10.3. HCP를 사용하여 ROSA의 이미지 레지스트리 설정 편집
rosa edit
명령을 사용하여 이미지 레지스트리 구성을 변경할 수 있습니다.
allowedRegistries
매개변수가 정의되면 명시적으로 나열되지 않은 경우 모든 레지스트리가 차단됩니다. Pod 실패를 방지하기 위해 환경의 페이로드 이미지에서 필요한 Red Hat 레지스트리 목록이 자동으로 허용 목록에 추가됩니다. 현재 목록은 image-registry.openshift-image-registry.svc:5000,quay.io,registry.redhat.io
로 구성되며 rosa describe cluster
명령을 실행할 때도 표시됩니다.
모든 머신 풀에서 롤아웃을 트리거하는 레지스트리 관련 매개변수를 변경할 수 있습니다. 각 노드에서 Pod를 드레이닝한 후 모든 머신 풀 노드가 다시 생성됩니다.
프로세스
다음 명령을 실행하여 클러스터의 이미지 레지스트리를 업데이트하거나 편집합니다.
$ rosa edit cluster --registry-config-insecure-registries <insecure_registries> \ --registry-config-allowed-registries <allowed_registries> \ --registry-config-allowed-registries-for-import <registry_name:insecure> \ --registry-config-additional-trusted-ca <additional_trusted_ca_file>
출력 예
? Changing any registry related parameter will trigger a rollout across all machinepools (all machinepool nodes will be recreated, following pod draining from each node). Do you want to proceed? Yes I: Updated cluster '<cluster_name>'
검증
다음 명령을 실행하여 이미지 레지스트리에 대한 변경 사항이 업데이트되었는지 확인하려면
rosa describe
명령을 다시 실행합니다.$ rosa describe cluster --cluster=<cluster_name>
출력 예
Name: rosa-hcp-test Domain Prefix: rosa-hcp-test Display Name: rosa-hcp-test ID: <cluster_hcp_id> External ID: <cluster_hcp_id> Control Plane: ROSA Service Hosted OpenShift Version: 4.Y.Z Channel Group: stable DNS: <dns> AWS Account: <aws_id> AWS Billing Account: <aws_id> API URL: <ocm_api> Console URL: Region: us-east-1 Availability: - Control Plane: MultiAZ - Data Plane: SingleAZ Nodes: - Compute (desired): 2 - Compute (current): 2 Network: - Type: OVNKubernetes - Service CIDR: <service_cidr> - Machine CIDR: <machine_cidr> - Pod CIDR: <pod_cidr> - Host Prefix: /23 - Subnets: <subnet_ids> EC2 Metadata Http Tokens: optional Role (STS) ARN: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Installer-Role Support Role ARN: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Support-Role Instance IAM Roles: - Worker: arn:aws:iam::<aws_id>:role/<account_roles_prefix>-HCP-ROSA-Worker-Role Operator IAM Roles: - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-capa-controller-manager - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-control-plane-operator - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-kube-system-kms-provider - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-image-registry-installer-cloud-cred - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-ingress-operator-cloud-credentials - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credent - arn:aws:iam::<aws_id>:role/<operator_roles_prefix>-openshift-cloud-network-config-controller-cloud Managed Policies: Yes State: ready Private: No Delete Protection: Disabled Created: Oct 01 2030 09:48:52 UTC User Workload Monitoring: Enabled OIDC Endpoint URL: https://<endpoint> (Managed) Audit Log Forwarding: Disabled External Authentication: Disabled Etcd Encryption: Disabled Registry Configuration: - Allowed Registries: <allowed_registry> 1 2 - Insecure Registries: <insecure_registry> 3 - Allowed Registries for Import: 4 - Domain Name: <domain_name> 5 - Insecure: true 6 - Platform Allowlist: <platform_allowlist_id> 7 - Registries: <list_of_registries> 8 - Additional Trusted CA: 9 - <registry_name> : REDACTED
- 1
허용되는 레지스트리
: 이미지 풀 및 푸시 작업이 허용되는 쉼표로 구분된 레지스트리 목록입니다.- 2
차단된 레지스트리
: 이미지 풀 및 푸시 작업이 차단되는 쉼표로 구분된 레지스트리 목록입니다.allowedRegistries
,blockedRegistries
매개변수는 함께 사용할 수 없습니다.- 3
비보안 레지스트리
: 유효한 TLS 인증서가 없거나 HTTP 연결만 지원하는 쉼표로 구분된 레지스트리 목록입니다.- 4
가져오기에 허용되는 레지스트리
: 일반 사용자가 이미지를 가져올 수 있는 컨테이너 이미지 레지스트리를 제한합니다. 형식은 쉼표로 구분된domainName:insecure
목록이어야 합니다.- 5
domainName
: 레지스트리의 도메인 이름을 지정합니다.- 6
insecure
: 레지스트리가 안전한지 안전하지 않은지 여부를 나타냅니다.- 7
플랫폼 허용 목록
: 플랫폼이 작동하려면 허용 목록에 추가해야 하는 레지스트리 목록 ID에 대한 참조입니다.- 8
registries
: 플랫폼이 작동하려면 허용 목록에 추가해야 하는 레지스트리 목록입니다.- 9
추가 신뢰할 수 있는 CA
: 신뢰할 추가 레지스트리 CA마다 레지스트리 호스트 이름을 키로 포함하는 JSON 파일 및 PEM 인코딩 인증서를 값으로 지정합니다.
10.3.1. HCP를 사용하여 ROSA의 플랫폼 허용 목록 업데이트
Red Hat 레지스트리 목록은 자동으로 허용되며 rosa describe 클러스터를 실행하면 표시됩니다. 이 목록은 플랫폼이 올바르게 작동할 수 있도록 정기적으로 업데이트될 수 있습니다. 영향을 받는 클러스터는 새 허용 목록 ID를 사용하여 알림을 받습니다. 이 경우 사용자는 이 매개변수를 사용하여 이전 예상 ID에서 새로 예상되는 ID로 업데이트해야 합니다. 다음 명령을 실행하여 클러스터의 이미지 레지스트리를 업데이트하거나 편집합니다.
$ rosa edit cluster --registry-config-platform-allowlist <newID>