ホーム
製品
Red Hat OpenShift Service on AWS
4
イメージ
5.4. イメージプルシークレットの使用

5.4. イメージプルシークレットの使用

OpenShift イメージレジストリーを使用し、同じプロジェクトにあるイメージストリームからプルしている場合は、Pod のサービスアカウントに適切なパーミッションがすでに設定されているために追加のアクションは不要です。

ただし、Red Hat OpenShift Service on AWS プロジェクト全体でイメージを参照する場合や、セキュリティー保護されたレジストリーからイメージを参照するなどの他のシナリオでは、追加の設定手順が必要になります。

イメージのプルシークレットは、Red Hat OpenShift Cluster Manager から取得できます。このプルシークレットは pullSecret と呼ばれます。

このプルシークレットを使用し、Red Hat OpenShift Service on AWS コンポーネントのコンテナーイメージを提供する組み込まれた認証局 (Quay.io および registry.redhat.io) によって提供されるサービスで認証できます。

5.4.1. Pod が複数のプロジェクト間でイメージを参照できるようにする設定
リンクのコピー

OpenShift イメージレジストリーを使用している場合で project-a の Pod が project-b のイメージを参照できるようにするには、project-a のサービスアカウントが project-b の system:image-puller ロールにバインドされている必要があります。

注記

Pod サービスアカウントまたは namespace を作成するときは、サービスアカウントが Docker プルシークレットでプロビジョニングされるまで待ちます。サービスアカウントが完全にプロビジョニングされる前に Pod を作成すると、Pod は OpenShift イメージレジストリーにアクセスできません。

手順

project-a の Pod が project-b のイメージを参照できるようにするには、project-a のサービスアカウントを project-b の system:image-puller ロールにバインドします。
```
oc policy add-role-to-user \
    system:image-puller system:serviceaccount:project-a:default \
    --namespace=project-b
```
```
$ oc policy add-role-to-user \
    system:image-puller system:serviceaccount:project-a:default \
    --namespace=project-b
```
Copy to Clipboard Toggle word wrap
このロールを追加すると、デフォルトのサービスアカウントを参照する project-a の Pod は project-b からイメージをプルできるようになります。

project-a のすべてのサービスアカウントにアクセスを許可するには、グループを使用します。

oc policy add-role-to-group \
    system:image-puller system:serviceaccounts:project-a \
    --namespace=project-b

$ oc policy add-role-to-group \
    system:image-puller system:serviceaccounts:project-a \
    --namespace=project-b

Copy to Clipboard

Toggle word wrap

5.4.2. Pod が他のセキュリティー保護されたレジストリーからイメージを参照できるようにする設定
リンクのコピー

他のプライベートレジストリーレジストリーまたは保護されたレジストリーから保護されたコンテナーをプルするには、Docker や Podman などのコンテナークライアント認証情報からプルシークレットを作成し、それをサービスアカウントに追加する必要があります。

Docker と Podman は設定ファイルを使用して、保護されたレジストリーまたは保護されていないレジストリーへのログインに使用する認証の詳細を保存します。

Docker: Docker は、デフォルトで $HOME/.docker/config.json を使用します。
Podman: Podman は、デフォルトで $HOME/.config/containers/auth.json を使用します。

以前に保護されたレジストリーまたは保護されていないレジストリーにログインしたことがある場合、これらのファイルには認証情報が保存されます。

注記

quay.io や quay.io/<example_repository> のような一意のパスがある場合、Docker と Podman の認証情報ファイルおよび関連するプルシークレットには、同一レジストリーへの複数の参照を含めることができます。ただし、Docker および Podman のいずれも、まったく同じレジストリーパスの複数エントリーはサポートしていません。

config.json ファイルのサンプル

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io/repository-main":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io/repository-main":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}

