11.4. 为 registry 注入 pull secret 并禁用 TLS

您可以为系统中的 registry 配置容器镜像、拉取 secret 和禁用 TLS。这些操作可让容器化环境从私有或不安全的 registry 中拉取镜像。

您可以包含容器 pull secret 和其他配置来访问基础镜像中的 registry。但是，在使用 Anaconda 安装时，安装环境可能需要重复的 "bootstrap" 配置副本以便在通过网络获取时访问目标 registry。

要在获取目标 bootc 容器镜像前对安装环境执行任意更改，您可以使用 Anaconda %pre 命令。

流程

配置 pull secret：

%pre
mkdir -p /etc/ostree
cat > /etc/ostree/auth.json << 'EOF'
{
        "auths": {
                "quay.io": {
                        "auth": "<your secret here>"
                }
        }
}
EOF
%end

%pre
mkdir -p /etc/ostree
cat > /etc/ostree/auth.json << 'EOF'
{
        "auths": {
                "quay.io": {
                        "auth": "<your secret here>"
                }
        }
}
EOF
%end

Copy to Clipboard

Toggle word wrap

使用这个配置，系统使用提供的身份验证凭据从 quay.io 拉取镜像，这些凭证存储在 /etc/ostree/auth.json 中。

为不安全的 registry 禁用 TLS：

%pre
mkdir -p /etc/containers/registries.conf.d/
cat > /etc/containers/registries.conf.d/local-registry.conf << 'EOF'

[[registry]]
location="[IP_Address]:5000"
insecure=true
EOF
%end

%pre
mkdir -p /etc/containers/registries.conf.d/
cat > /etc/containers/registries.conf.d/local-registry.conf << 'EOF'

[[registry]]
location="[IP_Address]:5000"
insecure=true
EOF
%end

Copy to Clipboard

Toggle word wrap

使用这个配置，系统会从没有使用 TLS 保护的 registry 中拉取容器镜像。您可以在开发或内部网络中使用它。

您还可以使用 %pre 来：

使用安装环境中所含的二进制文件，从网络获取数据，如 curl。
使用 update-ca-trust 命令将可信证书颁发机构注入到安装环境中 /etc/pki/ca-trust/source/anchors。

您可以通过修改 /etc/containers 目录来配置不安全的 registry。

返回顶部

11.4. 为 registry 注入 pull secret 并禁用 TLS

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links