第 11 章 Image [config.openshift.io/v1]
- 描述
- 镜像管理与外部 registry 的镜像流导入和运行时配置相关的策略。它允许集群管理员配置允许哪些 registry OpenShift 从哪些 registry 中导入镜像、外部 registry 的额外 CA 信任捆绑包,以及阻止或允许 registry 主机名的策略。将 OpenShift 的镜像 registry 公开给公共时,这也允许集群管理员指定外部主机名。兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。
- 类型
-
object - 必填
-
spec
-
11.1. 规格
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
|
| spec 包含用于配置的用户可设置值 |
|
|
| status 包含从集群中观察到的值。它们可能无法被覆盖。 |
11.1.1. .spec
- 描述
- spec 包含用于配置的用户可设置值
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| additionalTrustedCA 是对包含在镜像流导入、Pod 镜像拉取、构建镜像 pullthrough 期间应受信任的额外 CA 的 ConfigMap 的引用。此配置映射的命名空间是 openshift-config。 |
|
|
| allowedRegistriesForImport 限制普通用户可从中导入镜像的容器镜像 registry。将此列表设置为您信任包含有效 Docker 镜像且希望应用程序能够从中导入的 registry。有权通过 API 创建镜像或 ImageStreamMappings 的用户不受此策略的影响 - 通常只有管理员或系统集成将具有这些权限。 |
|
|
| RegistryLocation 包含 registry 域名指定的 registry 位置。域名可能包含通配符,如 '*' 或 '?'。 |
|
|
| externalRegistryHostnames 为默认外部镜像 registry 提供主机名。只有在镜像 registry 对外公开时才应设置外部主机名。第一个值用于 ImageStreams 中的 'publicDockerImageRepository' 字段。该值必须采用 "hostname[:port]" 格式。 |
|
|
| registrySources 包含配置,用于决定容器运行时在访问 builds+pods 时应如何处理各个 registry。(例如,是否允许不安全的访问)。它不包含内部集群 registry 的配置。 |
11.1.2. .spec.additionalTrustedCA
- 描述
- additionalTrustedCA 是对包含在镜像流导入、Pod 镜像拉取、构建镜像 pullthrough 期间应受信任的额外 CA 的 ConfigMap 的引用。此配置映射的命名空间是 openshift-config。
- 类型
-
object - 必填
-
name
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| name 是引用的配置映射的 metadata.name |
11.1.3. .spec.allowedRegistriesForImport
- 描述
- allowedRegistriesForImport 限制普通用户可从中导入镜像的容器镜像 registry。将此列表设置为您信任包含有效 Docker 镜像且希望应用程序能够从中导入的 registry。有权通过 API 创建镜像或 ImageStreamMappings 的用户不受此策略的影响 - 通常只有管理员或系统集成将具有这些权限。
- 类型
-
array
11.1.4. .spec.allowedRegistriesForImport[]
- 描述
- RegistryLocation 包含 registry 域名指定的 registry 位置。域名可能包含通配符,如 '*' 或 '?'。
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| domainname 为 registry 指定域名,当 registry 使用非标准(80 或 443)端口时,该端口也应包含在域名中。 |
|
|
| insecure 表示 registry 是否是安全(https)还是不安全(http)默认(如果未指定),则 registry 假定为安全。 |
11.1.5. .spec.registrySources
- 描述
- registrySources 包含配置,用于决定容器运行时在访问 builds+pods 时应如何处理各个 registry。(例如,是否允许不安全的访问)。它不包含内部集群 registry 的配置。
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| allowedRegistries 是允许进行镜像拉取(pull)和推送(push)操作的 registry。所有其他 registry 都将被阻止。只能设置 BlockedRegistries 或 AllowedRegistries 中的一个。 |
|
|
| blockedRegistries 无法用于镜像拉取(pull)和推送(push)操作。允许所有其他 registry。只能设置 BlockedRegistries 或 AllowedRegistries 中的一个。 |
|
|
| containerRuntimeSearchRegistries 是拉取(pull)在其 pull spec 中没有完全限定域时搜索的 registry。按照列表中提供的顺序搜索 registry。注:此搜索列表仅适用于容器运行时,如 CRI-O。不适用于构建或镜像流导入。 |
|
|
| insecureRegistries 是没有有效 TLS 证书或仅支持 HTTP 连接的 registry。 |
11.1.6. .status
- 描述
- status 包含从集群中观察到的值。它们可能无法被覆盖。
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| externalRegistryHostnames 为默认外部镜像 registry 提供主机名。只有在镜像 registry 对外公开时才应设置外部主机名。第一个值用于 ImageStreams 中的 'publicDockerImageRepository' 字段。该值必须采用 "hostname[:port]" 格式。 |
|
|
| internalRegistryHostname 设置默认内部镜像 registry 的主机名。该值必须采用 "hostname[:port]" 格式。这个值由控制内部 registry 主机名的镜像 registry Operator 设置。 |
