14장. 빌드에 대해 신뢰할 수 있는 추가 인증 기관 설정
이미지 레지스트리에서 이미지를 가져올 때 빌드에서 신뢰할 추가 CA(인증 기관)를 설정하려면 다음 섹션을 사용합니다.
이 절차를 수행하려면 클러스터 관리자가 ConfigMap
을 생성하고 ConfigMap
에 추가 CA를 키로 추가해야 합니다.
-
ConfigMap
은openshift-config
네임스페이스에 생성해야 합니다. domain
은ConfigMap
의 키이고value
는 PEM 형식으로 인코딩한 인증서입니다.-
각 CA는 도메인과 연결되어 있어야 합니다. 도메인 형식은
hostname[..port]
입니다.
-
각 CA는 도메인과 연결되어 있어야 합니다. 도메인 형식은
-
ConfigMap
이름은image.config.openshift.io/cluster
클러스터 범위 구성 리소스의spec.additionalTrustedCA
필드에 설정해야 합니다.
14.1. 클러스터에 인증 기관 추가
다음 절차에 따라 이미지를 내보내고 가져올 때 사용할 클러스터에 인증서 CA(인증 기관)를 추가할 수 있습니다.
사전 요구 사항
- 클러스터 관리자 권한이 있어야합니다.
-
레지스트리의 공용 인증서(일반적으로
/etc/docker/certs.d/
디렉터리에 있는hostname/ca.crt
파일)에 액세스할 수 있어야 합니다.
절차
자체 서명 인증서를 사용하는 레지스트리의 경우 신뢰할 수 있는 인증서가 있는
openshift-config
네임스페이스에ConfigMap
을 생성합니다. 각 CA 파일에 대해ConfigMap
의 키가hostname[..port]
형식의 레지스트리 호스트 이름인지 확인하십시오.$ oc create configmap registry-cas -n openshift-config \ --from-file=myregistry.corp.com..5000=/etc/docker/certs.d/myregistry.corp.com:5000/ca.crt \ --from-file=otherregistry.com=/etc/docker/certs.d/otherregistry.com/ca.crt
클러스터 이미지 구성을 업데이트합니다.
$ oc patch image.config.openshift.io/cluster --patch '{"spec":{"additionalTrustedCA":{"name":"registry-cas"}}}' --type=merge