Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

11.3. 配置 ImagePolicy Admission 插件

要配置可以在集群中运行的镜像,请在 master-config.yaml 文件中配置 ImagePolicy Admission 插件。您可以根据需要设置一个或多个规则。

  • 使用特定注解拒绝镜像

    使用此规则拒绝在其上设置特定注解的所有镜像。以下使用 images.openshift.io/deny-execution 注解拒绝所有镜像: 

    - name: execution-denied
  onResources:
  - resource: pods
  - resource: builds
  reject: true
  matchImageAnnotations:
  - key: images.openshift.io/deny-execution
    1 
    
    value: "true"
  skipOnResolutionFailure: true
    Copy to Clipboard Toggle word wrap
    1
    如果特定镜像被视为是恶意的,管理员可以设置此注解来标记这些镜像。

  • 允许用户从 Docker Hub 运行镜像

    使用此规则允许用户使用 Docker Hub 中的镜像: 

    - name: allow-images-from-dockerhub
  onResources:
    - resource: pods
    - resource: builds
    matchRegistries:
    - docker.io
    Copy to Clipboard Toggle word wrap

以下是在 master-config.yaml 文件中设置多个 ImagePolicy addmission 插件规则的示例配置:

注解的文件示例

admissionConfig:
  pluginConfig:
    openshift.io/ImagePolicy:
      configuration:
        kind: ImagePolicyConfig
        apiVersion: v1
        resolveImages: AttemptRewrite
1 

        executionRules:
2 

        - name: execution-denied
          # Reject all images that have the annotation images.openshift.io/deny-execution set to true.
          # This annotation may be set by infrastructure that wishes to flag particular images as dangerous
          onResources:
3 

          - resource: pods
          - resource: builds
          reject: true
4 

          matchImageAnnotations:
5 

          - key: images.openshift.io/deny-execution
            value: "true"
          skipOnResolutionFailure: true
6 

        - name: allow-images-from-internal-registry
          # allows images from the internal registry and tries to resolve them
          onResources:
          - resource: pods
          - resource: builds
          matchIntegratedRegistry: true
        - name: allow-images-from-dockerhub
          onResources:
          - resource: pods
          - resource: builds
          matchRegistries:
          - docker.io
        resolutionRules:
7 

        - targetResource:
            resource: pods
          localNames: true
          policy: AttemptRewrite
        - targetResource:
8 

            group: batch
            resource: jobs
          localNames: true
9 

          policy: AttemptRewrite
Copy to Clipboard Toggle word wrap

1
尝试将镜像解析到不可变镜像摘要中,并更新 pod 中的镜像拉取规格。
2
针对传入资源进行评估的规则数组。如果您只有 reject: true 规则,则默认为 允许所有。如果您有任何接受规则,则在任何规则中都 reject: false,ImagePolicy 的默认行为 deny-all
3
指示要强制执行规则的资源。如果未指定任何内容,则默认为 pod
4
表示如果此规则匹配,则 Pod 应该被拒绝。
5
镜像对象的元数据匹配的注解列表。
6
如果您无法解析镜像,请不要失败 pod。
7
允许在 Kubernetes 资源中使用镜像流的规则数组。默认配置允许 pod、复制控制器、replicaset、有状态集、daemonset、Deployment 和作业在镜像字段中使用相同的项目镜像流标签引用。
8
标识规则应用到的组和资源。如果资源是 *,则此规则将应用到该组中的所有资源。
9
LocalNames 将允许单个片段名称(如 ruby:2.5)解释为本地命名空间镜像流标签,但只有在资源或目标镜像流启用了 本地名称解析 时才会显示。
注意

如果您通常依赖使用默认 registry 前缀(如 docker.ioregistry.redhat.io)拉取的基础架构镜像,则这些镜像与任何 matchRegistries 值不匹配,因为它们没有 registry 前缀。为确保基础架构镜像具有与镜像策略匹配的 registry 前缀,请在 master-config.yaml 文件中设置 imageConfig.format 值。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat