14.3. 为注册中心注入拉取 secret 并禁用 TLS

要使容器化环境可以从私有或不安全的注册中心拉取镜像，您可以为系统中的注册中心配置容器镜像、拉取 secret 和禁用 TLS。

您可以包含容器拉取 secret 和其他配置来访问基础镜像中的注册中心。但是，在使用 Anaconda 安装时，安装环境可能需要 "bootstrap" 配置的副本，以便在通过网络获取时访问目标注册中心。

要在获取目标 bootc 容器镜像之前对安装环境执行任意更改，您可以使用 Anaconda %pre 命令。

有关 auth.json 文件的格式和配置的详情，请查看 containers-auth.json (5)。

流程

配置拉取 secret：

%pre
mkdir -p /etc/ostree
cat > /etc/ostree/auth.json << 'EOF'
{
        "auths": {
                "quay.io": {
                        "auth": "<your secret here>"
                }
        }
}
EOF
%end

%pre
mkdir -p /etc/ostree
cat > /etc/ostree/auth.json << 'EOF'
{
        "auths": {
                "quay.io": {
                        "auth": "<your secret here>"
                }
        }
}
EOF
%end

Copy to Clipboard

Toggle word wrap

使用这个配置，系统使用提供的身份验证凭据从 quay.io 拉取镜像，这些凭证存储在 /etc/ostree/auth.json 中。

对不安全的注册中心禁用 TLS：

%pre
mkdir -p /etc/containers/registries.conf.d/
cat > /etc/containers/registries.conf.d/local-registry.conf << 'EOF'

[[registry]]
location="[IP_Address]:5000"
insecure=true
EOF
%end

%pre
mkdir -p /etc/containers/registries.conf.d/
cat > /etc/containers/registries.conf.d/local-registry.conf << 'EOF'

[[registry]]
location="[IP_Address]:5000"
insecure=true
EOF
%end

Copy to Clipboard

Toggle word wrap

使用这个配置，系统会从没有使用 TLS 保护的注册中心拉取容器镜像。您可以在开发或内部网络中使用它。

您还可以使用 %pre 来：

使用安装环境中所含的二进制文件（如 curl），从网络获取数据。
使用 update-ca-trust 命令将可信证书颁发机构注入到安装环境 /etc/pki/ca-trust/source/anchors 中。

您可以通过修改 /etc/containers 目录来类似地配置不安全的注册中心。

14.3. 为注册中心注入拉取 secret 并禁用 TLS

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links