第 11 章 镜像策略
11.1. 概述
您可以控制在集群中导入、标记并运行哪些镜像。为此,有两个设施:
允许导入的 Registry 是一种镜像策略配置,允许您将镜像来源限制为特定的外部 registry 集合。这组规则应用到要导入或标记到任何镜像流的任何镜像。因此,任何与规则集不匹配的引用 registry 的镜像都将被拒绝。
ImagePolicy 准入插件 可让您指定允许在集群中运行哪些镜像。这目前被视为 beta。它允许您控制:
- 镜像源 :可以使用哪些 registry 来拉取镜像
- 镜像解析 :强制 pod 使用不可变摘要运行,以确保镜像不会因为重新标签而改变
- 容器镜像标签限制 :限制或需要镜像上的标签
- 镜像注解限制 :限制或需要集成容器镜像 registry 中的镜像的注解
