サポートコンソール開発者トライアルの開始お問い合わせ

10.3. ROSA with HCP のイメージレジストリー設定の編集

rosa edit コマンドを使用すると、イメージレジストリー設定を変更できます。

警告

allowedRegistries パラメーターが定義されている場合、明示的にリストされたレジストリーを除き、すべてのレジストリーがブロックされます。Pod の障害を防ぐために、環境内のペイロードイメージに必要な Red Hat レジストリーのリストが自動的にホワイトリストに登録されます。現在のリストは image-registry.openshift-image-registry.svc:5000,quay.io,registry.redhat.io で構成されています。これは rosa describe cluster コマンドを実行すると表示されます。

注記

レジストリー関連のパラメーターを変更すると、すべてのマシンプールにロールアウトがトリガーされ、各ノードから Pod がドレインされた後、すべてのマシンプールノードが再作成されます。

手順

  • 次のコマンドを実行して、クラスターのイメージレジストリーを更新または編集します。 

    $ rosa edit cluster --registry-config-insecure-registries <insecure_registries> \
   --registry-config-allowed-registries <allowed_registries> \
   --registry-config-allowed-registries-for-import <registry_name:insecure> \
   --registry-config-additional-trusted-ca <additional_trusted_ca_file>

    出力例

    ? Changing any registry related parameter will trigger a rollout across all machinepools
(all machinepool nodes will be recreated, following pod draining from each node).
Do you want to proceed? Yes
I: Updated cluster '<cluster_name>'

検証

  • 次の rosa describe コマンドを再度実行し、イメージレジストリーに加えた変更が更新されたかどうかを確認します。 

    $ rosa describe cluster --cluster=<cluster_name>

    出力例

    Name:                       rosa-hcp-test
Domain Prefix:              rosa-hcp-test
Display Name:               rosa-hcp-test
ID:                         <cluster_hcp_id>
External ID:                <cluster_hcp_id>
Control Plane:              ROSA Service Hosted
OpenShift Version:          4.Y.Z
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_id>
AWS Billing Account:        <aws_id>
API URL:                    <ocm_api>
Console URL:
Region:                     us-east-1
Availability:
 - Control Plane:           MultiAZ
 - Data Plane:              SingleAZ

Nodes:
 - Compute (desired):       2
 - Compute (current):       2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             /23
 - Subnets:                 <subnet_ids>
EC2 Metadata Http Tokens:   optional
Role (STS) ARN:             arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Installer-Role
Support Role ARN:           arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Support-Role
Instance IAM Roles:
 - Worker:                  arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Worker-Role
Operator IAM Roles:
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-capa-controller-manager
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-control-plane-operator
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-kms-provider
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-image-registry-installer-cloud-cred
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-ingress-operator-cloud-credentials
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credent
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cloud-network-config-controller-cloud
Managed Policies:           Yes
State:                      ready
Private:                    No
Delete Protection:          Disabled
Created:                    Oct 01 2030 09:48:52 UTC
User Workload Monitoring:   Enabled
OIDC Endpoint URL:          https://<endpoint> (Managed)
Audit Log Forwarding:       Disabled
External Authentication:    Disabled
Etcd Encryption:            Disabled
Registry Configuration:
 - Allowed Registries: <allowed_registry> 1 2
 - Insecure Registries: <insecure_registry> 3
 - Allowed Registries for Import: 4
    - Domain Name: <domain_name> 5
    - Insecure: true 6
 - Platform Allowlist: <platform_allowlist_id> 7
    - Registries:      <list_of_registries> 8
 - Additional Trusted CA: 9
    - <registry_name> : REDACTED

    1
    Allowed Registries: イメージのプルおよびプッシュアクションが許可されるレジストリーのコンマ区切りリスト。
    2
    Blocked Registries: イメージのプルおよびプッシュアクションがブロックされるレジストリーのコンマ区切りリスト。パラメーター allowedRegistriesblockedRegistries は相互に排他的です。
    3
    Insecure Registries: 有効な TLS 証明書を持たないか、HTTP 接続のみをサポートするレジストリーのコンマ区切りリスト。
    4
    Allowed Registries for Import: 標準ユーザーがイメージをインポートに使用できるコンテナーイメージレジストリーを制限します。形式は、domainName:insecure のコンマ区切りリストにする必要があります。
    5
    domainName: レジストリーのドメイン名を指定します。
    6
    insecure: レジストリーがセキュアか非セキュアかを示します。
    7
    Platform Allowlist: プラットフォームを機能させるためにホワイトリストに登録する必要があるレジストリーリストの ID への参照。
    8
    Registries: プラットフォームを機能させるためにホワイトリストに登録する必要があるレジストリーのリスト。
    9
    Additional Trusted CA: 信頼する追加の各レジストリー CA について、レジストリーホスト名をキーとして、PEM でエンコードされた証明書を値として含む JSON ファイル。

10.3.1. ROSA with HCP のプラットフォーム許可リストの更新

Red Hat レジストリーのリストは自動的に許可されます。これは rosa describe cluster を実行すると表示されます。このリストは、プラットフォームが正しく動作するように、定期的に更新されます。影響を受けるクラスターには、新しい許可リスト ID を含む通知が送信されます。その場合、ユーザーはこのパラメーターを使用して、以前の想定される ID から新しく想定される ID に更新する必要があります。次のコマンドを実行して、クラスターのイメージレジストリーを更新または編集します。 

$ rosa edit cluster --registry-config-platform-allowlist <newID>
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.