主页
产品
OpenShift Container Platform
4.16
容器镜像仓库（Registry）
2.7. 为镜像 registry 访问配置额外的信任存储

2.7. 为镜像 registry 访问配置额外的信任存储

您可以在镜像 registry 访问 image.config.openshift.io/cluster 自定义资源(CR)时添加对具有信任额外证书颁发机构(CA)的配置映射的引用。

先决条件

证书颁发机构(CA)必须经过 PEM 编码。

流程

在 openshift-config 命名空间中创建配置映射，然后在 image.config.openshift.io CR 的 AdditionalTrustedCA 参数中使用配置映射名称。这会添加集群联系外部镜像 registry 时应信任的 CA。
镜像 registry CA 配置映射示例
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: my-registry-ca
data:
  registry.example.com: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
  registry-with-port.example.com..5000: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
```
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: my-registry-ca
data:
  registry.example.com: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
  registry-with-port.example.com..5000: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
```
Copy to Clipboard Toggle word wrap
其中：
data:registry.example.com:
要信任此 CA 的 registry 主机名示例。
data:registry-with-port.example.com..5000:
信任此 CA 的端口的 registry 主机名示例。如果 registry 有一个端口，如 registry-with-port.example.com:5000，: 必须替换为 ..。
PEM 证书内容是要信任的每个额外 registry CA 的值。

可选。运行以下命令来配置额外的 CA：

oc create configmap registry-config --from-file=<external_registry_address>=ca.crt -n openshift-config

$ oc create configmap registry-config --from-file=<external_registry_address>=ca.crt -n openshift-config

Copy to Clipboard

Toggle word wrap

oc edit image.config.openshift.io cluster

$ oc edit image.config.openshift.io cluster

Copy to Clipboard

Toggle word wrap

spec:
  additionalTrustedCA:
    name: registry-config

spec:
  additionalTrustedCA:
    name: registry-config

Copy to Clipboard

Toggle word wrap

返回顶部

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2025 Red Hat