10.2. HCP를 사용하여 ROSA의 이미지 레지스트리 설정 구성

클러스터 생성 시 이미지 레지스트리 설정을 구성할 수 있습니다. 클러스터 노드는 생성 후 필요한 구성을 사용합니다.

프로세스

다음 명령을 실행하여 이미지 레지스트리가 있는 HCP 클러스터를 사용하여 ROSA를 생성합니다.
```
$ rosa create cluster —cluster-name=<cluster_name> --sts --mode=auto \
   --hosted-cp --operator-roles-prefix <operator_role_prefix> \
   --oidc-config-id <id_of_oidc_configuration> \
   --subnet-ids=<public_subnet_id>,<private_subnet_id> \
   --registry-config-insecure-registries <insecure_registries> \
   --registry-config-allowed-registries <allowed_registries> \
   --registry-config-allowed-registries-for-import <registry_name:insecure> \
   --registry-config-additional-trusted-ca <additional_trusted_ca_file>
```
참고
allowedRegistries, blockedRegistries 또는 insecureRegistries 매개변수를 사용하는 경우 레지스트리 내에서 개별 리포지토리를 지정할 수 있습니다. 예: reg1.io/myrepo/myapp:latest.
가능한 보안 위험을 줄이려면 안전하지 않은 외부 레지스트리를 방지합니다. allowedRegistries,blockedRegistries 매개변수는 함께 사용할 수 없습니다.

검증

rosa describe 명령을 실행하여 다음 명령을 실행하여 이미지 레지스트리가 활성화되어 있는지 확인합니다.

$ rosa describe cluster --cluster=<cluster_name>

출력 예

Name:                       rosa-hcp-test
Domain Prefix:              rosa-hcp-test
Display Name:               rosa-hcp-test
ID:                         <cluster_hcp_id>
External ID:                <cluster_hcp_id>
Control Plane:              ROSA Service Hosted
OpenShift Version:          4.Y.Z
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_id>
AWS Billing Account:        <aws_id>
API URL:                    <ocm_api>
Console URL:
Region:                     us-east-1
Availability:
 - Control Plane:           MultiAZ
 - Data Plane:              SingleAZ
Nodes:
 - Compute (desired):       2
 - Compute (current):       2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             /23
 - Subnets:                 <subnet_ids>
EC2 Metadata Http Tokens:   optional
Role (STS) ARN:             arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Installer-Role
Support Role ARN:           arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Support-Role
Instance IAM Roles:
 - Worker:                  arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Worker-Role
Operator IAM Roles:
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-capa-controller-manager
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-control-plane-operator
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-kms-provider
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-image-registry-installer-cloud-cred
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-ingress-operator-cloud-credentials
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credent
 - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cloud-network-config-controller-cloud
Managed Policies:           Yes
State:                      ready
Private:                    No
Delete Protection:          Disabled
Created:                    Oct 01 2030 09:48:52 UTC
User Workload Monitoring:   Enabled
OIDC Endpoint URL:          https://<endpoint> (Managed)
Audit Log Forwarding:       Disabled
External Authentication:    Disabled
Etcd Encryption:            Disabled
Registry Configuration:
 - Allowed Registries: <allowed_registry> 1 2
 - Insecure Registries: <insecure_registry> 3
 - Allowed Registries for Import: 4
    - Domain Name: <domain_name> 5
    - Insecure: true 6
 - Platform Allowlist: <platform_allowlist_id> 7
    - Registries:      <list_of_registries> 8
 - Additional Trusted CA: 9
    - <registry_name> : REDACTED

1: 허용되는 레지스트리: 이미지 풀 및 푸시 작업이 허용되는 쉼표로 구분된 레지스트리 목록입니다.
2: 차단된 레지스트리: 이미지 풀 및 푸시 작업이 차단되는 쉼표로 구분된 레지스트리 목록입니다. allowedRegistries,blockedRegistries 매개변수는 함께 사용할 수 없습니다.
3: 비보안 레지스트리: 유효한 TLS 인증서가 없거나 HTTP 연결만 지원하는 쉼표로 구분된 레지스트리 목록입니다.
4: 가져오기에 허용되는 레지스트리: 일반 사용자가 이미지를 가져올 수 있는 컨테이너 이미지 레지스트리를 제한합니다. 형식은 쉼표로 구분된 domainName:insecure 목록이어야 합니다.
5: domainName: 레지스트리의 도메인 이름을 지정합니다.
6: insecure: 레지스트리가 안전한지 안전하지 않은지 여부를 나타냅니다.
7: 플랫폼 허용 목록: 플랫폼이 작동하려면 허용 목록에 추가해야 하는 레지스트리 목록 ID에 대한 참조입니다.
8: registries: 플랫폼이 작동하려면 허용 목록에 추가해야 하는 레지스트리 목록입니다.
9: 추가 신뢰할 수 있는 CA: 신뢰할 추가 레지스트리 CA마다 레지스트리 호스트 이름을 키로 포함하는 JSON 파일 및 PEM 인코딩 인증서를 값으로 지정합니다.

다음 명령을 실행하여 적용된 변경 사항을 확인하도록 노드를 나열합니다.

$ oc get nodes

출력 예

NAME                                         STATUS                     ROLES                  AGE   VERSION
ip-10-0-137-182.us-east-2.compute.internal   Ready,SchedulingDisabled   worker                 65m   v1.30.3
ip-10-0-188-96.us-east-2.compute.internal    Ready                      worker                 65m   v1.30.3
ip-10-0-200-59.us-east-2.compute.internal    Ready                      worker                 63m   v1.30.3

10.2. HCP를 사용하여 ROSA의 이미지 레지스트리 설정 구성

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Red Hat legal and privacy links

Red Hat legal and privacy links