第 10 章 使用 HCP 的 ROSA 的镜像配置资源

registry-config-allowed-registries

允许镜像拉取(pull)和推送(push)操作的 registry。要指定所有子域，请在域名中添加星号 (*) 通配符字符作为前缀。例如： *.example.com。您可以在 registry 中指定单独的软件仓库。例如： reg1.io/myrepo/myapp:latest。阻止所有其他 registry。格式应为允许的 registry 的逗号分隔列表。例如： allowed.io, allowed.io2。

registry-config-insecure-registries

没有有效 TLS 证书或仅支持 HTTP 连接的 registry。要指定所有子域，请在域名中添加星号 (*) 通配符字符作为前缀。例如： *.example.com。您可以在 registry 中指定单独的软件仓库。例如： reg1.io/myrepo/myapp:latest。格式应该是用逗号分开的不安全 registry 列表。例如，insecure.io、insecure.io2。

registry-config-blocked-registries

拒绝镜像拉取(pull)和推送(push)操作的 registry。要指定所有子域，请在域名中添加星号 (*) 通配符字符作为前缀。例如： *.example.com。您可以在 registry 中指定单独的软件仓库。例如： reg1.io/myrepo/myapp:latest。允许所有其他 registry。格式应该是以逗号分隔的已阻塞 registry 列表。例如： blocked.io, blocked.io2。

registry-config-allowed-registries-for-import

包含用于决定容器运行时在访问构建和 pod 的镜像时应如何处理个别 registry 的配置。例如，是否允许不安全的访问。它不包含内部集群 registry 的配置。限制普通用户可从中导入镜像的容器镜像 registry。格式应该是以逗号分隔的 domainName:insecure 列表。domain name 指定 registry 的域名。insecure 表示 registry 是否安全。

registry-config-additional-trusted-ca

包含 registry 主机名作为键的 JSON 文件，以及 PEM 编码证书作为值，用于每个要信任的额外 registry CA。