第 9 章 镜像配置资源

allowedRegistriesForImport

限制普通用户可从中导入镜像的容器镜像 registry。将此列表设置为您信任包含有效镜像且希望应用程序能够从中导入的 registry。有权从 API 创建镜像或 ImageStreamMappings 的用户不受此策略的影响。通常只有集群管理员具有适当权限。

这个列表中的每个项包含由 registry 域名指定的 registry 的位置。

domainname：指定 registry 的域名。如果 registry 使用非标准的 80 或 443 端口，则端口还需要包含在域名中。

insecure：不安全指示 registry 是否安全。默认情况下，如果未另行指定，registry 假定为安全。

additionalTrustedCA

对包含 image stream import、pod image pull、openshift-image-registry pullthrough 和构建期间应受信任的额外 CA 的配置映射的引用。

此配置映射的命名空间为 openshift-config。ConfigMap 的格式是使用 registry 主机名作为键，使用 PEM 编码证书作为值，用于每个要信任的额外 registry CA。

externalRegistryHostnames

提供默认外部镜像 registry 的主机名。只有在镜像 registry 对外公开时才应设置外部主机名。第一个值用于镜像流中的 publicDockerImageRepository 字段。该值必须采用 hostname[:port] 格式。

registrySources

包含用于决定容器运行时在访问构建和 pod 的镜像时应如何处理个别 registry 的配置。例如，是否允许不安全的访问。它不包含内部集群 registry 的配置。

insecureRegistries：无有效 TLS 证书或仅支持 HTTP 连接的 registry。您可以在 registry 中指定单独的软件仓库。例如： reg1.io/myrepo/myapp:latest。

blockedRegistries：拒绝镜像拉取（pull）和推送（push）操作的 registry。您可以在 registry 中指定单独的软件仓库。例如： reg1.io/myrepo/myapp:latest。允许所有其他 registry。

allowedRegistries：允许镜像拉取（pull）和推送（push）操作的 registry。您可以在 registry 中指定单独的软件仓库。例如： reg1.io/myrepo/myapp:latest。阻止所有其他 registry。

containerRuntimeSearchRegistries：允许使用镜像短名称的镜像拉取（pull）和推送（push）操作的 registry。阻止所有其他 registry。

可以设置 blockedRegistries 或 allowedRegistries ，但不能同时都被设置。

internalRegistryHostname

由控制 internalRegistryHostname 的 Image Registry Operator 设置。它为默认内部镜像 registry 设置主机名。该值必须采用 hostname[:port] 格式。为实现向后兼容，您仍可使用 OPENSHIFT_DEFAULT_REGISTRY 环境变量，但该设置会覆盖环境变量。

externalRegistryHostnames

由 Image Registry Operator 设置，在镜像 registry 通过外部公开时为它提供外部主机名。第一个值用于镜像流中的 publicDockerImageRepository 字段。该值必须采用 hostname[:port] 格式。