第 14 章 为构建设置其他可信证书颁发机构
在从镜像 registry 中拉取镜像时,参照以下部分设置构建可信任的额外证书颁发机构 (CA) 。
此流程要求集群管理员创建 ConfigMap
,并在 ConfigMap
中添加额外的 CA 作为密钥。
-
ConfigMap
必须在openshift-config
命名空间中创建。 domain
是ConfigMap
中的键,value
是 PEM 编码的证书。-
每个 CA 必须与某个域关联。域格式是
hostname[..port]
。
-
每个 CA 必须与某个域关联。域格式是
-
ConfigMap
名称必须在image.config.openshift.io/cluster
集群范围配置资源的spec.additionalTrustedCA
字段中设置。
14.1. 在集群中添加证书颁发机构
您可以按照以下流程将证书颁发机构 (CA) 添加到集群,以便在推送和拉取镜像时使用。
先决条件
-
您必须有权访问 registry 的公共证书,通常是位于
/etc/docker/certs.d/
目录中的hostname/ca.crt
文件。
流程
在
openshift-config
命名空间中创建一个ConfigMap
,其中包含使用自签名证书的 registry 的可信证书。对于每个 CA 文件,确保ConfigMap
中的键是hostname[..port]
格式的容器镜像仓库的主机名:$ oc create configmap registry-cas -n openshift-config \ --from-file=myregistry.corp.com..5000=/etc/docker/certs.d/myregistry.corp.com:5000/ca.crt \ --from-file=otherregistry.com=/etc/docker/certs.d/otherregistry.com/ca.crt
更新集群镜像配置:
$ oc patch image.config.openshift.io/cluster --patch '{"spec":{"additionalTrustedCA":{"name":"registry-cas"}}}' --type=merge