主页
产品
OpenShift Container Platform
4.19
容器镜像仓库（Registry）
2.7. 为镜像 registry 访问配置额外的信任存储

2.7. 为镜像 registry 访问配置额外的信任存储

您可以更新 image.config.openshift.io/cluster 自定义资源(CR)，使其包含对包含额外证书颁发机构(CA)的配置映射的引用。您必须确保在镜像 registry 访问过程中信任这些 CA。配置映射键是带有信任此 CA 的端口的 registry 主机名。Privacy-Enhanced Mail (PEM) 证书内容是要信任的每个额外 registry CA 的值。

先决条件

确保 CA 是以 PEM 编码的。

流程

在 openshift-config 命名空间中创建配置映射。以下示例配置显示了配置映射中存在的镜像 registry CA：

apiVersion: v1
kind: ConfigMap
metadata:
  name: my-registry-ca
data:
  registry.example.com: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
  registry-with-port.example.com..5000: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----

apiVersion: v1
kind: ConfigMap
metadata:
  name: my-registry-ca
data:
  registry.example.com: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
  registry-with-port.example.com..5000: |
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

其中：

registry-with-port.example.com..5000: 如果 registry 具有端口，: 应替换为 ..。

配置额外的 CA。确保在 image.config.openshift.io CR 的 AdditionalTrustedCA' 参数中指定 CA 的名称。然后您可以提供额外的 CA，在联系外部 registry 时必须被信任。

oc create configmap registry-config --from-file=<external_registry_address>=ca.crt -n openshift-config

$ oc create configmap registry-config --from-file=<external_registry_address>=ca.crt -n openshift-config

Copy to Clipboard

Toggle word wrap

oc edit image.config.openshift.io cluster

$ oc edit image.config.openshift.io cluster

Copy to Clipboard

Toggle word wrap

spec:
  additionalTrustedCA:
    name: registry-config

spec:
  additionalTrustedCA:
    name: registry-config

Copy to Clipboard

Toggle word wrap

返回顶部

2.7. 为镜像 registry 访问配置额外的信任存储

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links