Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 9 章 镜像配置资源

使用以下流程配置镜像 registry。

Image.config.openshift.io/cluster 资源包含有关如何处理镜像的集群范围信息。资源存在,但它只读,只能通过 ROSA CLI (rosa)等支持的工具进行更改。规范且唯一有效的名称是 集群。它可以通过 rosa 命令在 Red Hat OpenShift Service on AWS 中配置。

注意

参数,如 DisableScheduledImport, MaxImagesBulkImportedPerRepository, MaxScheduledImportsPerMinute, ScheduledImageImportMinimumIntervalSeconds, InternalRegistryHostname 不可配置。

Expand
ROSA CLI 的参数描述

registry-config-allowed-registries

允许镜像拉取(pull)和推送(push)操作的 registry。要指定所有子域,请在域名中添加星号 (*) 通配符字符作为前缀。例如: *.example.com。您可以在 registry 中指定单独的软件仓库。例如: reg1.io/myrepo/myapp:latest。阻止所有其他 registry。格式应为允许的 registry 的逗号分隔列表。例如: allowed.io, allowed.io2

registry-config-insecure-registries

没有有效 TLS 证书或仅支持 HTTP 连接的 registry。要指定所有子域,请在域名中添加星号 (*) 通配符字符作为前缀。例如: *.example.com。您可以在 registry 中指定单独的软件仓库。例如: reg1.io/myrepo/myapp:latest。格式应该是用逗号分开的不安全 registry 列表。例如,insecure.io、insecure.io2

registry-config-blocked-registries

拒绝镜像拉取(pull)和推送(push)操作的 registry。要指定所有子域,请在域名中添加星号 (*) 通配符字符作为前缀。例如: *.example.com。您可以在 registry 中指定单独的软件仓库。例如: reg1.io/myrepo/myapp:latest。允许所有其他 registry。格式应该是以逗号分隔的已阻塞 registry 列表。例如: blocked.io, blocked.io2

registry-config-allowed-registries-for-import

包含用于决定容器运行时在访问构建和 pod 的镜像时应如何处理个别 registry 的配置。例如,是否允许不安全的访问。它不包含内部集群 registry 的配置。限制普通用户可从中导入镜像的容器镜像 registry。格式应该是以逗号分隔的 domainName:insecure 列表。domain name 指定 registry 的域名。insecure 表示 registry 是否安全。

registry-config-additional-trusted-ca

包含 registry 主机名作为键的 JSON 文件,以及 PEM 编码证书作为值,用于每个要信任的额外 registry CA。

警告

当定义 allowedRegistries 参数时,除非明确列出,否则所有 registry 都会被阻断。为防止 pod 失败,会自动将红帽 registry 列表列入白名单,因为环境中有效负载镜像需要它们。当前列表由 image-registry.openshift-image-registry.svc:5000,quay.io,registry.redhat.io 组成,在运行 rosa describe cluster 命令时也可见。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat