ARN: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Support-Role Instance IAM Roles: - Worker: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Worker-Role Operator IAM Roles: - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-capa-controller-manager - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-control-plane-operator - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-kms-provider - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-image-registry-installer-cloud-cred - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-ingress-operator-cloud-credentials - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credent - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cloud-network-config-controller-cloud Managed Policies: Yes State: ready Private: No Delete Protection: Disabled Created: Oct 01 2030 09:48:52 UTC User Workload Monitoring: Enabled OIDC Endpoint URL: https://<endpoint> (Managed) Audit Log Forwarding: Disabled External Authentication: Disabled Etcd Encryption: Disabled Registry Configuration: - Allowed Registries: <allowed_registry> 1 - Insecure Registries: <insecure_registry> 2 - Allowed Registries for Import: 3 - Domain Name: <domain_name> 4 - Insecure: true 5
- 1
許可されるレジストリー:イメージのプルおよびプッシュアクションが許可されるレジストリーのコンマ区切りのリストです。- 2
非セキュアなレジストリー:有効な TLS 証明書を持たない、または HTTP 接続のみをサポートするレジストリーのコンマ区切りリスト。- 3
Allow Registries for Import: 標準ユーザーがイメージのインポートに使用するコンテナーイメージレジストリーを制限します。形式はdomainName:insecureのコンマ区切りのリストである必要があります。- 4
domainName: レジストリーのドメイン名を指定します。- 5
insecure: insecure はレジストリーがセキュアか、非セキュアであるかを示します。
