Red Hat Summit9.2.2. 특정 레지스트리 차단
image.config.openshift.io/cluster CR(사용자 정의 리소스)을 편집하여 레지스트리 내의 모든 레지스트리를 차단할 수 있습니다. OpenShift Container Platform은 이 CR에 대한 변경 사항을 클러스터의 모든 노드에 적용합니다.
이미지를 풀하거나 푸시할 때 컨테이너 런타임은 image.config.openshift.io/cluster CR에서 registrySources 매개변수 아래에 나열된 레지스트리를 검색합니다. blockedRegistries 매개변수 아래에 레지스트리 목록을 생성한 경우 컨테이너 런타임에서 해당 레지스트리를 검색하지 않습니다. 다른 모든 레지스트리는 허용됩니다.
Pod 실패를 방지하려면 사용자 환경의 페이로드 이미지에서 필요한 registry.redhat.io 및 quay.io 레지스트리를 blockedRegistries 목록에 추가하지 마십시오.
프로세스
다음과 같이
project.config.openshift.io/cluster사용자 정의 리소스를 편집합니다.$ oc edit image.config.openshift.io/cluster다음은 차단 목록이 포함된
image.config.openshift.io/cluster리소스의 예입니다.apiVersion: config.openshift.io/v1 kind: Image metadata: annotations: release.openshift.io/create-only: "true" creationTimestamp: "2019-05-17T13:44:26Z" generation: 1 name: cluster resourceVersion: "8302" selfLink: /apis/config.openshift.io/v1/images/cluster uid: e34555da-78a9-11e9-b92b-06d6c7da38dc spec: registrySources:1 blockedRegistries:2 - untrusted.com - reg1.io/myrepo/myapp:latest status: internalRegistryHostname: image-registry.openshift-image-registry.svc:5000- 1
- 빌드 및 pod 이미지에 액세스하는 경우 컨테이너 런타임에서 개별 레지스트리를 처리하는 방법을 결정할 구성이 포함되어 있습니다. 내부 클러스터 레지스트리에 대한 구성은 포함되어 있지 않습니다.
- 2
- 이미지 가져오기 및 푸시 작업에 사용해서는 안 되는 레지스트리를 지정하고 선택적으로 해당 레지스트리에서 리포지토리를 지정합니다. 다른 모든 레지스트리는 허용됩니다.참고
blockedRegistries레지스트리 또는allowedRegistries레지스트리 중 하나를 설정할 수 있지만 둘 다 설정할 수는 없습니다.MCO(Machine Config Operator)는
image.config.openshift.io/cluster리소스를 통해 레지스트리에 대한 변경 사항을 확인합니다. MCO가 변경사항을 감지하면 노드를 비우고, 변경 사항을 적용한 다음 노드를 분리합니다. 노드가Ready상태가 되면 차단된 레지스트리에 대한 변경이 각 노드의/etc/containers/registries.conf파일에 표시됩니다. 이 기간 동안 서비스를 사용할 수 없는 상황이 발생할 수 있습니다.
검증
다음 명령을 입력하여 노드 목록을 가져옵니다.
$ oc get nodes출력 예
NAME STATUS ROLES AGE VERSION <node_name> Ready control-plane,master 37m v1.27.8+4fab27b다음 명령을 실행하여 노드에서 디버그 모드로 전환합니다.
$ oc debug node/<node_name>메시지가 표시되면
chroot /host를 터미널에 입력합니다.sh-4.4# chroot /host다음 명령을 입력하여 레지스트리가 정책 파일에 추가되었는지 확인합니다.
sh-5.1# cat etc/containers/registries.conf다음 예에서는
untrusted.com레지스트리의 이미지가 이미지 풀 및 푸시를 위해 비활성화되어 있음을 나타냅니다.출력 예
unqualified-search-registries = ["registry.access.redhat.com", "docker.io"] [[registry]] prefix = "" location = "untrusted.com" blocked = true
9.2.2.1. 페이로드 레지스트리 차단
미러링 구성에서 ICSP( ImageContentSourcePolicy ) 오브젝트를 사용하여 연결이 끊긴 환경의 업스트림 페이로드 레지스트리를 차단할 수 있습니다. 다음 예제 절차에서는 quay.io/openshift- payload 페이로드 레지스트리를 차단하는 방법을 보여줍니다.
프로세스
ICSP(
ImageContentSourcePolicy) 오브젝트를 사용하여 미러 구성을 생성하여 인스턴스의 레지스트리에 페이로드를 미러링합니다. 다음 예제 ICSP 파일은internal-mirror.io/openshift-payload를 미러링합니다.apiVersion: operator.openshift.io/v1alpha1 kind: ImageContentSourcePolicy metadata: name: my-icsp spec: repositoryDigestMirrors: - mirrors: - internal-mirror.io/openshift-payload source: quay.io/openshift-payload오브젝트가 노드에 배포된 후
/etc/containers/registries.conf파일을 확인하여 미러 구성이 설정되었는지 확인합니다.출력 예
[[registry]] prefix = "" location = "quay.io/openshift-payload" mirror-by-digest-only = true [[registry.mirror]] location = "internal-mirror.io/openshift-payload"다음 명령을 사용하여
image.config.openshift.io사용자 정의 리소스 파일을 편집합니다.$ oc edit image.config.openshift.io cluster페이로드 레지스트리를 차단하려면
image.config.openshift.io사용자 정의 리소스 파일에 다음 구성을 추가합니다.spec: registrySources: blockedRegistries: - quay.io/openshift-payload
검증
노드에서
/etc/containers/registries.conf파일을 확인하여 업스트림 페이로드 레지스트리가 차단되었는지 확인합니다.출력 예
[[registry]] prefix = "" location = "quay.io/openshift-payload" blocked = true mirror-by-digest-only = true [[registry.mirror]] location = "internal-mirror.io/openshift-payload"
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}