Copy to Clipboard

Toggle word wrap

プルシークレットの例

apiVersion: v1
data:
  .dockerconfigjson: ewogICAiYXV0aHMiOnsKICAgICAgIm0iOnsKICAgICAgIsKICAgICAgICAgImF1dGgiOiJiM0JsYj0iLAogICAgICAgICAiZW1haWwiOiJ5b3VAZXhhbXBsZS5jb20iCiAgICAgIH0KICAgfQp9Cg==
kind: Secret
metadata:
  creationTimestamp: "2021-09-09T19:10:11Z"
  name: pull-secret
  namespace: default
  resourceVersion: "37676"
  uid: e2851531-01bc-48ba-878c-de96cfe31020
type: Opaque

apiVersion: v1
data:
  .dockerconfigjson: ewogICAiYXV0aHMiOnsKICAgICAgIm0iOnsKICAgICAgIsKICAgICAgICAgImF1dGgiOiJiM0JsYj0iLAogICAgICAgICAiZW1haWwiOiJ5b3VAZXhhbXBsZS5jb20iCiAgICAgIH0KICAgfQp9Cg==
kind: Secret
metadata:
  creationTimestamp: "2021-09-09T19:10:11Z"
  name: pull-secret
  namespace: default
  resourceVersion: "37676"
  uid: e2851531-01bc-48ba-878c-de96cfe31020
type: Opaque

Copy to Clipboard

Toggle word wrap

5.4.2.1. プルシークレットの作成
リンクのコピー

手順

既存の認証ファイルからシークレットを作成します。

.docker/config.json を使用する Docker クライアントの場合は、次のコマンドを入力します。

oc create secret generic <pull_secret_name> \
    --from-file=.dockerconfigjson=<path/to/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson

$ oc create secret generic <pull_secret_name> \
    --from-file=.dockerconfigjson=<path/to/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson

Copy to Clipboard

Toggle word wrap

.config/containers/auth.json を使用する Podman クライアントの場合は、次のコマンドを入力します。

oc create secret generic <pull_secret_name> \
     --from-file=<path/to/.config/containers/auth.json> \
     --type=kubernetes.io/podmanconfigjson

$ oc create secret generic <pull_secret_name> \
     --from-file=<path/to/.config/containers/auth.json> \
     --type=kubernetes.io/podmanconfigjson

Copy to Clipboard

Toggle word wrap

セキュアなレジストリーの Docker 認証情報ファイルがまだない場合は、次のコマンドを実行してシークレットを作成できます。

oc create secret docker-registry <pull_secret_name> \
    --docker-server=<registry_server> \
    --docker-username=<user_name> \
    --docker-password=<password> \
    --docker-email=<email>

$ oc create secret docker-registry <pull_secret_name> \
    --docker-server=<registry_server> \
    --docker-username=<user_name> \
    --docker-password=<password> \
    --docker-email=<email>

Copy to Clipboard

Toggle word wrap

5.4.2.2. ワークロードでのプルシークレットの使用
リンクのコピー

プルシークレットを使用すると、ワークロードが次のいずれかの方法でプライベートレジストリーからイメージをプルできるようになります。

シークレットを ServiceAccount にリンクする。これにより、そのサービスアカウントを使用するすべての Pod にシークレットが自動的に適用されます。
ワークロード設定で imagePullSecrets を直接定義する。これは GitOps や ArgoCD などの環境に役立ちます。

手順

サービスアカウントにシークレットを追加することで、Pod のイメージをプルするためのシークレットを使用できます。サービスアカウントの名前は、Pod が使用するサービスアカウントの名前と一致する必要があることに注意してください。デフォルトのサービスアカウントは default です。

次のコマンドを入力してプルシークレットを ServiceAccount にリンクします。
```
oc secrets link default <pull_secret_name> --for=pull
```
```
$ oc secrets link default <pull_secret_name> --for=pull
```
Copy to Clipboard Toggle word wrap

変更を確認するために、次のコマンドを入力します。

oc get serviceaccount default -o yaml

$ oc get serviceaccount default -o yaml

Copy to Clipboard

Toggle word wrap

出力例

apiVersion: v1
imagePullSecrets:
- name: default-dockercfg-123456
- name: <pull_secret_name>
kind: ServiceAccount
metadata:
  annotations:
    openshift.io/internal-registry-pull-secret-ref: <internal_registry_pull_secret>
  creationTimestamp: "2025-03-03T20:07:52Z"
  name: default
  namespace: default
  resourceVersion: "13914"
  uid: 9f62dd88-110d-4879-9e27-1ffe269poe3
secrets:
- name: <pull_secret_name>

apiVersion: v1
imagePullSecrets:
- name: default-dockercfg-123456
- name: <pull_secret_name>
kind: ServiceAccount
metadata:
  annotations:
    openshift.io/internal-registry-pull-secret-ref: <internal_registry_pull_secret>
  creationTimestamp: "2025-03-03T20:07:52Z"
  name: default
  namespace: default
  resourceVersion: "13914"
  uid: 9f62dd88-110d-4879-9e27-1ffe269poe3
secrets:
- name: <pull_secret_name>

