第 11 章 Image [config.openshift.io/v1]


描述
镜像管理与外部 registry 的镜像流导入和运行时配置相关的策略。它允许集群管理员配置允许哪些 registry OpenShift 从哪些 registry 中导入镜像、外部 registry 的额外 CA 信任捆绑包,以及阻止或允许 registry 主机名的策略。将 OpenShift 的镜像 registry 公开给公共时,这也允许集群管理员指定外部主机名。兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。
类型
object
必填
  • spec

11.1. 规格

属性类型描述

apiVersion

字符串

APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources

kind

字符串

kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds

metadata

ObjectMeta

标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

spec

对象

spec 包含用于配置的用户可设置值

status

对象

status 包含从集群中观察到的值。它们可能无法被覆盖。

11.1.1. .spec

描述
spec 包含用于配置的用户可设置值
类型
object
属性类型描述

additionalTrustedCA

对象

additionalTrustedCA 是对包含在镜像流导入、Pod 镜像拉取、构建镜像 pullthrough 期间应受信任的额外 CA 的 ConfigMap 的引用。此配置映射的命名空间是 openshift-config。

allowedRegistriesForImport

array

allowedRegistriesForImport 限制普通用户可从中导入镜像的容器镜像 registry。将此列表设置为您信任包含有效 Docker 镜像且希望应用程序能够从中导入的 registry。有权通过 API 创建镜像或 ImageStreamMappings 的用户不受此策略的影响 - 通常只有管理员或系统集成将具有这些权限。

allowedRegistriesForImport[]

对象

RegistryLocation 包含 registry 域名指定的 registry 位置。域名可能包含通配符,如 '*' 或 '?'。

externalRegistryHostnames

数组(字符串)

externalRegistryHostnames 为默认外部镜像 registry 提供主机名。只有在镜像 registry 对外公开时才应设置外部主机名。第一个值用于 ImageStreams 中的 'publicDockerImageRepository' 字段。该值必须采用 "hostname[:port]" 格式。

registrySources

对象

registrySources 包含配置,用于决定容器运行时在访问 builds+pods 时应如何处理各个 registry。(例如,是否允许不安全的访问)。它不包含内部集群 registry 的配置。

11.1.2. .spec.additionalTrustedCA

描述
additionalTrustedCA 是对包含在镜像流导入、Pod 镜像拉取、构建镜像 pullthrough 期间应受信任的额外 CA 的 ConfigMap 的引用。此配置映射的命名空间是 openshift-config。
类型
object
必填
  • name
属性类型描述

name

字符串

name 是引用的配置映射的 metadata.name

11.1.3. .spec.allowedRegistriesForImport

描述
allowedRegistriesForImport 限制普通用户可从中导入镜像的容器镜像 registry。将此列表设置为您信任包含有效 Docker 镜像且希望应用程序能够从中导入的 registry。有权通过 API 创建镜像或 ImageStreamMappings 的用户不受此策略的影响 - 通常只有管理员或系统集成将具有这些权限。
类型
array

11.1.4. .spec.allowedRegistriesForImport[]

描述
RegistryLocation 包含 registry 域名指定的 registry 位置。域名可能包含通配符,如 '*' 或 '?'。
类型
object
属性类型描述

domainName

字符串

domainname 为 registry 指定域名,当 registry 使用非标准(80 或 443)端口时,该端口也应包含在域名中。

insecure

布尔值

insecure 表示 registry 是否是安全(https)还是不安全(http)默认(如果未指定),则 registry 假定为安全。

11.1.5. .spec.registrySources

描述
registrySources 包含配置,用于决定容器运行时在访问 builds+pods 时应如何处理各个 registry。(例如,是否允许不安全的访问)。它不包含内部集群 registry 的配置。
类型
object
属性类型描述

allowedRegistries

数组(字符串)

allowedRegistries 是允许进行镜像拉取(pull)和推送(push)操作的 registry。所有其他 registry 都将被阻止。只能设置 BlockedRegistries 或 AllowedRegistries 中的一个。

blockedRegistries

数组(字符串)

blockedRegistries 无法用于镜像拉取(pull)和推送(push)操作。允许所有其他 registry。只能设置 BlockedRegistries 或 AllowedRegistries 中的一个。

containerRuntimeSearchRegistries

数组(字符串)

containerRuntimeSearchRegistries 是拉取(pull)在其 pull spec 中没有完全限定域时搜索的 registry。按照列表中提供的顺序搜索 registry。注:此搜索列表仅适用于容器运行时,如 CRI-O。不适用于构建或镜像流导入。

insecureRegistries

数组(字符串)

insecureRegistries 是没有有效 TLS 证书或仅支持 HTTP 连接的 registry。

11.1.6. .status

描述
status 包含从集群中观察到的值。它们可能无法被覆盖。
类型
object
属性类型描述

externalRegistryHostnames

数组(字符串)

externalRegistryHostnames 为默认外部镜像 registry 提供主机名。只有在镜像 registry 对外公开时才应设置外部主机名。第一个值用于 ImageStreams 中的 'publicDockerImageRepository' 字段。该值必须采用 "hostname[:port]" 格式。

internalRegistryHostname

字符串

internalRegistryHostname 设置默认内部镜像 registry 的主机名。该值必须采用 "hostname[:port]" 格式。这个值由控制内部 registry 主机名的镜像 registry Operator 设置。为了向后兼容,用户仍然可以使用 OPENSHIFT_DEFAULT_REGISTRY 环境变量,但此设置会覆盖环境变量。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.