13.6. 使用镜像提取 secret

Docker registries 可以被加以保护，以防止未授权方访问某些镜像。如果您在使用 OpenShift Container Platform 的内部 registry，且从位于同一项目中的镜像流拉取（pull），则您的 Pod 服务帐户应已具备正确权限，且无需额外操作。

然而，对于其他场景，例如在 OpenShift Container Platform 项目间或从安全 registry 引用镜像，则还需其他配置步骤。以下小节详细介绍了这些场景及其所需步骤。

使用内部 registry 时，要允许 project-a 中的 pod 引用 project-b 中的镜像，project-a 中的服务帐户必须绑定到 project-b 中的 system:image-puller 角色：

oc policy add-role-to-user \
    system:image-puller system:serviceaccount:project-a:default \
    --namespace=project-b

$ oc policy add-role-to-user \
    system:image-puller system:serviceaccount:project-a:default \
    --namespace=project-b

Copy to Clipboard

Toggle word wrap

添加该角色后，project-a 中引用默认服务帐户的 pod 能够从 project-b 拉取（pull）镜像。

要允许访问 project-a 中的任意服务帐户，请使用组：

oc policy add-role-to-group \
    system:image-puller system:serviceaccounts:project-a \
    --namespace=project-b

$ oc policy add-role-to-group \
    system:image-puller system:serviceaccounts:project-a \
    --namespace=project-b

Copy to Clipboard

Toggle word wrap

返回顶部