Copy to Clipboard

Toggle word wrap

シークレットをサービスアカウントにリンクする代わりに、Pod またはワークロード定義で直接参照することもできます。これは ArgoCD などの GitOps ワークフローに役立ちます。以下に例を示します。

Pod 仕様の例

apiVersion: v1
kind: Pod
metadata:
  name: <secure_pod_name>
spec:
  containers:
  - name: <container_name>
    image: quay.io/my-private-image
  imagePullSecrets:
  - name: <pull_secret_name>

apiVersion: v1
kind: Pod
metadata:
  name: <secure_pod_name>
spec:
  containers:
  - name: <container_name>
    image: quay.io/my-private-image
  imagePullSecrets:
  - name: <pull_secret_name>

Copy to Clipboard

Toggle word wrap

ArgoCD ワークフローの例

apiVersion: argoproj.io/v1alpha1
kind: Workflow
metadata:
  generateName: <example_workflow>
spec:
  entrypoint: <main_task>
  imagePullSecrets:
  - name: <pull_secret_name>

apiVersion: argoproj.io/v1alpha1
kind: Workflow
metadata:
  generateName: <example_workflow>
spec:
  entrypoint: <main_task>
  imagePullSecrets:
  - name: <pull_secret_name>

Copy to Clipboard

Toggle word wrap

5.4.2.3. 委任された認証を使用したプライベートレジストリーからのプル
リンクのコピー

プライベートレジストリーは認証を別個のサービスに委任できます。この場合、イメージプルシークレットは認証およびレジストリーのエンドポイントの両方に対して定義される必要があります。

手順

委任された認証サーバーのシークレットを作成します。

oc create secret docker-registry \
    --docker-server=sso.redhat.com \
    --docker-username=developer@example.com \
    --docker-password=******** \
    --docker-email=unused \
    redhat-connect-sso

$ oc create secret docker-registry \
    --docker-server=sso.redhat.com \
    --docker-username=developer@example.com \
    --docker-password=******** \
    --docker-email=unused \
    redhat-connect-sso

secret/redhat-connect-sso

Copy to Clipboard

Toggle word wrap

プライベートレジストリーのシークレットを作成します。

oc create secret docker-registry \
    --docker-server=privateregistry.example.com \
    --docker-username=developer@example.com \
    --docker-password=******** \
    --docker-email=unused \
    private-registry

$ oc create secret docker-registry \
    --docker-server=privateregistry.example.com \
    --docker-username=developer@example.com \
    --docker-password=******** \
    --docker-email=unused \
    private-registry

secret/private-registry

Copy to Clipboard

Toggle word wrap

トップに戻る

5.4. イメージプルシークレットの使用

5.4.1. Pod が複数のプロジェクト間でイメージを参照できるようにする設定
リンクのコピー

5.4.2. Pod が他のセキュリティー保護されたレジストリーからイメージを参照できるようにする設定
リンクのコピー

5.4.2.1. プルシークレットの作成
リンクのコピー

5.4.2.2. ワークロードでのプルシークレットの使用
リンクのコピー

5.4.2.3. 委任された認証を使用したプライベートレジストリーからのプル
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.4. イメージプルシークレットの使用

5.4.1. Pod が複数のプロジェクト間でイメージを参照できるようにする設定リンクのコピーリンクがクリップボードにコピーされました!

5.4.2. Pod が他のセキュリティー保護されたレジストリーからイメージを参照できるようにする設定リンクのコピーリンクがクリップボードにコピーされました!

5.4.2.1. プルシークレットの作成リンクのコピーリンクがクリップボードにコピーされました!

5.4.2.2. ワークロードでのプルシークレットの使用リンクのコピーリンクがクリップボードにコピーされました!

5.4.2.3. 委任された認証を使用したプライベートレジストリーからのプルリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.4.1. Pod が複数のプロジェクト間でイメージを参照できるようにする設定
リンクのコピー

5.4.2. Pod が他のセキュリティー保護されたレジストリーからイメージを参照できるようにする設定
リンクのコピー

5.4.2.1. プルシークレットの作成
リンクのコピー

5.4.2.2. ワークロードでのプルシークレットの使用
リンクのコピー

5.4.2.3. 委任された認証を使用したプライベートレジストリーからのプル
リンクのコピー