10.3. HCP를 사용하여 ROSA의 이미지 레지스트리 설정 편집


rosa edit 명령을 사용하여 이미지 레지스트리 구성을 변경할 수 있습니다.

주의

allowedRegistries 매개변수가 정의되면 명시적으로 나열되지 않은 경우 모든 레지스트리가 차단됩니다. Pod 실패를 방지하기 위해 환경의 페이로드 이미지에서 필요한 Red Hat 레지스트리 목록이 자동으로 허용 목록에 추가됩니다. 현재 목록은 image-registry.openshift-image-registry.svc:5000,quay.io,registry.redhat.io 로 구성되며 rosa describe cluster 명령을 실행할 때도 표시됩니다.

참고

모든 머신 풀에서 롤아웃을 트리거하는 레지스트리 관련 매개변수를 변경할 수 있습니다. 각 노드에서 Pod를 드레이닝한 후 모든 머신 풀 노드가 다시 생성됩니다.

프로세스

  • 다음 명령을 실행하여 클러스터의 이미지 레지스트리를 업데이트하거나 편집합니다.

    $ rosa edit cluster --registry-config-insecure-registries <insecure_registries> \
       --registry-config-allowed-registries <allowed_registries> \
       --registry-config-allowed-registries-for-import <registry_name:insecure> \
       --registry-config-additional-trusted-ca <additional_trusted_ca_file>

    출력 예

    ? Changing any registry related parameter will trigger a rollout across all machinepools
    (all machinepool nodes will be recreated, following pod draining from each node).
    Do you want to proceed? Yes
    I: Updated cluster '<cluster_name>'

검증

  • 다음 명령을 실행하여 이미지 레지스트리에 대한 변경 사항이 업데이트되었는지 확인하려면 rosa describe 명령을 다시 실행합니다.

    $ rosa describe cluster --cluster=<cluster_name>

    출력 예

    Name:                       rosa-hcp-test
    Domain Prefix:              rosa-hcp-test
    Display Name:               rosa-hcp-test
    ID:                         <cluster_hcp_id>
    External ID:                <cluster_hcp_id>
    Control Plane:              ROSA Service Hosted
    OpenShift Version:          4.Y.Z
    Channel Group:              stable
    DNS:                        <dns>
    AWS Account:                <aws_id>
    AWS Billing Account:        <aws_id>
    API URL:                    <ocm_api>
    Console URL:
    Region:                     us-east-1
    Availability:
     - Control Plane:           MultiAZ
     - Data Plane:              SingleAZ
    
    Nodes:
     - Compute (desired):       2
     - Compute (current):       2
    Network:
     - Type:                    OVNKubernetes
     - Service CIDR:            <service_cidr>
     - Machine CIDR:            <machine_cidr>
     - Pod CIDR:                <pod_cidr>
     - Host Prefix:             /23
     - Subnets:                 <subnet_ids>
    EC2 Metadata Http Tokens:   optional
    Role (STS) ARN:             arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Installer-Role
    Support Role ARN:           arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Support-Role
    Instance IAM Roles:
     - Worker:                  arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Worker-Role
    Operator IAM Roles:
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-capa-controller-manager
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-control-plane-operator
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-kms-provider
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-image-registry-installer-cloud-cred
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-ingress-operator-cloud-credentials
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credent
     - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cloud-network-config-controller-cloud
    Managed Policies:           Yes
    State:                      ready
    Private:                    No
    Delete Protection:          Disabled
    Created:                    Oct 01 2030 09:48:52 UTC
    User Workload Monitoring:   Enabled
    OIDC Endpoint URL:          https://<endpoint> (Managed)
    Audit Log Forwarding:       Disabled
    External Authentication:    Disabled
    Etcd Encryption:            Disabled
    Registry Configuration:
     - Allowed Registries: <allowed_registry> 1 2
     - Insecure Registries: <insecure_registry> 3
     - Allowed Registries for Import: 4
        - Domain Name: <domain_name> 5
        - Insecure: true 6
     - Platform Allowlist: <platform_allowlist_id> 7
        - Registries:      <list_of_registries> 8
     - Additional Trusted CA: 9
        - <registry_name> : REDACTED

    1
    허용되는 레지스트리: 이미지 풀 및 푸시 작업이 허용되는 쉼표로 구분된 레지스트리 목록입니다.
    2
    차단된 레지스트리: 이미지 풀 및 푸시 작업이 차단되는 쉼표로 구분된 레지스트리 목록입니다. allowedRegistries,blockedRegistries 매개변수는 함께 사용할 수 없습니다.
    3
    비보안 레지스트리: 유효한 TLS 인증서가 없거나 HTTP 연결만 지원하는 쉼표로 구분된 레지스트리 목록입니다.
    4
    가져오기에 허용되는 레지스트리: 일반 사용자가 이미지를 가져올 수 있는 컨테이너 이미지 레지스트리를 제한합니다. 형식은 쉼표로 구분된 domainName:insecure 목록이어야 합니다.
    5
    domainName: 레지스트리의 도메인 이름을 지정합니다.
    6
    insecure: 레지스트리가 안전한지 안전하지 않은지 여부를 나타냅니다.
    7
    플랫폼 허용 목록: 플랫폼이 작동하려면 허용 목록에 추가해야 하는 레지스트리 목록 ID에 대한 참조입니다.
    8
    registries: 플랫폼이 작동하려면 허용 목록에 추가해야 하는 레지스트리 목록입니다.
    9
    추가 신뢰할 수 있는 CA: 신뢰할 추가 레지스트리 CA마다 레지스트리 호스트 이름을 키로 포함하는 JSON 파일 및 PEM 인코딩 인증서를 값으로 지정합니다.

10.3.1. HCP를 사용하여 ROSA의 플랫폼 허용 목록 업데이트

Red Hat 레지스트리 목록은 자동으로 허용되며 rosa describe 클러스터를 실행하면 표시됩니다. 이 목록은 플랫폼이 올바르게 작동할 수 있도록 정기적으로 업데이트될 수 있습니다. 영향을 받는 클러스터는 새 허용 목록 ID를 사용하여 알림을 받습니다. 이 경우 사용자는 이 매개변수를 사용하여 이전 예상 ID에서 새로 예상되는 ID로 업데이트해야 합니다. 다음 명령을 실행하여 클러스터의 이미지 레지스트리를 업데이트하거나 편집합니다.

$ rosa edit cluster --registry-config-platform-allowlist <newID>
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.